Durant anys, la VPN ha estat una peça clau perquè empleats, tècnics i proveïdors puguin accedir de manera remota als sistemes de l’empresa. Tanmateix, quan no es revisa amb regularitat, també es pot convertir en una de les portes d’entrada més crítiques per a un atacant.
La recent vulnerabilitat CVE-2026-50751, detectada en solucions VPN de Check Point configurades amb el protocol IKEv1 obsolet, ha tornat a posar sobre la taula un problema habitual: moltes empreses mantenen accessos remots heretats, configuracions antigues o tallafocs sense una revisió profunda de seguretat.
El problema no és únicament una marca, un fabricant o una vulnerabilitat concreta. El veritable risc és assumir que una VPN continua sent segura només perquè “sempre ha funcionat”. En ciberseguretat, allò que no es revisa acaba convertint-se en exposició.
En aquest article analitzem per què una VPN empresarial segura requereix molt més que una contrasenya, quins riscos generen els protocols obsolets i quines mesures hauria d’aplicar qualsevol empresa per protegir els seus accessos remots.
Per què una vulnerabilitat VPN pot ser tan crítica per a una empresa
Una VPN no és una aplicació més dins de l’entorn IT. És un punt d’entrada directe cap a la xarxa corporativa, els servidors interns, els recursos compartits, les aplicacions de gestió i, en molts casos, els sistemes més sensibles de l’organització.
Quan un atacant aconsegueix explotar una vulnerabilitat en l’accés remot, l’impacte pot ser molt superior al d’una fallada en un equip aïllat. La VPN sol estar exposada a Internet i, si no està ben protegida, pot permetre moviments laterals dins de la xarxa.
En el cas de la CVE-2026-50751, la fallada afectava entorns configurats amb IKEv1, un protocol ja considerat heretat. Segons la informació publicada pel fabricant, l’explotació podia permetre establir una sessió VPN sense una contrasenya vàlida en determinades condicions.
Per a una empresa, això té una lectura molt clara: els accessos remots no es poden configurar una vegada i oblidar-se durant anys. Necessiten manteniment, actualització, revisió de logs, control d’usuaris i polítiques de seguretat alineades amb l’estat real de les amenaces.
El problema de fons: protocols heretats i configuracions antigues
Moltes incidències de seguretat no comencen amb una tecnologia nova, sinó amb una configuració antiga que ningú ha tornat a revisar. Protocols heretats, clients VPN antics, usuaris que ja no haurien de tenir accés o regles massa permissives són exemples freqüents.
En entorns empresarials, és habitual que la VPN s’hagi configurat inicialment per resoldre una necessitat urgent: teletreball, suport remot, connexió entre seus o accés de proveïdors. Amb el temps, aquesta configuració es manté, però el context canvia.
L’empresa creix, s’incorporen nous serveis cloud, canvien els usuaris, s’actualitzen els sistemes i apareixen noves amenaces. Si la VPN no evoluciona al mateix ritme, es converteix en una peça desalineada amb la seguretat real del negoci.
Alguns exemples de risc són:
- Protocols antics com IKEv1 quan ja existeixen alternatives més segures.
- Clients VPN heretats que continuen habilitats per compatibilitat.
- Accessos d’extreballadors, proveïdors o comptes tècnics sense revisar.
- Tallafocs amb versions antigues o fora de suport.
- Absència d’autenticació multifactor en l’accés remot.
- Manca d’alertes davant connexions sospitoses o fora d’horari.
Una seguretat perimetral ben gestionada ha de contemplar tots aquests punts, no només la instal·lació inicial del tallafocs.
VPN empresarial segura: què hauria de revisar la teva empresa aquesta setmana
Davant d’una vulnerabilitat crítica en VPN, moltes empreses es pregunten si estan afectades. La resposta no sempre és immediata, perquè depèn del fabricant, la versió, la configuració, els protocols actius i el tipus d’accés remot habilitat.
