Cuando el mundo decidió que trabajar en pijama era productivo, nadie le avisó al departamento de TI. La pandemia no inventó el trabajo remoto, pero lo masificó a tal velocidad que las defensas corporativas quedaron atrapadas en la oficina mientras los empleados se dispersaban por casas, cafeterías y aeropuertos con redes sin contraseña. Más del 70% de los trabajadores globales operan de forma remota al menos un día a la semana, según el informe de Owl Labs 2023. El 23% lo hace tiempo completo. Y la red corporativa, diseñada para un perímetro físico que ya no existe, intenta cubrir esa dispersión con parches improvisados y esperanza.

El resultado está en los números: el FBI registró más de 880.000 denuncias de cibercrímenes en 2023, con pérdidas que superan los 12.500 millones de dólares. Una porción desproporcionada de esos incidentes tiene un denominador común: credenciales de acceso remoto comprometidas. VPN mal configuradas, RDP expuesto directamente a internet, contraseñas reutilizadas desde hace tres años. La combinación favorita de los grupos de ransomware para entrar sin hacer ruido y quedarse semanas sin ser detectados.

Seguridad de acceso remoto: cuando la red corporativa vive en el café de la esquina

La seguridad de acceso remoto no es un producto que se compra y se olvida. Es un conjunto de decisiones técnicas que determinan quién puede entrar a los sistemas de una empresa, desde dónde, con qué dispositivo y bajo qué condiciones. El problema es que muchas organizaciones, especialmente en México, Colombia y Argentina, tomaron esas decisiones en 2020 bajo presión extrema y nunca regresaron a revisarlas.

Una VPN sin MFA y sin monitoreo no es seguridad. Es una puerta con cerradura, pero con la llave pegada en el marco.

Las tecnologías centrales del acceso remoto son tres, y cada una tiene sus límites:

• VPN (Red Privada Virtual): cifra el tráfico entre el dispositivo del usuario y la red corporativa. Los protocolos modernos como WireGuard han reemplazado progresivamente a L2TP/IPsec y OpenVPN donde la eficiencia importa. Sin embargo, la VPN tradicional sigue siendo el punto débil predilecto: acceso todo-o-nada, credenciales que no expiran, túneles abiertos indefinidamente y sin supervisión.
• RDP (Remote Desktop Protocol): permite controlar equipos remotos como si estuvieras físicamente frente a ellos. Práctico. Y brutalmente expuesto cuando se deja sin restricciones. El grupo Conti utilizó RDP como vector de entrada en decenas de ataques documentados; Salt Typhoon, vinculado a operaciones de espionaje contra operadores de telecomunicaciones en Estados Unidos, también aprovechó credenciales RDP filtradas para moverse lateralmente durante meses sin ser detectado.
• Zero Trust Network Access (ZTNA): el reemplazo conceptual de la VPN. Parte de una premisa radical: nadie es de confianza por defecto, ni siquiera quien ya está dentro de la red. Cada solicitud se verifica contra identidad, dispositivo, ubicación y comportamiento. No es un producto único, es una arquitectura, y puedes ver cómo se aplica en entornos industriales en nuestra guía de Zero Trust para OT e infraestructura crítica.

Las tres amenazas que no aparecen en el manual de onboarding

El acceso remoto concentra vectores que los atacantes explotan de forma rutinaria, y ninguno requiere genialidad técnica.

El phishing de credenciales VPN es el más simple. Un correo que imita el portal de acceso de la empresa, un empleado cansado que no verifica el dominio, y listo: el atacante tiene usuario y contraseña válidos. En LATAM, donde la formación en ciberhigiene sigue siendo una asignatura pendiente con presupuestos que son, en el mejor de los casos, migajas, este vector funciona con una eficacia que da vergüenza ajena.

Los ataques de fuerza bruta contra RDP son el segundo. Herramientas automatizadas prueban combinaciones de contraseñas contra servicios expuestos en el puerto 3389. Si el servidor no limita intentos fallidos y la contraseña es débil, el acceso es cuestión de horas. No de días.

El tercero, y el que más duele, es la explotación de vulnerabilidades sin parchear en los propios clientes VPN. Ivanti, Palo Alto, Cisco y Fortinet publicaron avisos críticos en 2024 sobre sus soluciones de acceso remoto. Los grupos APT los explotan antes de que los equipos de TI terminen de leer el advisory. Las organizaciones que parchean cada trimestre operan con una deuda de exposición que ningún seguro cibernético cubre bien.

La defensa que sí funciona, incluso con presupuesto de LATAM

No hace falta comprar el stack completo de Zero Trust en el primer trimestre. La seguridad de acceso remoto efectiva se construye por capas, priorizando las que cierran más superficie con menos inversión.

MFA en cada punto de acceso. No opcional, no "en proceso de implementación". Hoy. Una contraseña comprometida con MFA activo es inútil para el atacante. Sin MFA, el resto del stack importa menos de lo que crees.

Gestión de sesiones privilegiadas. Los usuarios con acceso a sistemas críticos necesitan supervisión adicional: grabación de sesiones, alertas ante comportamientos anómalos, acceso just-in-time que expira automáticamente. No es paranoia corporativa, es el mínimo razonable cuando alguien puede tocar servidores de producción desde una red doméstica sin filtros.

Parches automatizados. El tiempo entre la publicación de un CVE y su explotación activa se ha comprimido a días, a veces horas. Las organizaciones que dependen de ventanas de mantenimiento mensuales operan con exposición permanente. Automatizar el parcheo de endpoints y aplicaciones de acceso remoto no es un lujo de grandes empresas.

Monitoreo de comportamiento en endpoints. Un colaborador que a las 2 AM descarga 40 GB del servidor de documentos no encaja en ningún patrón normal. Las soluciones EDR y XDR detectan estas anomalías y pueden bloquear automáticamente la sesión antes de que el daño sea irreversible.

Para las empresas que proveen soporte técnico remoto o dependen de proveedores externos que acceden a su infraestructura, las herramientas de acceso y soporte remoto seguro ofrecen cifrado extremo a extremo, autenticación de dos factores y registro completo de sesiones: el estándar mínimo antes de dejar que alguien externo toque tus sistemas.

El factor humano no se resuelve con tecnología. Se trabaja con formación continua, simulaciones de phishing, protocolos claros de reporte y, sobre todo, una cultura donde admitir que abriste un enlace sospechoso no te cuesta el puesto. Las políticas de mínimo privilegio cierran el radio de daño cuando algo inevitablemente falla. Y algo, eventualmente, siempre falla.

Latinoamérica tiene una particularidad que los informes globales ignoran sistemáticamente: la brecha entre la madurez de las amenazas y la madurez de las defensas es más ancha aquí que en Europa o Norteamérica. Las mismas TTPs que atacaron infraestructura crítica en Estados Unidos en 2023 se reciclan seis meses después contra empresas medianas en Bogotá o Monterrey, que no tienen ni el presupuesto ni el equipo para responder con la misma velocidad.

El acceso remoto seguro no es el problema más glamoroso de la ciberseguridad. No tiene el drama del ransomware ni la complejidad del OT. Pero es la puerta por la que entra la mayoría de los ataques más costosos. Y en demasiadas organizaciones de la región, esa puerta sigue abierta, con la llave a la vista.

¿Cuántas conexiones remotas activas tiene tu empresa ahora mismo, y cuántas de ellas puedes rastrear hasta un usuario, un dispositivo y una justificación válida?