Informe VPN 2025 de ThreatLabz: Por qué el 81 % de las organizaciones planean adoptar Zero Trust para 2026

Las tecnologías VPN han sido durante mucho tiempo la columna vertebral del acceso remoto, pero según una nueva investigación de ThreatLabz, los riesgos de seguridad y los desafíos de rendimiento de las VPN pueden estar cambiando rápidamente el statu quo para las empresas. 

El Informe de riesgos de VPN 2025 de Zscaler ThreatLabz con expertos en ciberseguridad se basa en la información de más de 600 profesionales de TI y seguridad sobre los crecientes riesgos y desafíos operativos que plantean las VPN. Revela que las empresas están lidiando activamente con los riesgos de seguridad, los desafíos de rendimiento y la complejidad operativa de las VPN. Una tendencia clave es que las empresas están comenzando aadoptar masivamente soluciones de zero trust. En general, el 65 % de las organizaciones tiene previsto reemplazar los servicios de VPN este año, un aumento del 23 % con respecto al año pasado. Mientras tanto, el 96 % de las organizaciones favorece un enfoque de zero trust y el 81 % planea implementar estrategias de zero trust en los próximos 12 meses. 

Entretanto, todos estos cambios se producen en el contexto de un panorama de amenazas impulsado por la IA. Debido a que las VPN están conectadas a Internet, se ha vuelto relativamente sencillo para los atacantes usar IA para realizar un reconocimiento automatizado de las vulnerabilidades de las VPN. Esto puede tomar la forma de simplemente pedirle a su chatbot de IA favorito que devuelva todos los CVE actuales de los productos VPN en uso por una empresa, que luego se escanean fácilmente en la Internet públic. Si tenemos en cuenta que los investigadores han descubierto recientemente que decenas de miles de direcciones IP públicas alojadas por al menos uno de los mayores proveedores de seguridad están siendo analizadas de forma activa, probablemente por atacantes, el quid del problema de las VPN queda claro: si eres accesible, eres accesible. 

El informe analiza estos riesgos en el contexto de las preocupaciones y planes empresariales, así como de la adopción de estrategias de zero trust para proteger al personal híbrido y permitir la conectividad segura con aplicaciones privadas. A continuación, esta entrada de blog analiza tres hallazgos clave del informe que subyacen a estos cambios cruciales. Para obtener información completa, análisis y mejores prácticas, descargue hoy mismo el Informe de riesgos de VPN de Zscaler ThreatLabz 2025. 

1. Los desafíos de seguridad generalizados de las VPN

Las redes privadas virtuales (VPN) fueron en su día el estándar de oro para permitir el acceso remoto seguro. Pero a medida que las amenazas cibernéticas evolucionan, las VPN han pasado de ser herramientas confiables a convertirse en importantes riesgos. De hecho, las vulnerabilidades de VPN están demostrando ser irresistibles para los atacantes: el 56 % de las organizaciones informaron sobre violaciones explotadas por VPN el año pasado, un aumento notable respecto del año anterior.

Estas vulnerabilidades representan un desafío crucial. Dado que las VPN son dispositivos conectados a internet, los ciberdelincuentes pueden sondear fácilmente la infraestructura de VPN afectada y explotarla antes de que se publique o aplique cualquier parche. Recientemente, CISA emitió un aviso para que las organizaciones afectadas apliquen las actualizaciones de seguridad para CVE-2025-22457, una vulnerabilidad crítica ya explotada que podría permitir a atacantes no autenticados ejecutar código remoto (RCE). 

Estas brechas se han convertido en puntos de entrada principales para campañas de ransomware, robo de credenciales y ciberespionaje que pueden causar daños generalizados en las redes. De hecho, un asombroso 92 % de los encuestados comparte la preocupación de que los fallos de VPN sin parchear provoquen directamente incidentes de ransomware, loque pone de relieve la dificultad de aplicar parches de VPN de forma continua y oportuna. Por otro lado, el 93 % de los encuestados expresa su preocupación por las vulnerabilidades de puerta trasera introducidas por conexiones VPN de terceros, ya que los atacantes explotan cada vez más las credenciales de terceros para vulnerar las redes sin ser detectados.

Análisis del auge de las CVE de VPN entre 2020 y 2025

Para comprender el aumento de las vulnerabilidades de VPN, ThreatLabz también analizó las vulnerabilidades y exposiciones comunes (CVE) de VPN entre 2020 y 2025, basándose en datos del Programa CVE de MITRE. En general, informar sobre vulnerabilidades es positivo, ya que la rápida divulgación y aplicación de parches de vulnerabilidades ayuda a todo el ecosistema a mejorar la ciberseguridad, la colaboración comunitaria y responder con rapidez a nuevos vectores de ataque. Ningún tipo de software es inmune a las vulnerabilidades, ni se debería esperar que lo sea. 

Figura 1: El tipo de impacto de las CVE de VPN de 2020 a 2024, que abarcan la ejecución remota de código (RCE), la escalada de privilegios, la denegación de servicio (DoS), la filtración de información confidencial y la omisión de la autenticación.

