El informe ThreatLabz VPN Risk Report 2026, Zscaler revela que las VPN se convirtieron en el vector de entrada preferido del ransomware, el espionaje de estado y los ataques con IA. El 84% de las organizaciones ya planea abandonarlas.

Las VPN fueron diseñadas para un mundo donde los defensores tenían semanas para investigar y parchear. Ese mundo ya no existe.

El tiempo que los atacantes VS tiempo que las empresas tardan en reaccionar

El dato que define todo el informe es este, el breakout time promedio, el tiempo que tarda un atacante en moverse lateralmente desde el acceso inicial hacia activos de alto valor es de 29 minutos. En ese mismo período, solo el 6% de las organizaciones es capaz de aplicar un parche a una vulnerabilidad crítica de VPN.

El 54% necesita entre una semana y un mes. O más.

Esa brecha no es un problema de recursos ni de presupuesto. Es una asimetría estructural: el atacante opera en minutos, el defensor opera en ciclos de gestión de cambios. Y la VPN, con su arquitectura de acceso amplio a la red, convierte esa asimetría en catástrofe, el 32% de las organizaciones admite que un atacante con una sola credencial robada obtiene acceso a toda la red corporativa.

Solo el 11% puede restringir una sesión comprometida a una única aplicación.

Un tubo sin ojos: la visibilidad que las VPN no dan

El 52% de los encuestados describe su VPN como "solo un tubo", un canal de transporte sin capacidad real de inspección de amenazas. La cifra no sorprende cuando se contrasta con esto, el 60% de las organizaciones inspecciona menos de la cuarta parte de su tráfico VPN cifrado. De esos, un tercio no inspecciona absolutamente nada.

El tráfico malicioso viaja cifrado. Atraviesa el túnel. Llega adentro. Nadie lo vio.

Ese punto ciego tiene consecuencias directas en la capacidad de contención. El 84% de los encuestados dice preocuparle mucho el movimiento lateral, pero el 77% admite no poder contenerlo. Y si la amenaza interna no basta, el factor humano agrava el cuadro, el 63% de los usuarios evade o rodea los controles de la VPN intencionalmente para acceder a sus aplicaciones con menos fricción.

Los controles que nadie cumple no son controles.

La puerta favorita del ransomware

El 68% de las organizaciones clasifica las credenciales robadas de VPN como el principal vector de entrada del ransomware. No es una percepción subjetiva, los números de incidentes reales la respaldan.

El grupo Akira acumuló más de 42 millones de dólares en pagos de rescate en campañas centradas en explotar accesos VPN, particularmente dispositivos SonicWall, según avisos conjuntos del FBI y CISA. Su metodología es directa, credenciales de VPN compradas o robadas, acceso a la red, movimiento lateral, cifrado.

La variante Fog fue más rápida. El informe documenta casos donde el grupo ejecutó el ciclo completo, desde el inicio de sesión en la VPN hasta el cifrado total de los sistemas, en menos de dos horas. No necesitó zero-days ni exploits sofisticados. Necesitó un usuario y una contraseña.

La aceleración de estas campañas está impulsada por IA. El 63% de las organizaciones identifica el robo de credenciales mediante campañas de phishing hiperrealistas generadas con IA como su mayor riesgo. El 61% reportó ataques con IA confirmados o bajo sospecha en los últimos 12 meses. Y un 19% admite que ya no puede distinguir un ataque asistido por IA de uno convencional.

Volt Typhoon, Salt Typhoon y los años que nadie detectó

El ransomware es ruidoso. El espionaje de estado no.

Las campañas Volt Typhoon y Salt Typhoon, atribuidas a actores patrocinados por China, representan el extremo opuesto del espectro: operaciones silenciosas, persistentes, diseñadas para no ser detectadas. Penetraron sistemas de telecomunicaciones, energía, transporte e infraestructura crítica de Estados Unidos y mantuvieron acceso durante años.

No rompieron la puerta. Entraron por la VPN, se instalaron, y esperaron.

El informe también documenta la explotación de vulnerabilidades graves en múltiples fabricantes antes de que existieran parches disponibles. En enero de 2025, la vulnerabilidad Ivanti CVE-2025-0282 permitió instalar malware capaz de sobrevivir reinicios de fábrica y actualizaciones de firmware, las mismas medidas que CISA recomendó como remediación.

En Cisco ASA y FTD, el grupo estatal UAT4356 explotó tres zero-days durante meses, apuntando a redes gubernamentales en múltiples países. Campañas similares afectaron dispositivos WatchGuard y portales Palo Alto GlobalProtect mediante fuerza bruta masiva.

El patrón se repite: la VPN como superficie de ataque de primera elección, la lentitud de parches como ventana de oportunidad, la falta de visibilidad interna como garantía de persistencia.

Zero Trust no es una tendencia, es la respuesta

El 84% de las organizaciones encuestadas ya está migrando o planea migrar a una arquitectura Zero Trust. Esa cifra no refleja entusiasmo por la innovación: refleja la presión acumulada de incidentes.

Zscaler articula la transición en cuatro cambios estructurales basados en el modelo de madurez de CISA:

• Eliminar el acceso amplio a la red. Cada sesión se conecta únicamente a la aplicación que el usuario necesita. La red interna queda oculta e inaccesible por defecto. Un atacante con credenciales válidas llega a una aplicación, no a un segmento de red.
• Autenticación continua. El modelo tradicional autentica al usuario una sola vez en el perímetro. Zero Trust valida en cada solicitud, analizando la postura del dispositivo y el comportamiento del usuario en tiempo real.
• Inspección de todo el tráfico en línea. Los túneles VPN crean puntos ciegos. La alternativa es inspeccionar el tráfico, incluso el cifrado, en la capa de acceso antes de que llegue a los sistemas internos.
• Detección automatizada. Sistemas impulsados por IA identifican movimientos anómalos a velocidad de máquina, sin la fricción de rendimiento que generan las VPN actuales.

La arquitectura que reemplaza a la VPN no es un producto, es un principio, ningún usuario, dispositivo o sesión recibe confianza implícita por el hecho de haber sido autenticado una vez.

El problema no es la tecnología, es la ventana

Las VPN no fallaron porque sean mala tecnología. Fallaron porque el entorno cambió y ellas no. El trabajo se fue a la nube, los usuarios se distribuyeron, los atacantes se profesionalizaron y la VPN siguió ofreciendo lo mismo, un túnel hacia una red plana sin visibilidad interna.

El informe de Zscaler no pide que las organizaciones abandonen la VPN por moda. Pide que reconozcan que seguir operando con una arquitectura de 29 días de exposición promedio en un entorno donde el breakout time es de 29 minutos no es una postura de seguridad. Es una apuesta.

¿Cuántos incidentes más necesita documentar la industria antes de que esa apuesta deje de ser aceptable?