Ir al contenido
Red y Acceso

¿Qué es una VPN (red privada virtual)?

Una VPN (Virtual Private Network, o red privada virtual) crea un túnel cifrado entre el dispositivo de un empleado y la red de la empresa, para que acceda a los sistemas internos con seguridad desde cualquier lugar, sin exponer ese tráfico en la internet abierta. Durante décadas fue la forma estándar de acceso remoto. Hoy el modelo se cuestiona, porque, una vez conectado, el usuario suele alcanzar la red entera, y no solo lo que necesita.

Zamak TechnologiesActualizado el 11 de julio de 2026

Cómo funciona una VPN

Una VPN no hace la internet más rápida ni hace desaparecer al usuario; crea un camino cerrado por donde el tráfico pasa cifrado, de extremo a extremo, entre el dispositivo y la red. Quien esté en el medio ve tráfico revuelto, no los datos. El punto delicado no es el túnel en sí, es lo que habilita una vez que la conexión está hecha.

1

Autentica al usuario

Antes de abrir el túnel, la VPN confirma quién pide acceso. Si esa verificación es solo una contraseña, una credencial robada ya alcanza para entrar.

2

Establece el túnel cifrado

El cliente y el gateway negocian las claves y levantan un canal cifrado, en general con el protocolo IPsec. A partir de ahí, el tráfico viaja protegido por la internet pública.

3

Coloca el dispositivo dentro de la red

La VPN asigna al dispositivo una dirección interna, como si estuviera físicamente en la oficina. Aquí vive el riesgo: 'dentro de la red' suele significar acceso amplio.

4

Enruta el tráfico por el túnel

Lo que el usuario accede pasa por el canal cifrado hasta los recursos de la empresa y vuelve. El túnel protege el camino, pero no decide, por sí solo, qué puede o no alcanzar el usuario.

Fuente: Cyber Encyclopedia de N-able (gateway de VPN, túnel cifrado, el protocolo IPsec y la combinación con autenticación de varios factores).

Señales de que su VPN se volvió un riesgo

  • Quien se conecta ve la red entera. Sin separar el acceso por aplicación, una sola cuenta comprometida abre todo de una vez.
  • La VPN pide solo la contraseña, sin un segundo factor. Es el escenario en que la credencial robada, hoy el vector de entrada número uno, se vuelve acceso completo.
  • El concentrador o gateway está atrasado en firmware. Los dispositivos de borde y las VPN se volvieron el blanco preferido, y la mayoría queda atrasada en la corrección.
  • Los proveedores y terceros usan la misma VPN que los empleados. Un socio comprometido entra por la misma puerta amplia, sin límite de lo que alcanza.

Los tipos de VPN

  • VPN de acceso remoto Conecta el dispositivo de un empleado a la red de la empresa desde cualquier lugar. Es el uso corporativo más común, y el que concentra el riesgo cuando da un acceso demasiado amplio.
  • VPN sitio a sitio Conecta dos redes enteras, como la casa matriz y una sucursal, por un túnel permanente. Útil para unir oficinas, pero amplía lo que un lado alcanza del otro.
  • VPN por navegador (SSL) Da acceso a aplicaciones específicas por el navegador, sin instalar un cliente. Más simple para el usuario, todavía dependiente de una autenticación fuerte para no volverse una puerta abierta.
  • VPN personal o de consumidor Sirve para la privacidad y para enmascarar la conexión de un individuo en la internet. No es lo mismo que la VPN corporativa, y no reemplaza las defensas de la empresa.

Por qué la VPN se volvió la puerta de entrada de los ataques

fue el crecimiento de la explotación de dispositivos de borde y VPN, del 3% al 22% de las intrusiones por vulnerabilidad (Verizon DBIR 2025)
22%
de las brechas empiezan por una credencial robada, el vector de entrada nº 1 (Verizon DBIR 2025)
70%
de los nuevos accesos remotos migrarían a confianza cero (ZTNA) para 2025, ante menos del 10% en 2021 (proyección de Gartner)

La VPN fue diseñada para un mundo en que pocas personas accedían a la red desde afuera, de vez en cuando. Ese mundo se acabó, y el modelo mostró su fragilidad. La explotación de dispositivos de borde y de gateways de VPN saltó del 3% al 22% de las intrusiones por vulnerabilidad en un solo año, un crecimiento de cerca de ocho veces (Verizon DBIR 2025), y la mayoría de esas fallas quedó sin corrección completa. Al mismo tiempo, la credencial robada es la vía de entrada número uno (22% de las brechas, Verizon DBIR 2025): en una VPN que da acceso amplio, una contraseña filtrada no abre una aplicación, abre la red entera. Por eso el mercado migra: en la proyección de Gartner, para 2025 más del 70% de los nuevos accesos remotos usarían un modelo de confianza cero (ZTNA) en vez de VPN, ante menos del 10% en 2021. Mientras tanto, una filtración de datos todavía cuesta, en promedio, $ 4,44 millones (IBM 2025).