La forma en que se descubren estas CVE y la información que contienen reflejan cambios en el cambiante panorama de amenazas. En el caso de las VPN, ThreatLabz descubrió que las vulnerabilidades de las VPN no sólo han aumentado con el tiempo (lo que en parte refleja su popularidad durante la transición posterior al COVID al trabajo híbrido), sino que a menudo son graves. 

Durante el período de muestra, lss CVE de VPN crecieron un 82,5 % (hay que tener en cuenta que se han eliminado los datos de principios de 2025 para esta parte del análisis). El año pasado, aproximadamente el 60 % de las vulnerabilidades indicaron una puntuación CVSS alta o crítica, lo que indica un riesgo potencialmente grave para las organizaciones afectadas. Además, ThreatLabz descubrió que las vulnerabilidades que permiten la ejecución remota de código (RCE) eran el tipo más frecuente, en términos del impacto o las capacidades que pueden otorgar a los atacantes. Este tipo de vulnerabilidades suelen ser graves, ya que pueden otorgar a los atacantes la capacidad de ejecutar código arbitrario en el sistema. Dicho de otra forma, lejos de ser inocuas, la mayor parte de las CVE de VPN dejan a sus clientes vulnerables a exploits que los atacantes pueden explotar (y a menudo lo hacen). 

A medida que las empresas compiten por seguir el ritmo de la creciente sofisticación de los atacantes, las organizaciones están recurriendo a otras opciones. Las arquitecturas zero trust están surgiendo como la solución para llenar estas brechas de seguridad. A diferencia de las VPN, que se basan en la confianza implícita y el acceso amplio a la red, los marcos de zero trust aplican políticas de acceso granulares basadas en la identidad que mitigan directamente el movimiento de los atacantes dentro de las redes y eliminan el riesgo de que los atacantes puedan analizar y explotar fácilmente los activos conectados a Internet y a la red.

2. La frustración del usuario final impulsa la toma de decisiones empresariales

Las ineficiencias de las VPN no son solamente un problema de seguridad: también frustran a los usuarios. La conectividad lenta, las desconexiones frecuentes y los procesos de autenticación complejos han atormentado a los usuarios de VPN durante años, y estos problemas encabezan la lista de frustraciones de los usuarios finales según nuestros hallazgos. De acuerdo con el informe, estas frustraciones en la experiencia del usuario influyen cada vez más en las estrategias de TI y las empresas recurren a zero trust para ofrecer un acceso seguro sin problemas ni comprometer el rendimiento.

Los modelos de zero trust logran esto al eludir las dependencias de red centralizadas en favor de conexiones directas específicas de la aplicación. ¿El resultado? Los empleados obtienen acceso rápido y sin inconvenientes a las herramientas que necesitan, mientras que los equipos de TI pueden garantizar las verificaciones de la postura de seguridad y la aplicación de políticas en tiempo real. Como era de esperar, las soluciones de zero trust satisfacen tanto a los usuarios finales como a los equipos de TI, lo que consolida este enfoque como la próxima evolución del acceso seguro.

3. El 81 % de las organizaciones están realizando una transición activa hacia marcos de Zero Trust

Como resultado de estas tendencias, una comprensión generalizada está transformando las estrategias de ciberseguridad: zero trust ya no es sólo conceptual: es fundamental. Dado que el 81 % de las organizaciones implementarán activamente marcos de zero trust durante el próximo año, las empresas se están alejando de los sistemas VPN tradicionales que no satisfacen las demandas de acceso remoto de las empresas actuales. Este cambio marca una transición clave desde considerar zero trust como un ideal teórico a adoptarla como una solución práctica.

¿Qué hace que zero trust sea el enfoque preferido? A diferencia de las VPN, que normalmente otorgan un amplio acceso a la red basándose en la confianza implícita, zero trust funciona según el principio de “nunca confiar, siempre verificar”. Zero trust permite controles de acceso altamente granulares a aplicaciones privadas, verificación de identidad sólida y supervisión continua, brindando protección efectiva para plantillas distribuidas y entornos de TI híbridos. En general, las empresas que han hecho la transición a zero trust desde una tecnología VPN encontraron que la mejora de la seguridad y el cumplimiento eran la principal ventaja (76 %), reforzando el hecho de que zero trust reemplaza el acceso implícito a la red y reduce la exposición al ransomware, el robo de credenciales y los riesgos de movimiento lateral. Junto con las mejoras en escalabilidad, cumplimiento y simplicidad operativa, está cada vez más claro por qué las arquitecturas zero trust están reemplazando rápidamente a las VPN.

Obtenga el informe

Para las empresas que buscan una perspectiva sobre las VPN y el acceso remoto, el Informe de Riesgos de VPN 2025 de ThreatLabz ofrece información clave. Descargue su copia para obtener información crucial. into:  

• Seguridad empresarial y desafíos operativos de las VPN
• Mejores prácticas críticas para proteger al personal híbrido
• Perspectivas de pares sobre la transición a la zero trust
• Predicciones sobre la VPN para 2025 y más adelante