Autenticación multifactorial NIS2: por qué tener VPN no basta

VPN

Autenticación multifactorial NIS2: por qué tener VPN no basta

 

 

¿Que Paso? Resumen del incidente

En octubre de 2023, la Real Sociedad de Fútbol sufrió un ataque de ransomware Akira que paralizó sus sistemas y afectó a los datos personales de 60.000 personas.
La investigación forense determinó que toda la actividad maliciosa se originó en el pool de direcciones de la VPN corporativa. Esto significa que el acceso inicial se produjo a través de la propia infraestructura de conexión remota.

¿Dónde estuvo el problema?

El problema: disponer de VPN no basta para garantizar la seguridad. Si un atacante consigue las credenciales de un usuario legítimo (por phishing, malware, o filtraciones previas), podrá entrar en la red como si fuera un empleado autorizado.

Lecciones aprendidas

Confiar únicamente en la VPN es un error. La ciberseguridad efectiva exige defensa en capas y, en particular, autenticación multifactorial (MFA) alineada con NIS2.

NIS2: el requisito expreso sobre MFA (Art. 21)

La Directiva NIS2 incluye como medida mínima de gestión del riesgo “el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras, y sistemas seguros de comunicación de emergencia, cuando proceda.”

Este mismo punto está recogido de forma clara en las FAQ de INCIBE-CERT, útiles para aterrizar el cumplimiento en España.

Qué significa en la práctica
  • MFA obligatoria en accesos remotos (VPN/ZTNA), correo y apps críticas.
  • Autenticación continua o verificación adaptativa según contexto (dispositivo, geolocalización, horario).
  • Comunicaciones seguras: cifrado en voz, video y mensajería; canales de emergencia definidos y probados.
Medidas recomendadas (alineadas a NIS2)

Gestión de riesgos de seguridad: Analizar y evaluar continuamente el nivel de exposición de la organización a ciber-amenazas y priorizar las medidas de mitigación en los riesgos y áreas con mayor impacto potencial.

Autenticación multifactor (MFA): No basta con usuario y contraseña. Usa siempre una capa extra de seguridad ((app de autenticación, token físico, FIDO2/passkeys cuando sea posible).

Acceso condicional: Evalúa desde dónde y cómo se conectan los usuarios: país, horario, tipo de dispositivo. Bloquea accesos sospechosos o fuera de política.

Zero Trust (confianza cero): No dar por hecho que un usuario conectado es de confianza. Validar continuamente identidad, dispositivo y contexto.

Automatización y SOAR: Implementar herramientas de automatización de respuesta a incidentes (SOAR) que reduzcan el tiempo de detección y reacción.

Gestión segura de contraseñas: Establece políticas estrictas, monitorea posibles filtraciones en la dark web y desactiva cuentas que ya no se usen.

Telemetría y registros: Lleva un control detallado de accesos a través de registros centralizados (SIEM) para detectar anomalías de forma temprana.

Copias de seguridad protegidas: Asegúrate de tener backups en entornos aislados o inmutables, y prueba regularmente su restauración.

Segmentación de red y privilegios mínimos: Una vez dentro, los usuarios solo deben acceder a lo estrictamente necesario. Mantén separados los entornos sensibles.

Actualización y parches: Mantén al día el software de VPN, sistemas operativos y servidores. Cierra servicios innecesarios expuestos a internet.

Plan de respuesta a incidentes: Realice ejercicios simulados y ten claro qué hacer en caso de emergencia: contención, comunicación y recuperación.

Capacitación continua: Entrena al personal en temas como phishing, robo de credenciales y buenas prácticas digitales. Haz campañas periódicas para reforzar lo aprendido

Obligaciones de la Directiva NIS2

a) Gobernanza y responsabilidad de los órganos de dirección
La dirección debe aplicar y supervisar las medidas de ciberseguridad y formarse periódicamente.
b) Medidas generales de gestión de riesgos
Políticas y controles técnicos/organizativos proporcionales (incluyen MFA, continuidad, criptografía y formación).
c) Responsable de seguridad de la información
Designación y comunicación a la autoridad competente.
d) Gestión de incidentes y notificaciones
Detección, gestión y reporte de incidentes significativos según plazos.
e) Cumplimiento demostrable
Capacidad de evidenciar cumplimiento ante supervisión.
f) Plataforma nacional de notificación
Uso de la plataforma oficial para notificaciones y seguimiento.

Mensaje clave

Una VPN no es una barrera infranqueable, solo es otra puerta de acceso.
Si alguien consigue las llaves (las credenciales), accederá a los sistemas de información de la Organización sin levantar sospechas.
Por eso, es fundamental contar con varios controles de seguridad que trabajen en conjunto, como indica la directiva NIS2 que exige MFA o autenticación continua y comunicaciones seguras como parte de una defensa en capas

Contar con un marco o sistema de gestión de seguridad de la información —como ISO 27001, ENS, NIS2 o el Reglamento DORA— ayuda a tener una visión integral de los riesgos, establecer controles adecuados y mejorar la postura de ciberseguridad. Implementar estas buenas prácticas no solo fortalece la protección de los sistemas, sino que también reduce la probabilidad de sufrir incidentes graves.

Conoce mas sobre nuestros servicios
VPN
Directiva NIS2 y su Transposición en España: Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

Sueca. CP 46410 València
96 203 41 21
Contactar