Volver al blog
VPN y Acceso Remoto Seguro: Cuando tu empresa trabaja desde el sofá
Mejores Prácticas

VPN y Acceso Remoto Seguro: Cuando tu empresa trabaja desde el sofá

El trabajo remoto e híbrido llegó para quedarse, pero con él llegaron riesgos que muchas empresas nunca consideraron. Entendé la diferencia entre una VPN tradicional, ZTNA y SD-WAN, y qué necesita tu empresa para que el trabajo desde cualquier lugar no se convierta en una puerta trasera.

Equipo Cibershield22 May, 20269 min de lectura

La sucursal que se conecta a la matriz a través de una autopista sin peaje... ni semáforos

Imaginá que tu empresa tiene una sucursal en Cartago y la oficina central está en San José. Para que los empleados de Cartago puedan acceder a los sistemas centrales, construyeron una autopista directa entre las dos oficinas. Sin peaje, sin semáforos, sin controles migratorios. Cualquier vehículo que logre entrar a esa autopista puede llegar directamente al corazón de la oficina central. Ahora imaginá que esa autopista no termina en la sucursal de Cartago. Termina en el cuarto de la casa de Roberto, que trabaja desde su laptop con el WiFi del vecino porque el suyo se cayó.

Esa autopista es una VPN mal configurada. Y ese escenario no es exagerado: es la realidad de miles de empresas en Centroamérica que habilitaron acceso remoto de emergencia durante la pandemia en 2020 y nunca revisaron si lo configuraron correctamente.

El trabajo remoto e híbrido dejó de ser una excepción para convertirse en norma. Según datos de Mercer para Latinoamérica, en 2024 el 58% de las empresas mantiene alguna forma de esquema híbrido permanente. En el sector de servicios y tecnología, el porcentaje supera el 70%. Esto significa que los perímetros tradicionales de red empresarial, basados en la premisa de que los empleados trabajan dentro de la oficina, están obsoletos.

La pregunta ya no es si vas a tener acceso remoto. Es si ese acceso es seguro.

Por qué el acceso remoto mal configurado es una crisis esperando ocurrir

Antes de hablar de soluciones, entendamos los riesgos concretos del acceso remoto sin los controles adecuados:

El dispositivo personal como vector de ataque

Cuando un empleado se conecta desde su laptop personal, esa laptop trae consigo todo su historial: puede tener malware instalado sin que él lo sepa, software desactualizado con vulnerabilidades conocidas, juegos descargados de fuentes dudosas, o compartir el equipo con sus hijos. Si ese dispositivo se conecta a la red corporativa a través de una VPN sin controles de postura del dispositivo (device posture check), todo lo que hay en esa laptop tiene acceso potencial a los sistemas de la empresa.

El WiFi público como punto de intercepción

Cafeterías, aeropuertos, hoteles y espacios de coworking tienen redes WiFi compartidas que pueden ser monitoreadas. Sin una VPN activa, todo el tráfico del empleado viaja en texto plano potencialmente visible para otros usuarios de la red.

Pero incluso con VPN, si el empleado se conecta a una red WiFi maliciosa configurada por un atacante para imitar una red legítima (ataque de Evil Twin), el dispositivo puede ser comprometido antes de que la VPN establezca la conexión.

El túnel VPN como entrada lateral

Una VPN tradicional, una vez autenticada, típicamente da acceso completo a toda la red interna. Si las credenciales de un empleado son comprometidas, el atacante tiene el mismo acceso que ese empleado, pero a toda la red, no solo a los sistemas que ese empleado necesita.

Esto es lo que explotó en el ataque a Colonial Pipeline (2021): acceso a través de una VPN con credenciales comprometidas, sin autenticación multifactor activa, que le dio al atacante acceso irrestricto a los sistemas operativos de la empresa.

VPN tradicional vs ZTNA: la diferencia que importa

Durante décadas, la VPN (Virtual Private Network) fue la solución estándar para acceso remoto seguro. Funciona creando un túnel cifrado entre el dispositivo del empleado y la red corporativa, de modo que el tráfico viaja protegido sobre internet público.

Pero el modelo VPN tradicional tiene un problema de diseño fundamental: es un modelo de confianza binaria. O estás dentro de la red (autenticado por VPN) y tenés acceso a todo, o estás afuera y no tenés acceso a nada. No hay grises.