Per això, més enllà de comprovar si s’utilitza Check Point o qualsevol altre fabricant concret, convé fer una revisió general de l’accés remot. Aquesta revisió permet detectar riscos acumulats i reduir l’exposició abans que es converteixi en incident.
1. Identificar quines solucions VPN estan actives
El primer pas és saber quins sistemes ofereixen accés remot a la xarxa corporativa. No sempre hi ha una única VPN. Hi pot haver tallafocs, appliances, serveis cloud, connexions site-to-site, túnels de proveïdors o accessos temporals que s’han mantingut actius.
L’empresa hauria de disposar d’un inventari clar que respongui a aquestes preguntes:
- Quins dispositius publiquen accés VPN.
- Quines versions de firmware o software utilitzen.
- Quins protocols estan habilitats.
- Quins usuaris o grups s’hi poden connectar.
- Quins recursos interns queden accessibles després de la connexió.
Sense inventari no hi ha control. I sense control, qualsevol mesura de seguretat es basa en suposicions.
2. Revisar protocols obsolets
Una VPN empresarial segura ha d’evitar protocols heretats sempre que sigui possible. En el cas d’IKEv1, moltes organitzacions el mantenen actiu per compatibilitat amb clients antics o configuracions històriques.
El problema és que la compatibilitat no pot estar per sobre de la seguretat. Si un protocol ja no és recomanable, cal planificar-ne la retirada o, com a mínim, limitar-ne l’ús de manera molt controlada.
La revisió hauria de comprovar si és possible migrar a protocols més actuals, exigir certificats de màquina, eliminar clients legacy i aplicar configuracions recomanades pel fabricant.
3. Aplicar pedaços sense esperar el cicle mensual
Quan una vulnerabilitat està sent explotada activament, esperar al manteniment mensual pot ser massa tard. Les finestres d’explotació són cada vegada més curtes i els atacants automatitzen la cerca de sistemes vulnerables exposats a Internet.
Les empreses necessiten diferenciar entre una actualització ordinària i una correcció urgent. Una vulnerabilitat crítica en VPN, tallafocs o accés remot s’ha de tractar com una prioritat operativa.
Això no vol dir actualitzar sense control. Vol dir tenir un procediment clar per avaluar el risc, revisar la compatibilitat, aplicar el pedaç i verificar que el servei continua funcionant correctament.
4. Activar autenticació multifactor
La contrasenya ja no és suficient per protegir l’accés remot. Encara que una vulnerabilitat concreta pugui saltar-se part del procés d’autenticació, l’autenticació multifactor continua sent una capa imprescindible per reduir riscos en condicions normals.
L’MFA ajuda a protegir davant credencials robades, contrasenyes reutilitzades, atacs de força bruta i accessos indeguts. S’ha d’aplicar especialment a usuaris amb privilegis, tècnics externs i qualsevol perfil amb accés a sistemes crítics.
En una estratègia d’accés remot segur, l’MFA no hauria de ser opcional. Ha de formar part de la política de seguretat de l’empresa.
5. Revisar usuaris, grups i permisos
Una VPN mal mantinguda no només falla per tecnologia. També falla per permisos acumulats. Usuaris que han canviat de departament, comptes d’antics empleats, proveïdors amb accés permanent o grups massa amplis són riscos freqüents.
La revisió hauria d’incloure:
- Usuaris amb accés VPN actiu.
- Comptes sense ús recent.
- Permisos per grup o departament.
- Accessos de proveïdors externs.
- Comptes administratius amb connexió remota.
L’objectiu és aplicar el principi de mínim privilegi: cada usuari ha d’accedir només al que necessita, durant el temps necessari i amb traçabilitat.
La monitorització marca la diferència entre detectar i descobrir tard
Moltes empreses descobreixen un accés indegut quan el dany ja està fet. Un xifratge per ransomware, una fuga de dades o una caiguda de sistemes solen ser la fase visible d’un atac que va començar dies o setmanes abans.
