Deshacerse de su VPN es posible
Deshacerse de su VPN definitivamente es posible si se siguen estos 5 pasos
Ignacio Franzoni, Solutions Engineer Manager de Netskope
Durante años, las redes privadas virtuales (VPN) han sido la alternativa para disponer de un acceso remoto seguro. Sin embargo, a medida que ha evolucionado el panorama digital, la misma infraestructura que antes ofrecía protección se ha convertido en un importante lastre. Las VPN de acceso remoto heredadas suponen un riesgo cada vez mayor para la seguridad por su propia naturaleza, ya que atraen a los atacantes y permiten el movimiento lateral no autorizado dentro de las redes. Más de la mitad (56 %) de las organizaciones han sufrido al menos un incidente de seguridad relacionado con las VPN en el último año, y muchas de ellas han sido víctimas de diversas brechas, lo que convierte a las VPN en un vector de ataque primario. Por ejemplo, la vulnerabilidad Ivanti CVE-2025-0282, que permite a los atacantes ejecutar código remoto sin autenticación, ha sido utilizada en múltiples ocasiones.
El enrutamiento de retorno del tráfico no local a través de la VPN, únicamente para acceder a Internet, da como resultado una experiencia negativa para el usuario, generando costes elevados y un tránsito complejo. De hecho, el 22 % de los usuarios se queja de la lentitud de la velocidad de conexión y el 19 % se siente frustrado por la complejidad de los procesos de autenticación con las VPN. Los equipos de TI también consideran que el equilibrio del rendimiento (21 %) y la resolución constante de problemas (18 %) son los principales quebraderos de cabeza de las VPN.
Para las organizaciones que buscan adaptar su conectividad a fin de contar con una fuerza de trabajo híbrida, se recomienda ampliamente el modelo ZTNA como la alternativa número uno. La seguridad reforzada (78 %) es la principal razón que lleva a la adopción de ZTNA, seguida de una administración simplificada de la infraestructura (63 %). El 26 % de las entidades ya ha implantado ZTNA y otro 37 % tiene previsto hacerlo en el próximo año.
Aun así, no todas las soluciones ZTNA se diseñan igual y, de hecho, muchas de ellas no permiten esa sustitución completa de las VPN. Si se aspira realmente a dejar atrás las VPN heredadas, las organizaciones deben centrarse en sus casos de uso en lugar de intentar encajarlas en torno a una sola tecnología, pues esto no es la solución. Es evidente que la clave para reemplazar por completo las VPN es un modelo más amplio de Servicios de Acceso Seguro Edge (SASE), que integre ZTNA con otras tecnologías, como el aislamiento remoto del navegador (RBI) y los navegadores empresariales. El 60 % de las organizaciones desea que el modelo ZTNA esté integrado con precisión en una plataforma más amplia de Secure Service Edge (SSE) para garantizar el acceso unificado, la protección de datos y la prevención de amenazas en todo el tráfico.
1. Facilita el trabajo híbrido
El auge del trabajo híbrido ha puesto de manifiesto las deficiencias de las soluciones VPN tradicionales. Las VPN ofrecen una visibilidad limitada de las actividades de las aplicaciones, sufren latencia debido al tráfico de retorno y facilitan un alto nivel de acceso a la red, lo que incrementa notablemente la superficie de ataque mediante movimientos laterales sin restricciones. Además, las vulnerabilidades sin parchear en los concentradores VPN pueden actuar como importantes vectores de ataque.
Para asegurarse de que la tecnología de acceso remoto que elija es compatible con los trabajadores híbridos, busque una solución ZTNA que pueda conceder un acceso con menos privilegios a las aplicaciones privadas teniendo en cuenta la identidad y el contexto, ya que esto minimizará significativamente los movimientos laterales no autorizados. La visibilidad en tiempo real del tráfico detallado de las aplicaciones y de las actividades de los usuarios garantizará que las políticas sean aplicadas de forma coherente, independientemente de la ubicación del usuario. Además, este enfoque permite establecer una conexión segura antes de iniciar sesión, lo que facilita la incorporación segura de nuevos dispositivos y permite restablecer las contraseñas de forma remota, garantizando que solo los dispositivos autorizados accedan a los recursos internos críticos.
