Informe sobre las VPN de ThreatLabz 2025: Por qué el 81 % de las organizaciones piensan adoptar Zero Trust para 2026

Las tecnologías VPN han sido durante mucho tiempo la columna vertebral del acceso remoto, pero según una nueva investigación de ThreatLabz, los riesgos de seguridad y los desafíos de rendimiento de las VPN pueden estar cambiando rápidamente el status quo para las empresas. 

El Informe de Riesgos de VPN 2025 de Zscaler ThreatLabz con Cybersecurity Insiders se basa en la información de más de 600 profesionales de TI y seguridad sobre los crecientes riesgos y desafíos operativos que plantean las VPN. Revela que las empresas están lidiando activamente con los riesgos de seguridad, los desafíos de rendimiento y la complejidad operativa de las VPN. Una tendencia clave es que las empresas están comenzando a adoptar masivamente soluciones Zero Trust. En general, el 65 % de las organizaciones planea reemplazar los servicios de VPN este año, un aumento del 23 % con respecto al año pasado. Mientras tanto, el 96 % de las organizaciones favorece un enfoque Zero Trust yel 81 % planea implementar estrategias Zero Trust en los próximos 12 meses.

Mientras tanto, todos estos cambios ocurren en el contexto de un panorama de amenazas impulsado por la IA. Debido a que las VPN están conectadas a Internet, se ha vuelto relativamente sencillo para los atacantes usar IA para realizar un reconocimiento automatizado de las vulnerabilidades de las VPN. Esto puede consistir simplemente en pedir a su chatbot de IA favorito que le proporcione todas las CVE actuales de los productos VPN en uso por una empresa, que luego se pueden escanear fácilmente a través de la Internet pública. Si tenemos en cuenta que los investigadores han descubierto recientemente que decenas de miles de direcciones IP públicas alojadas por al menos uno de los mayores proveedores de seguridad están siendo escaneadas de manera activa, probablemente por atacantes, la clave del problema para las VPN queda clara: si usted es localizable, es accesible. 

El informe analiza estos riesgos en el contexto de las preocupaciones y planes empresariales, así como de la adopción de estrategias Zero Trust para proteger la fuerza de trabajo híbrida y permitir la conectividad segura con aplicaciones privadas. A continuación, esta entrada de blog analiza tres hallazgos clave del informe que subyacen a estos cambios cruciales. Para obtener información completa, análisis y mejores prácticas, descargue hoy mismo el Informe de Riesgos de VPN de Zscaler ThreatLabz 2025.

1. Los desafíos de seguridad generalizados de las VPN

Las redes privadas virtuales (VPN) alguna vez fueron el estándar de oro para permitir el acceso remoto seguro. Pero a medida que las ciberamenazas evolucionan, las VPN han pasado de ser herramientas confiables a convertirse en importantes riesgos. De hecho, las vulnerabilidades de VPN están demostrando ser irresistibles para los atacantes: el 56 % de las organizaciones informaron sobre violaciones explotadas por VPN el año pasado, un aumento notable respecto del año anterior.

Estas vulnerabilidades representan un desafío crucial. Dado que las VPN son dispositivos conectados a internet, los malintencionados pueden sondear fácilmente la infraestructura de VPN afectada y explotarla antes de que se publique o aplique cualquier parche. Recientemente, CISA emitió un aviso para que las organizaciones afectadas apliquen las actualizaciones de seguridad para CVE-2025-22457, una vulnerabilidad crítica ya explotada que podría permitir a atacantes no autenticados ejecutar código remoto (RCE). 

Estas brechas se han convertido en puntos de entrada principales para campañas de ransomware, robo de credenciales y ciberespionaje que pueden causar daños generalizados en las redes. De hecho, increíblemente, un 92 % de los encuestados comparte la preocupación de que las fallas de VPN sin parchear provoquen directamente incidentes de ransomware, lo que pone de relieve la dificultad de aplicar parches de VPN de manera continua y oportuna. Por otro lado, el 93 % de los encuestados expresa su preocupación por las vulnerabilidades de puerta trasera introducidas por conexiones VPN externas, ya que los atacantes explotan cada vez más las credenciales de terceros para vulnerar las redes sin ser detectados.

Mapeo del auge de las CVE de VPN entre 2020 y 2025

Para comprender el aumento de las vulnerabilidades de VPN, ThreatLabz también analizó las Vulnerabilidades y Exposiciones Comunes (CVE) de VPN entre 2020 y 2025, basándose en datos del Programa CVE de MITRE. En general, informar sobre vulnerabilidades es positivo, ya que la rápida divulgación y aplicación de parches de vulnerabilidades ayuda a todo el ecosistema a mejorar la ciberseguridad, la colaboración comunitaria y responder con rapidez a nuevos vectores de ataque. Ningún tipo de software es inmune a las vulnerabilidades, ni se debería esperar que lo sea. 

Figura 1: El tipo de impacto de las CVE de VPN de 2020 a 2024, que abarcan la ejecución remota de código (RCE), la escalada de privilegios, la denegación de servicio (DoS), la fuga de información confidencial y la omisión de la autenticación.

