La gran idea: Las VPN ya no son la columna vertebral del acceso seguro
Las redes privadas virtuales (VPN) fueron el estándar para la conectividad remota durante más de dos décadas. Pero a medida que las empresas han ido adoptando modelos de trabajo híbridos y operaciones centradas en la nube, las debilidades de las VPN se han vuelto imposibles de ignorar. Descubrimos que, en tan solo un año, más de la mitad de las organizaciones sufrieron ataques directamente relacionados con vulnerabilidades de VPN.
Los atacantes utilizan cada vez más vulnerabilidades de día cero, credenciales robadas y reconocimiento impulsado por IA para explotar estas soluciones de acceso obsoletas e infiltrarse en las redes. No es de extrañar que la gran mayoría de las organizaciones ahora planeen adoptar una estrategia Zero Trust para 2026.
Las VPN aceleran el riesgo en todas las dimensiones.
La encuesta global realizada por el informe a 632 profesionales de TI y ciberseguridad reveló cuatro tendencias definitorias:
- La obsolescencia de las VPN se está acelerando. Un impresionante 65% de las empresas tiene previsto sustituir sus VPN en el plazo de un año, un 23% más que en el informe del año pasado.
- La explotación de VPN está en aumento. Este año, el 56% de las organizaciones sufrieron brechas de seguridad relacionadas con las VPN, y el 92% teme que las VPN las expongan al ransomware.
- La frustración con las VPN está llegando a su punto máximo. El 51% de las organizaciones afirma que sus VPN ofrecen malas experiencias de usuario, y el 37% se queja de los altos costes.
- Zero Trust está reemplazando rápidamente a las VPN. Casi todas las organizaciones (96%) ya han implementado, están planificando o han adoptado una estrategia Zero Trust.
Las VPN aumentan la probabilidad y el alcance de los ataques.
Los grupos de ransomware han aprendido que las VPN son objetivos fáciles, lo que las convierte en blancos atractivos. Los dispositivos sin revisiones y los modelos de confianza implícitos permiten a los atacantes desplegar rápidamente ransomware y otro malware, así como realizar movimientos laterales sin obstáculos.
En respuesta, algunos proveedores de VPN tradicionales han rebautizado las máquinas virtuales entregadas en la nube como soluciones Zero Trust. Sin embargo, desde un punto de vista arquitectónico, las VPN alojadas en la nube siguen siendo servicios conectados a Internet con direcciones IP públicas que los atacantes pueden encontrar y vulnerar.
Ahora, el 71 % de los encuestados considera el movimiento lateral como una de sus principales preocupaciones, ya que los modelos de confianza implícitos de las VPN significan que un usuario comprometido puede vulnerar efectivamente todo un entorno. Los atacantes pueden entonces utilizar su amplio acceso a la red para escalar privilegios y robar datos confidenciales antes de ser detectados.
Las VPN conllevan costes ocultos en forma de tiempo de inactividad y fatiga.
Las VPN heredadas consumen enormes cantidades de recursos, lo que supone una carga operativa para los equipos de TI que ya cuentan con recursos insuficientes. Los exorbitantes costes de mantenimiento y la protección ineficaz dejan cada vez más claro que el modelo VPN es insostenible.
Además, las VPN están creando problemas a más personas que solo a los equipos de TI. Los usuarios están expresando su frustración con una serie de problemas de VPN, desde un rendimiento deficiente hasta problemas de inicio de sesión, pasando simplemente por la inaccesibilidad a recursos esenciales. Estos problemas frenan la productividad y aumentan las incidencias en el servicio de asistencia técnica.
Zero Trust está cobrando un impulso decisivo.
La mayoría de las organizaciones reconocen que las VPN ya no pueden satisfacer sus necesidades de seguridad y acceso. Las crecientes vulnerabilidades, las malas experiencias de usuario y las exigencias de mantenimiento están alejando a las organizaciones de las VPN a un ritmo histórico y acercándolas a soluciones modernas de acceso seguro como el acceso a la red Zero Trust (ZTNA).
Para reforzar las debilidades de las arquitecturas VPN heredadas, la gran mayoría (96 %) de las organizaciones está considerando o ya está adoptando una estrategia Zero Trust en un futuro próximo.
El debate entre la arquitectura Zero Trust y las VPN ha terminado.
Las VPN alguna vez definieron el acceso remoto. Hoy, ellos definen el riesgo. Los perímetros tradicionales se han derrumbado y los atacantes están explotando cada brecha, desde cadenas CVE sin revisar hasta puertas traseras de terceros.
Nuestros hallazgos dejan una cosa clara: las empresas deben reemplazar las VPN con arquitecturas Zero Trust para mantenerse resilientes frente a las sofisticadas amenazas actuales.
Descargue el informe completo de Zscaler ThreatLabz sobre riesgos de VPN para 2025 para obtener información, tendencias y análisis ampliados, que incluyen:
- Las vulnerabilidades VPN más graves, desde la ejecución remota de código hasta la elusión de la autenticación.
- ¿Qué provocó algunas de las brechas de seguridad más importantes relacionadas con las VPN este año?
- Riesgos empresariales durante las fusiones y adquisiciones y el acceso de terceros, desde vulnerabilidades heredadas hasta puertas traseras en las VPN de los proveedores.
- Casos prácticos reales como el de ManPower Group, que redujo las incidencias de soporte técnico en un 97 % tras sustituir las VPN.
- Las 7 principales predicciones de riesgo de VPN para 2025 y más allá, según nuestro equipo experto en investigación de amenazas.
- Mejores prácticas que su organización puede implementar hoy para eliminar los riesgos críticos de la VPN