2. Acelere la migración a la nube
La transformación digital ha llegado a un punto en el que más cargas de trabajo residen en nubes públicas que en centros de datos privados, por lo que la conectividad eficiente a la infraestructura como servicio (IaaS) es una prioridad absoluta para los usuarios locales y remotos. Las infraestructuras VPN tradicionales dirigen el tráfico de los usuarios a través de centros de datos privados antes de conectarse a la infraestructura como servicio (IaaS), lo que a menudo conlleva el uso de MPLS o túneles directos y da lugar a una experiencia deficiente para el usuario, un aumento de los gastos de infraestructura y un enrutamiento de la red complejo. Los equipos de TI son conscientes de la necesidad de mejorar estas experiencias y consideran que el «mejor rendimiento de las aplicaciones» es un factor clave en más de la mitad (51 %) de los programas de ZTNA.
Sin embargo, TNA no elimina necesariamente estas decisiones de enrutamiento ilógicas y prolongadas. Hay que buscar soluciones de ZTNA que aborden tanto la arquitectura de la red como la seguridad. Analice los diagramas de arquitectura de los proveedores y rechace el hairpinning o cualquier cosa que haga que sus datos parezcan viajar más lejos de lo necesario. Cada salto que sufren los datos añade latencia e impide que la experiencia del usuario sea óptima.
3. Permita el acceso a dispositivos no gestionados (cuando tenga sentido)
Con frecuencia, las empresas necesitan conceder un acceso seguro a los recursos corporativos a subcontratados externos, proveedores de servicios y colaboradores. Estos profesionales independientes traen sus propios dispositivos y los empleados quieren acceder directamente sin problemas utilizando los suyos. Todo esto plantea el reto de facilitar el acceso a los dispositivos no gestionados sin exponer los recursos a Internet o a la DMZ. Obligar a instalar un software cliente específico solo para este caso de uso puede resultar poco práctico, ya que los usuarios pueden mostrarse reacios a instalarlo en sus dispositivos personales y conceder acceso VPN a dispositivos no gestionados puede dar lugar a un acceso excesivo.
Este es un ejemplo en el que tiene mucho sentido seleccionar una solución ZTNA dentro de una arquitectura SSE (Security Services Edge) o SASE consolidada. Los navegadores empresariales proporcionan opciones de acceso remoto muy valiosas para los dispositivos no gestionados. Cuando se seleccionan dentro de una plataforma más amplia, pueden introducirse para este caso de uso. De esta forma, no es necesario duplicar el esfuerzo operativo en torno a la gestión de políticas.
4. Apoye los centros de contacto remotos
Aunque muchos centros de llamadas están adoptando las comunicaciones unificadas como servicio (UCaaS) basadas en la nube, otros muchos siguen dependiendo de sistemas VoIP alojados localmente, que a menudo enrutan las llamadas a través de una red privada virtual (VPN) de acceso remoto. Actualmente, la mayoría de las soluciones ZTNA en la nube no son compatibles con la VoIP local, lo que obliga a las organizaciones a mantener tanto la infraestructura ZTNA como la VPN, lo que supone una doble gestión que puede resultar compleja.
En estos casos, busque soluciones que combinen las capacidades de ZTNA y SD-WAN en una única herramienta. Necesitará una dirección dinámica del tráfico y una calidad de servicio (QoS) consciente del contexto para garantizar una experiencia coherente con las aplicaciones de voz y vídeo.
5. Acelera la integración en las fusiones y adquisiciones
Las fusiones y adquisiciones conllevan momentos de gran intensidad y desafíos importantes para los equipos de TI, redes y seguridad. A menudo, el éxito de una operación de este tipo depende de la rapidez con la que se integren las dos empresas. Los métodos tradicionales de fusión de redes son costosos, largos y complejos, y a menudo provocan conflictos de direcciones IP y obligan a volver a numerarlas. El 91 % de las organizaciones considera que el acceso de terceros y la integración de fusiones y adquisiciones mediante VPN es muy difícil.
ZTNA permite a las organizaciones comprender rápidamente su valor empresarial al conectar a empleados, colaboradores externos y asesores a los recursos esenciales desde el primer día. Elimina la necesidad de configurar una red privada virtual (VPN) y de fusionar redes, y permite una integración inmediata y segura.
Aunque las VPN de acceso remoto heredadas fueron pioneras en su día, ahora plantean importantes vulnerabilidades de seguridad y degradan el rendimiento de la red y la experiencia del usuario. En la actualidad, muchas soluciones ZTNA solo ofrecen una sustitución parcial de la VPN, lo que resulta en una compleja combinación de infraestructuras que puede ser más complicada que la configuración original. Al mirar las opciones que tenemos, vemos que estos esfuerzos no son necesarios si desde el principio sabemos qué tipo de uso más difícil va a haber y lo planeamos cuando elegimos cómo hacer la arquitectura.