La manera en que se descubren estas CVE y la información que contienen reflejan cambios en el cambiante panorama de amenazas. En el caso de las VPN, ThreatLabz descubrió que las vulnerabilidades de las VPN no solo han aumentado con el tiempo (lo que en parte refleja su popularidad durante la transición después del COVID al trabajo híbrido), sino que a menudo son graves. 

Durante el período de muestra, las CVE de VPN crecieron un 82.5 % (tenga en cuenta que se han eliminado los datos de principios de 2025 para esta parte del análisis). El año pasado, aproximadamente el 60 % de las vulnerabilidades obtuvieron una puntuación CVSS alta o crítica, lo que indica un riesgo potencialmente grave para las organizaciones afectadas. Además, ThreatLabz descubrió que las vulnerabilidades que permiten la ejecución remota de código (RCE) eran el tipo más frecuente, en términos del impacto o las capacidades que pueden otorgar a los atacantes. Este tipo de vulnerabilidades suelen ser graves, ya que pueden otorgar a los atacantes la capacidad de ejecutar código arbitrario en el sistema. Dicho de otra manera, lejos de ser inocuos, la mayor parte de las CVE de VPN dejan a sus clientes vulnerables a exploits que los atacantes pueden explotar (y a menudo lo hacen). 

A medida que las empresas compiten por seguir el ritmo de la creciente sofisticación de los atacantes, las organizaciones están recurriendo a otras opciones. Las arquitecturas Zero Trust están surgiendo como la solución para tapar estas brechas de seguridad. A diferencia de las VPN, que se basan en la confianza implícita y el acceso amplio a la red, los marcos Zero Trust aplican políticas de acceso granulares basadas en la identidad que mitigan directamente el movimiento de los atacantes dentro de las redes y eliminan el riesgo de que los atacantes puedan escanear y explotar fácilmente los activos conectados a Internet y a la red.

2. La frustración del usuario final impulsa la toma de decisiones empresariales

Las ineficiencias de las VPN no solo son un problema de seguridad: también frustran a los usuarios. La conectividad lenta, las desconexiones frecuentes y los procesos de autenticación complejos han plagado a los usuarios de VPN durante años, y estos desafíos encabezan la lista de frustraciones de los usuarios finales según nuestros hallazgos. Según el informe, estas frustraciones en la experiencia del usuario influyen cada vez más en las estrategias de TI y las empresas recurren a Zero Trust para ofrecer un acceso seguro sin problemas ni comprometer el rendimiento.

Los modelos Zero Trust logran esto al eludir las dependencias de red centralizadas en favor de conexiones directas específicas de la aplicación. ¿El resultado? Los empleados obtienen acceso rápido y sin inconvenientes a las herramientas que necesitan, mientras que los equipos de TI pueden garantizar las verificaciones de la postura de seguridad y la aplicación de políticas en tiempo real. Como era de esperar, la satisfacción con las soluciones Zero Trust abarca tanto a los usuarios finales como a los equipos de TI, lo que consolida este enfoque como la próxima evolución del acceso seguro.

3. El 81 % de las organizaciones están realizando una transición activa hacia marcos Zero Trust

Como resultado de estas tendencias, una comprensión generalizada está transformando las estrategias de ciberseguridad: Zero Trust ya no es solo conceptual: es fundamental. Dado que el 81 % de las organizaciones implementarán activamente marcos Zero Trust durante el próximo año, las empresas se están alejando de los sistemas VPN tradicionales que no satisfacen las demandas de acceso remoto de las empresas actuales. Este cambio marca una transición clave desde considerar Zero Trust como un ideal teórico a adoptarla como una solución práctica.

¿Qué hace que Zero Trust sea el enfoque preferido? A diferencia de las VPN, que normalmente otorgan un amplio acceso a la red basándose en la confianza implícita, Zero Trust funciona según el principio de “nunca confiar, siempre verificar”. Zero Trust permite controles de acceso altamente granulares a aplicaciones privadas, verificación de identidad sólida y supervisión continua, brindando protección efectiva para fuerzas de trabajo distribuidas y entornos de TI híbridos. En general, las empresas que han realizado la transición a Zero Trust desde una tecnología VPN consideraron la mejora de la seguridad y el cumplimiento como la principal ventaja (76 %), lo que refuerza cómo Zero Trust sustituye el acceso implícito a la red y reduce la exposición al ransomware, el robo de credenciales y los riesgos de movimiento lateral. Junto con las mejoras en escalabilidad, cumplimiento y simplicidad operativa, está cada vez más claro por qué las arquitecturas Zero Trust están reemplazando rápidamente a las VPN.

Obtenga el informe

Para las empresas que buscan una perspectiva sobre las VPN y el acceso remoto, el Informe sobre Riesgos de las VPN 2025 de ThreatLabz ofrece información clave. Descargue su copia para obtener información crítica sobre:  

• Seguridad empresarial y desafíos operativos de las VPN
• Mejores prácticas críticas para proteger la fuerza laboral híbrida
• Perspectivas de colegas sobre la transición a Zero Trust
• Predicciones sobre VPN para 2025 y el futuro