ZTNA (Zero Trust Network Access) es el nuevo paradigma que reemplaza esa lógica. En lugar de dar acceso a la red completa, ZTNA da acceso únicamente a las aplicaciones y recursos específicos que el usuario necesita, después de verificar continuamente:

¿Quién es el usuario?: (identidad verificada con MFA)
¿Qué dispositivo usa?: (estado del dispositivo, sistema operativo actualizado, antivirus activo)
¿Desde dónde se conecta?: (ubicación geográfica, red, hora del día)
¿A qué recurso específico necesita acceder?: (acceso granular por aplicación, no por red completa)

La diferencia práctica es enorme: si las credenciales de un empleado de contabilidad son comprometidas, con VPN el atacante accede a toda la red corporativa. Con ZTNA, solo accede a las aplicaciones contables a las que ese empleado específico tiene permiso, desde los dispositivos aprobados.

SD-WAN: cuando la sucursal también es remota

SD-WAN (Software-Defined Wide Area Network) es una solución diferente al ZTNA aunque a veces se confunden. Mientras ZTNA resuelve el problema del usuario individual trabajando desde cualquier lugar, SD-WAN resuelve el problema de conectar múltiples oficinas o sucursales de forma segura y eficiente.

Una empresa con sede en San José y sucursales en Liberia, Limón y Ciudad de Guatemala puede usar SD-WAN para:

Conectar todas las oficinas en una red privada virtual con cifrado.
Enrutar el tráfico de forma inteligente: aplicaciones críticas por la ruta más estable, tráfico de streaming por la ruta más económica.
Gestionar todas las conexiones desde un panel centralizado.
Agregar automáticamente conexiones de respaldo si la conexión principal falla.

SD-WAN es particularmente relevante para empresas centroamericanas con operaciones en múltiples países donde la conectividad puede ser inconsistente.

Configuraciones mínimas de seguridad para VPN

Si tu empresa usa VPN tradicional y no está lista para migrar a ZTNA, estas son las configuraciones mínimas que deben estar activas:

Autenticación multifactor obligatoria

Esto es innegociable. Una VPN sin MFA es como una puerta con llave que cualquiera puede abrir si consigue la llave (la contraseña). Con MFA, necesitan la llave y el teléfono del usuario.

Certificados de dispositivo

En lugar de solo usuario y contraseña, la VPN también verifica que el dispositivo tiene un certificado digital instalado previamente por el departamento de TI. Esto evita que alguien se conecte desde un dispositivo no autorizado aunque tenga las credenciales correctas.

Split tunneling: con precaución

El split tunneling permite que solo el tráfico corporativo vaya a través del túnel VPN, mientras el tráfico personal (Netflix, redes sociales) va directo a internet. Esto reduce el uso de ancho de banda de la VPN.

Pero tiene un riesgo importante: si el empleado accede a un sitio malicioso por fuera del túnel, su dispositivo puede ser comprometido, y ese dispositivo sigue conectado a la red corporativa por dentro del túnel.

La recomendación es usar split tunneling solo si los dispositivos corporativos tienen controles adicionales (EDR, DNS filtering) activos fuera del túnel VPN.

Tiempo de sesión y reconexión automática

Las sesiones VPN deben tener un tiempo máximo de inactividad antes de desconectarse. Una sesión abierta en un dispositivo desatendido en un café es un riesgo serio.

Registro de auditoría

Toda conexión a la VPN debe quedar registrada: quién se conectó, desde qué IP, a qué hora, cuánto tiempo estuvo conectado, a qué recursos accedió. Estos logs son indispensables para detectar comportamientos anómalos y para la investigación forense en caso de incidente.

El empleado trabajando desde el café: protocolo mínimo

Cuando un empleado trabaja desde un espacio público con WiFi compartido:

Antes de conectarse al WiFi público:

Verificar que el nombre de la red es el oficial del establecimiento (preguntar al personal si hay duda). Una red "Starbucks_Free" puede ser un Evil Twin creado por alguien sentado en una mesa.
Si el trabajo del día involucra información sensible, considerar usar el hotspot del teléfono celular en lugar del WiFi público.

Una vez conectado:

Activar la VPN inmediatamente, antes de abrir cualquier aplicación corporativa.
No acceder a sistemas bancarios o financieros corporativos desde redes públicas si es posible evitarlo.
Usar protector de pantalla de privacidad en la laptop para evitar que personas cercanas vean información confidencial.
No dejar el dispositivo desatendido. Ni para ir al baño. Los ataques de "evil maid" (acceso físico breve al dispositivo) son más comunes de lo que se cree.

Después de trabajar:

Desconectarse de la VPN y del WiFi público.
Si se trabajó con información muy sensible, considerar reiniciar el dispositivo.

Gestión de dispositivos remotos: MDM y EDR

Para empresas con empleados remotos, dos tecnologías son fundamentales:

MDM (Mobile Device Management)

Un sistema MDM permite a TI gestionar y asegurar dispositivos corporativos a distancia:

Enforcar políticas de seguridad: cifrado de disco activo, contraseña de pantalla, actualizaciones automáticas.
Instalar y actualizar aplicaciones corporativas de forma remota.
Borrar el dispositivo de forma remota en caso de robo o pérdida.
Prevenir que se instalen aplicaciones no autorizadas.