Cómo usar la VPN con seguridad (y cuándo migrar)

La VPN no es insegura por naturaleza; se vuelve riesgo cuando se usa como en las décadas pasadas. Algunos cuidados reducen la exposición, y uno de ellos es saber cuándo cambiar de modelo:

  1. Exija un segundo factor siempreUna VPN protegida solo por contraseña está a una credencial robada del desastre. La autenticación de varios factores es el mínimo, no el opcional.
  2. Mantenga el gateway parcheadoEl concentrador de VPN es hoy uno de los blancos más explotados. El firmware al día dejó de ser higiene y se volvió la primera línea.
  3. Limite lo que la VPN alcanzaAplique el privilegio mínimo y segmente: el acceso remoto no debería abrir la red entera, solo los recursos que esa persona necesita.
  4. Separe el acceso de tercerosLos proveedores y socios no deberían entrar por la misma puerta amplia que los empleados. Un acceso dedicado y restringido contiene el daño de un socio comprometido.
  5. Evalúe el acceso por confianza ceroDonde el acceso amplio es el problema, el modelo de confianza cero (ZTNA) habilita aplicación por aplicación, no la red entera, y reverifica en cada acceso. Es la dirección hacia donde va el mercado.

En la práctica

Si la contraseña de VPN de un solo empleado se filtrara hoy, ¿qué alcanzaría el atacante con ella? Si la respuesta es 'casi todo', el problema no es la contraseña, es el acceso amplio que la VPN concede.

Cómo trata Zamak el acceso remoto

Zamak Technologies diseña el acceso remoto por el principio de la confianza cero: identidad verificada, dispositivo comprobado y acceso concedido por aplicación, con autenticación fuerte, para que una credencial robada no abra la red entera, al lado de su equipo. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde el acceso sigue siendo demasiado amplio. Forma parte de la Ciberseguridad del Método Zamak.

Preguntas frecuentes sobre VPN

¿Una VPN es segura?
El túnel de una VPN protege bien el tráfico en el camino. El riesgo no está en el cifrado, está en lo que la VPN habilita después: acceso amplio a la red, muchas veces solo con contraseña y con el gateway sin corrección al día. Usada con autenticación fuerte, privilegio mínimo y parches, la VPN es razonable; usada como hace diez años, es una de las puertas más explotadas.
¿Cuál es la diferencia entre VPN y ZTNA?
La VPN, una vez conectada, suele dar acceso a la red entera; el ZTNA (acceso a la red con confianza cero) habilita una aplicación por vez y reverifica en cada acceso. En la VPN, una cuenta robada anda por la red; en el ZTNA, queda confinada a un solo recurso. Por eso el ZTNA viene reemplazando a la VPN en el acceso remoto.
¿La VPN esconde mi navegación?
Una VPN personal enmascara la conexión de un individuo en la internet, pero eso es distinto de la VPN corporativa, cuyo objetivo es dar acceso remoto seguro a los sistemas de la empresa. Para el negocio, la VPN no es una herramienta de anonimato, es un canal de acceso, y hay que tratarla como tal.
¿Necesito autenticación de varios factores en la VPN?
Sí, y sin excepción. Como la credencial robada es el vector de entrada número uno, una VPN protegida solo por contraseña es demasiado frágil. El segundo factor es lo que impide que una contraseña filtrada, sola, dé acceso a la red.
¿La VPN empresarial y la VPN de consumidor son lo mismo?
No. La VPN corporativa conecta a los empleados con los sistemas de la empresa con control y política; la VPN de consumidor sirve a la privacidad de una persona y enmascara su conexión. Confundir las dos lleva a decisiones erradas: la de consumidor no protege la red de la empresa.
¿Debo cambiar mi VPN por ZTNA?
Depende del problema que tenga. Si el dolor es el acceso amplio, el firmware atrasado y la contraseña única, el modelo de confianza cero lo resuelve de raíz, habilitando por aplicación. La migración puede ser por fases, sin apagar la VPN de un día para el otro; lo importante es la dirección.