En incidents relacionats amb VPN, els logs poden mostrar senyals rellevants: connexions des d’ubicacions inusuals, accessos fora d’horari, múltiples intents fallits, canvis de configuració o sessions des d’adreces IP no habituals.
El problema és que aquests registres només serveixen si algú els revisa, si existeixen alertes i si l’empresa té capacitat de resposta. La monitorització 24/7 de sistemes IT permet detectar anomalies abans que escalin i ajuda a prioritzar actuacions quan apareix una vulnerabilitat crítica.
Una bona monitorització no substitueix els pedaços, l’MFA ni la segmentació. Però sí que millora la capacitat de detectar comportaments anòmals i respondre amb més rapidesa.
Segmentar la xarxa: una VPN no ho ha d’obrir tot
Un dels errors més habituals és permetre que, després de connectar-se per VPN, l’usuari tingui una visibilitat excessiva sobre la xarxa interna. Això multiplica l’impacte si un compte es veu compromès o si una vulnerabilitat permet establir una sessió no autoritzada.
Una VPN empresarial segura ha d’anar acompanyada de segmentació. No tots els usuaris necessiten accedir a tots els servidors, totes les VLAN o totes les aplicacions internes.
La segmentació permet limitar l’abast d’un incident. Si un atacant aconsegueix entrar, no hauria de poder moure’s lliurement per tota la xarxa. Això és especialment important en empreses amb servidors crítics, entorns industrials, dades sensibles o aplicacions de gestió empresarial.
La combinació de tallafocs, regles d’accés, grups d’usuaris, VLAN, control de privilegis i monitorització redueix l’impacte potencial de qualsevol accés indegut.
Què fer si la teva empresa utilitza VPN i no sap si està exposada
No totes les empreses tenen visibilitat completa sobre la seva infraestructura. En molts casos, el tallafocs es va instal·lar fa anys, la documentació no està actualitzada o no existeix una revisió periòdica de configuracions.
Si la teva empresa utilitza VPN i no té clar el seu nivell d’exposició, convé actuar amb mètode. No es tracta de generar alarma, sinó de revisar els punts crítics amb criteri tècnic.
Un full de ruta raonable seria:
- Identificar fabricant, model, versió i serveis VPN actius.
- Comprovar si existeixen avisos de seguretat recents del fabricant.
- Verificar si hi ha protocols heretats habilitats.
- Revisar usuaris, grups i accessos de proveïdors.
- Confirmar si l’MFA està actiu en tots els perfils rellevants.
- Aplicar pedaços o hotfixes recomanats.
- Analitzar logs recents a la recerca d’activitat anòmala.
- Documentar canvis i deixar un procediment de revisió periòdica.
Aquest enfocament permet passar d’una postura reactiva a una gestió preventiva de l’accés remot.
La VPN no és només un tema tècnic: és continuïtat de negoci
Quan una VPN falla o es veu compromesa, l’impacte no es limita al departament IT. Pot afectar el teletreball, el suport remot, la connexió entre seus, l’accés a sistemes interns i la continuïtat operativa.
Per això, la gestió de VPN ha de formar part d’una estratègia més àmplia de ciberseguretat i continuïtat. No n’hi ha prou que l’accés remot funcioni. Ha de ser segur, traçable, actualitzat i coherent amb les necessitats reals del negoci.
En empreses amb alta dependència tecnològica, la VPN s’ha de revisar juntament amb el tallafocs, els backups, la seguretat endpoint, la segmentació de xarxa, la gestió d’identitats i els procediments de resposta davant incidents.
Comptar amb un servei de manteniment informàtic 24×7 ajuda a mantenir aquests elements sota control i a respondre millor quan apareix una vulnerabilitat crítica.
Com pot ajudar Inmove IT Solutions
A Inmove IT Solutions ajudem empreses a revisar, mantenir i protegir les seves infraestructures de comunicacions, tallafocs, VPN i accés remot. El nostre enfocament combina seguretat perimetral, manteniment, monitorització i suport tècnic especialitzat.
