Las VPN llevan décadas siendo la solución por defecto para el acceso remoto seguro. Están en el inventario de prácticamente cualquier empresa que gestione trabajadores remotos o múltiples sedes. El problema es que también llevan décadas siendo mal configuradas, mal mantenidas y elegidas por precio en lugar de por seguridad.

La realidad es esta: una VPN no es un escudo mágico. Es un túnel cifrado que mueve datos entre dos puntos sin que terceros puedan leerlos en tránsito. Lo que ocurre en los extremos de ese túnel, el dispositivo del usuario y el servidor de la empresa, es responsabilidad exclusiva de quien lo administra.

¿Qué es una VPN y cómo funciona?

Una VPN (Virtual Private Network) crea un canal cifrado entre el dispositivo del usuario y un servidor remoto, a través de internet. Todo el tráfico que pasa por ese canal queda protegido frente a interceptación: ni el proveedor de internet, ni actores en la misma red pública, ni terceros pueden leer el contenido en tránsito.

El mecanismo sigue cuatro pasos secuenciales:

1. El cliente VPN del dispositivo establece una conexión con el servidor VPN remoto.
2. Ambos extremos negocian claves de cifrado mediante el protocolo configurado.
3. Todo el tráfico del dispositivo viaja cifrado hasta el servidor VPN, que lo descifra y lo reenvía al destino.
4. Las respuestas recorren el camino inverso, cifradas desde el servidor hasta el dispositivo.

El resultado: el dispositivo aparece en internet con la dirección IP del servidor VPN, no con la IP real del usuario. Esto sirve tanto para privacidad como para acceder a redes corporativas privadas desde cualquier ubicación geográfica.

Los protocolos de cifrado determinan la seguridad y el rendimiento del túnel. OpenVPN con AES-256 es el estándar de referencia para entornos empresariales. WireGuard es la opción moderna, más ligera y eficiente, con una base de código significativamente más pequeña y auditable. IKEv2 es la opción preferida en entornos móviles por su capacidad de reconectarse rápidamente tras cambios de red. PPTP está descartado: sus vulnerabilidades están documentadas desde 2012 y no tiene lugar en ninguna arquitectura actual.

Tipos de VPN: cuál corresponde a cada caso de uso

No todas las VPN resuelven el mismo problema, y elegir el tipo incorrecto añade complejidad sin mejorar la seguridad.

VPN de acceso remoto. Un usuario individual se conecta desde su dispositivo a la red corporativa. El escenario clásico del teletrabajo: el cliente instalado en el portátil cifra el tráfico hasta el concentrador VPN de la empresa. La organización mantiene control total sobre quién accede, desde qué dispositivos y en qué horarios.

VPN Site-to-Site. Conecta dos redes completas entre sí, como si fueran la misma LAN. Ideal para organizaciones con múltiples sedes que comparten recursos internos sin exponer servicios a internet. No requiere cliente en los dispositivos individuales: los firewalls o routers de cada sede gestionan el túnel de forma transparente.

VPN de proveedor comercial. El usuario se conecta a los servidores del proveedor para ocultar su IP o eludir restricciones geográficas. Útil para privacidad personal y para equipos que operan en países con censura activa. La confianza se traslada completamente al proveedor: si su política de registros no es verificable de forma independiente, el anonimato prometido puede no ser real.

Dónde las VPN fallan, y por qué nadie lo menciona en el brochure

Seamos claros: las VPN resuelven el problema del tráfico en tránsito. No resuelven la seguridad del endpoint de origen, no reemplazan la autenticación fuerte, no protegen contra amenazas internas y no segmentan el acceso más allá de lo que los permisos de red permitan.

Los últimos años han dejado un rastro documentado de vulnerabilidades críticas en los propios clientes VPN empresariales. Las fallas CVE-2021-22893 en Pulse Secure fueron explotadas activamente por grupos APT para acceder a redes de gobierno y defensa en Estados Unidos antes de que existiera parche disponible. Fortinet publicó múltiples CVEs en su FortiGate SSL-VPN entre 2022 y 2024, varios con puntuación CVSS superior a 9.8, explotados masivamente antes de que las organizaciones aplicaran las correcciones. Ambos casos figuran en el catálogo de vulnerabilidades conocidas explotadas de CISA. El patrón se repite: la solución que protege el acceso remoto se convierte en el punto de entrada cuando no se parchea con la urgencia que sus CVEs requieren.

Las VPN gratuitas añaden otro vector. En 2015 se documentó que Hola VPN vendía el ancho de banda de sus usuarios para operaciones de botnet. Múltiples auditorías independientes han revelado que proveedores que se anuncian con "política de no registro" sí mantienen logs de conexión. La regla es simple: si el servicio es gratuito, el producto eres tú. Para un análisis detallado de este riesgo específico, nuestra guía sobre los riesgos ocultos de las VPN gratuitas cubre los casos documentados con detalle.

El límite arquitectónico más importante de las VPN tradicionales es el acceso todo-o-nada. Una vez dentro del túnel, el usuario tiene acceso a todo lo que la red permite para su perfil. Si esas credenciales se comprometen, el atacante hereda el mismo nivel de acceso. Por eso el modelo de Zero Trust está reemplazando progresivamente a la VPN como arquitectura de acceso remoto en organizaciones con una postura de seguridad madura: verifica cada solicitud de acceso de forma independiente, sin asumir que quien ya está dentro del túnel es de confianza.

VPN para empresas: los factores que no están en el comparativo de precios

Elegir una VPN para entorno corporativo exige criterios técnicos concretos. Los que determinan si una solución es apta:

Integración con MFA. Esto no es opcional. Una VPN sin autenticación multifactor es una cerradura con contraseña de cuatro dígitos. La combinación de credencial comprometida y ausencia de MFA es el vector de entrada más repetido en los incidentes documentados públicamente.

Historial de parches del proveedor. Verificar el tiempo de respuesta ante CVEs críticos. Un proveedor que tarda semanas en publicar correcciones para vulnerabilidades activamente explotadas es un riesgo en sí mismo, independientemente de la calidad del cifrado.

Visibilidad y auditoría. La solución debe registrar conexiones, duraciones de sesión y volúmenes de tráfico por usuario. Sin esos registros, la investigación forense tras un incidente es prácticamente imposible, y la detección de comportamientos anómalos, inviable.

Segmentación de acceso. La VPN debe poder limitar el acceso de cada usuario o grupo a los recursos estrictamente necesarios para su rol, no dar acceso plano a toda la red corporativa como un único blob de permisos.

Para entornos donde el acceso remoto incluye soporte técnico a clientes o acceso de proveedores externos a infraestructura propia, las herramientas especializadas de acceso y soporte remoto seguro incorporan cifrado extremo a extremo, MFA y auditoría completa de sesiones de forma nativa, sin las limitaciones arquitectónicas del modelo VPN tradicional.

Conclusión: la VPN es necesaria, pero no suficiente

Una VPN bien configurada, actualizada y combinada con MFA es parte indispensable de cualquier estrategia de acceso remoto. No es un sustituto del control de acceso, de la segmentación de red ni de la gestión de vulnerabilidades. Es una capa de protección del canal de comunicación, no un sistema de seguridad completo.

La decisión de qué VPN usar y cómo configurarla tiene consecuencias directas en la superficie de ataque de la organización. Las vulnerabilidades en soluciones VPN empresariales figuraron entre las diez categorías más explotadas globalmente durante 2023 y 2024 según CISA. Tratar la VPN como un producto que se instala y se olvida es exactamente el comportamiento que los grupos APT esperan encontrar.