¿Qué es una VPN (red privada virtual)?
Una VPN (Virtual Private Network, o red privada virtual) crea un túnel cifrado entre el dispositivo de un empleado y la red de la empresa, para que acceda a los sistemas internos con seguridad desde cualquier lugar, sin exponer ese tráfico en la internet abierta. Durante décadas fue la forma estándar de acceso remoto. Hoy el modelo se cuestiona, porque, una vez conectado, el usuario suele alcanzar la red entera, y no solo lo que necesita.
Cómo funciona una VPN
Una VPN no hace la internet más rápida ni hace desaparecer al usuario; crea un camino cerrado por donde el tráfico pasa cifrado, de extremo a extremo, entre el dispositivo y la red. Quien esté en el medio ve tráfico revuelto, no los datos. El punto delicado no es el túnel en sí, es lo que habilita una vez que la conexión está hecha.
Autentica al usuario
Antes de abrir el túnel, la VPN confirma quién pide acceso. Si esa verificación es solo una contraseña, una credencial robada ya alcanza para entrar.
Establece el túnel cifrado
El cliente y el gateway negocian las claves y levantan un canal cifrado, en general con el protocolo IPsec. A partir de ahí, el tráfico viaja protegido por la internet pública.
Coloca el dispositivo dentro de la red
La VPN asigna al dispositivo una dirección interna, como si estuviera físicamente en la oficina. Aquí vive el riesgo: 'dentro de la red' suele significar acceso amplio.
Enruta el tráfico por el túnel
Lo que el usuario accede pasa por el canal cifrado hasta los recursos de la empresa y vuelve. El túnel protege el camino, pero no decide, por sí solo, qué puede o no alcanzar el usuario.
Fuente: Cyber Encyclopedia de N-able (gateway de VPN, túnel cifrado, el protocolo IPsec y la combinación con autenticación de varios factores).
Señales de que su VPN se volvió un riesgo
- Quien se conecta ve la red entera. Sin separar el acceso por aplicación, una sola cuenta comprometida abre todo de una vez.
- La VPN pide solo la contraseña, sin un segundo factor. Es el escenario en que la credencial robada, hoy el vector de entrada número uno, se vuelve acceso completo.
- El concentrador o gateway está atrasado en firmware. Los dispositivos de borde y las VPN se volvieron el blanco preferido, y la mayoría queda atrasada en la corrección.
- Los proveedores y terceros usan la misma VPN que los empleados. Un socio comprometido entra por la misma puerta amplia, sin límite de lo que alcanza.
Los tipos de VPN
- VPN de acceso remoto Conecta el dispositivo de un empleado a la red de la empresa desde cualquier lugar. Es el uso corporativo más común, y el que concentra el riesgo cuando da un acceso demasiado amplio.
- VPN sitio a sitio Conecta dos redes enteras, como la casa matriz y una sucursal, por un túnel permanente. Útil para unir oficinas, pero amplía lo que un lado alcanza del otro.
- VPN por navegador (SSL) Da acceso a aplicaciones específicas por el navegador, sin instalar un cliente. Más simple para el usuario, todavía dependiente de una autenticación fuerte para no volverse una puerta abierta.
- VPN personal o de consumidor Sirve para la privacidad y para enmascarar la conexión de un individuo en la internet. No es lo mismo que la VPN corporativa, y no reemplaza las defensas de la empresa.
Por qué la VPN se volvió la puerta de entrada de los ataques
La VPN fue diseñada para un mundo en que pocas personas accedían a la red desde afuera, de vez en cuando. Ese mundo se acabó, y el modelo mostró su fragilidad. La explotación de dispositivos de borde y de gateways de VPN saltó del 3% al 22% de las intrusiones por vulnerabilidad en un solo año, un crecimiento de cerca de ocho veces (Verizon DBIR 2025), y la mayoría de esas fallas quedó sin corrección completa. Al mismo tiempo, la credencial robada es la vía de entrada número uno (22% de las brechas, Verizon DBIR 2025): en una VPN que da acceso amplio, una contraseña filtrada no abre una aplicación, abre la red entera. Por eso el mercado migra: en la proyección de Gartner, para 2025 más del 70% de los nuevos accesos remotos usarían un modelo de confianza cero (ZTNA) en vez de VPN, ante menos del 10% en 2021. Mientras tanto, una filtración de datos todavía cuesta, en promedio, $ 4,44 millones (IBM 2025).
Cómo usar la VPN con seguridad (y cuándo migrar)
La VPN no es insegura por naturaleza; se vuelve riesgo cuando se usa como en las décadas pasadas. Algunos cuidados reducen la exposición, y uno de ellos es saber cuándo cambiar de modelo:
- Exija un segundo factor siempreUna VPN protegida solo por contraseña está a una credencial robada del desastre. La autenticación de varios factores es el mínimo, no el opcional.
- Mantenga el gateway parcheadoEl concentrador de VPN es hoy uno de los blancos más explotados. El firmware al día dejó de ser higiene y se volvió la primera línea.
- Limite lo que la VPN alcanzaAplique el privilegio mínimo y segmente: el acceso remoto no debería abrir la red entera, solo los recursos que esa persona necesita.
- Separe el acceso de tercerosLos proveedores y socios no deberían entrar por la misma puerta amplia que los empleados. Un acceso dedicado y restringido contiene el daño de un socio comprometido.
- Evalúe el acceso por confianza ceroDonde el acceso amplio es el problema, el modelo de confianza cero (ZTNA) habilita aplicación por aplicación, no la red entera, y reverifica en cada acceso. Es la dirección hacia donde va el mercado.
En la práctica
Si la contraseña de VPN de un solo empleado se filtrara hoy, ¿qué alcanzaría el atacante con ella? Si la respuesta es 'casi todo', el problema no es la contraseña, es el acceso amplio que la VPN concede.
Cómo trata Zamak el acceso remoto
Zamak Technologies diseña el acceso remoto por el principio de la confianza cero: identidad verificada, dispositivo comprobado y acceso concedido por aplicación, con autenticación fuerte, para que una credencial robada no abra la red entera, al lado de su equipo. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde el acceso sigue siendo demasiado amplio. Forma parte de la Ciberseguridad del Método Zamak.