Microsoft Intune y Jamf son los más comunes para entornos corporativos. Para PYMEs, Kandji (macOS) o NinjaRMM ofrecen alternativas más accesibles.

EDR (Endpoint Detection and Response)

Más potente que un antivirus tradicional, un EDR monitorea el comportamiento del dispositivo en tiempo real y puede detectar amenazas que los antivirus basados en firmas no reconocen. Si el dispositivo es comprometido, el EDR puede aislarlo automáticamente de la red para contener el daño.

Para dispositivos que se conectan remotamente a sistemas corporativos, tener EDR activo es tan importante como tener VPN.

El mapa de madurez del acceso remoto seguro

Dependiendo del punto de partida de tu empresa, este es el camino progresivo:

Nivel 1 - Básico (mínimo aceptable):

VPN con autenticación multifactor.
Política de contraseñas fuertes y gestor de contraseñas.
Capacitación básica en riesgos de WiFi público.

Nivel 2 - Intermedio:

VPN con certificados de dispositivo y control de postura.
MDM en dispositivos corporativos.
Antivirus/EDR en todos los endpoints remotos.
Registros de auditoría de conexiones VPN.

Nivel 3 - Avanzado:

ZTNA con acceso granular por aplicación.
DNS filtering para bloquear sitios maliciosos fuera del túnel.
SASE (Secure Access Service Edge) que combina ZTNA con seguridad de red en la nube.
Monitoreo continuo de comportamiento de usuarios remotos.

No todas las empresas necesitan llegar al nivel 3. Una PYME con 20 empleados remotos que maneja datos de clientes debería estar sólidamente en el nivel 2 antes de considerar el 3.

Errores comunes que cometen las empresas centroamericanas

VPN habilitada durante la pandemia y nunca actualizada:: Las versiones antiguas de software VPN (Pulse Secure, Fortinet, Cisco AnyConnect) han tenido vulnerabilidades críticas no parcheadas en muchas organizaciones de la región.
Credenciales de VPN iguales a las del correo:: Si el empleado reutiliza contraseñas y su correo es comprometido, la VPN también lo es.
Sin lista de dispositivos autorizados:: Cualquier persona con credenciales puede conectarse desde cualquier dispositivo. No hay forma de saber si el dispositivo es corporativo o personal, ni en qué estado está.
Acceso remoto para proveedores externos sin restricciones:: El proveedor de soporte de TI tiene acceso VPN a toda la red, a cualquier hora del día, sin notificación ni registro.
No revocar acceso VPN al dar de baja a empleados:: Mismo problema que el IAM. La VPN es otra cuenta más que se olvida en el offboarding.

La oficina ya no tiene paredes, pero sí puede tener controles

El trabajo remoto e híbrido no es un riesgo que se puede eliminar, ni tampoco debería. Sus beneficios en productividad, retención de talento y continuidad del negocio son reales. El objetivo es gestionarlo con los controles adecuados para que la flexibilidad no se convierta en vulnerabilidad.

La buena noticia: en 2026, las herramientas para acceso remoto seguro son más accesibles, mejor integradas y más fáciles de implementar que nunca. El costo de no implementarlas, medido en un incidente de seguridad, siempre es mayor.

En CiberShield evaluamos tu infraestructura de acceso remoto, identificamos brechas de seguridad en tu configuración VPN actual y te acompañamos en la implementación de controles proporcionales al tamaño y riesgo de tu empresa. Desde la configuración de MFA en tu VPN existente hasta la migración hacia ZTNA, trabajamos con las herramientas que ya tenés o las que mejor se adaptan a tu entorno. Escribinos para una evaluación inicial.

¿Necesita ayuda con su ciberseguridad?

Nuestro equipo está listo para ayudarle a proteger su empresa.

Artículos relacionados

Amenazas

Dark Web Monitoring: Lo que los ciberdelincuentes ya saben sobre tu empresa

En foros oscuros de internet se venden credenciales corporativas, listas de clientes y datos de empleados por unos pocos dólares. La pregunta no es si los datos de tu empresa están ahí afuera, sino cuándo te vas a enterar y qué vas a hacer al respecto.

Amenazas

Business Email Compromise: El fraude que vacía cuentas sin hackear nada técnico

El Business Email Compromise no explota vulnerabilidades de software. Explota la confianza. Con un correo bien redactado y el nombre del gerente adecuado, los atacantes logran transferencias bancarias de miles de dólares sin tocar una sola línea de código.