L’objectiu no és aplicar pedaços de manera aïllada, sinó entendre com està dissenyada la xarxa, quins accessos existeixen, quins riscos hi ha i quines mesures permeten millorar la seguretat sense comprometre l’operativa diària.
Podem ajudar-te a revisar configuracions VPN, detectar protocols obsolets, comprovar polítiques d’accés, millorar la segmentació, reforçar l’ús de MFA i establir procediments d’actualització i monitorització.
També podem integrar aquesta revisió dins d’una estratègia més àmplia de protecció antivirus, antispam i ciberseguretat per a empreses, especialment si la teva organització necessita una visió més completa de la seva exposició.
Conclusió: una VPN segura necessita revisió contínua
La vulnerabilitat CVE-2026-50751 és un recordatori clar: els accessos remots són crítics i no es poden mantenir amb configuracions heretades sense revisió. Una VPN que funcionava correctament fa cinc anys pot no ser suficient davant les amenaces actuals.
Les empreses han de revisar els seus protocols, aplicar pedaços crítics, retirar configuracions obsoletes, activar MFA, controlar usuaris i monitoritzar accessos. No es tracta només de protegir una connexió, sinó de protegir l’entrada a tota la xarxa corporativa.
Una VPN empresarial segura no depèn d’una única mesura. Depèn d’una gestió contínua, documentada i adaptada al risc real de cada organització.
Si la teva empresa utilitza VPN, tallafocs o accessos remots per a empleats i proveïdors, aquest pot ser un bon moment per revisar si la configuració actual continua sent segura. A Inmove IT Solutions podem ajudar-te a analitzar l’estat dels teus accessos remots i prioritzar les mesures més importants segons el teu entorn.
Vols reforçar la seguretat de la teva VPN empresarial i protegir millor els accessos remots de la teva organització? Contacta amb Inmove IT Solutions i t’ajudarem a definir una solució adaptada a la teva infraestructura, usuaris i necessitats de continuïtat.
Preguntes freqüents sobre VPN empresarial segura
Aquestes preguntes responen a dubtes habituals d’empreses que utilitzen VPN per a teletreball, suport remot o connexió entre seus.
Una VPN continua sent segura per al teletreball?
Sí, una VPN pot continuar sent segura si està ben configurada, actualitzada i protegida amb autenticació multifactor. El problema apareix quan es mantenen protocols obsolets, usuaris sense revisar o versions antigues del tallafocs.
Quin risc té utilitzar protocols antics com IKEv1?
Els protocols antics poden presentar limitacions de seguretat i quedar exposats a vulnerabilitats que els atacants coneixen i exploten. Sempre que sigui possible, convé migrar a protocols més actuals i seguir les recomanacions del fabricant.
Cada quant s’hauria de revisar la configuració de la VPN?
Com a mínim, s’hauria de revisar de manera periòdica i sempre que hi hagi canvis importants: incorporació de nous usuaris, canvis de tallafocs, noves seus, teletreball, proveïdors externs o publicació de vulnerabilitats crítiques.
L’MFA és obligatori en una VPN empresarial?
Des d’un punt de vista de seguretat, s’hauria de considerar imprescindible. L’MFA redueix el risc associat a credencials robades o contrasenyes febles i afegeix una capa addicional de protecció a l’accés remot.
Quins logs convé revisar davant una alerta de vulnerabilitat VPN?
Convé revisar connexions recents, IP d’origen, horaris inusuals, intents fallits, usuaris amb accessos no habituals, canvis de configuració i activitat posterior dins de la xarxa. En vulnerabilitats explotades activament, també és recomanable revisar el període anterior a la publicació del pedaç.
Una actualització del tallafocs és suficient per estar protegit?
Aplicar el pedaç és fonamental, però no sempre és suficient. També convé revisar si hi ha hagut activitat sospitosa prèvia, eliminar configuracions obsoletes, comprovar permisos i reforçar la monitorització.
