La gran idea: Las VPN ya no son la columna vertebral del acceso seguro
Las redes privadas virtuales (VPN) fueron el estándar de la conectividad remota durante más de dos décadas. Pero dado que las empresas han ido adoptando modelos de trabajo híbridos y operaciones centradas en la nube, sus debilidades se han vuelto imposibles de ignorar. En tan solo un año, notamos que más de la mitad de las organizaciones habían sufrido ataques directamente relacionados con vulnerabilidades de VPN.
Los atacantes utilizan cada vez más vulnerabilidades de día cero, credenciales robadas y reconocimiento impulsado por la IA para explotar estas soluciones de acceso obsoletas e infiltrarse en las redes. No es de extrañar que la gran mayoría de las organizaciones ahora planeen adoptar una estrategia Zero Trust para 2026.
Las VPN aceleran el riesgo en todas las dimensiones.
La encuesta global realizada por el informe a 632 profesionales de TI y ciberseguridad reveló cuatro tendencias definitorias:
- La obsolescencia de las VPN se está acelerando. Un impresionante 65 % de las empresas tiene previsto sustituir sus VPN en el plazo de un año, un 23 % más que en el informe del año pasado.
- La explotación de las VPN está aumentando. Este año, el 56 % de las organizaciones sufrieron violaciones relacionadas con las VPN, y el 92 % teme quedar expuesta por las VPN.
- Las VPN está causando demasiadas frustraciones. El 51 % de las organizaciones afirma que sus VPN ofrecen experiencias de usuario deficientes, y el 37 % se queja de los altos costos.
- Zero Trust está reemplazando rápidamente a las VPN. Casi todas las organizaciones (96 %) ya han implementado, están planificando o han adquirido una estrategia Zero Trust.
Las VPN aumentan la probabilidad y el alcance de los ataques.
Los grupos de ransomware han aprendido que las VPN son objetivos fáciles, lo que las convierte en objetivos atractivos. Los dispositivos sin parchear y los modelos de confianza implícitos permiten a los atacantes implementar ransomware y otros malware rápidamente, así como realizar movimientos laterales sin obstáculos.
En respuesta, algunos proveedores de VPN heredadas han rebautizado las máquinas virtuales distribuidas en la nube como soluciones Zero Trust. Sin embargo, desde el punto de vista arquitectónico, las VPN en la nube siguen siendo servicios conectados a Internet con direcciones IP públicas que los atacantes pueden encontrar y vulnerar.
Ahora, el 71 % de los encuestados considera el movimiento lateral como una de sus principales preocupaciones, ya que los modelos de confianza implícitos de las VPN suponen que un usuario comprometido puede violar efectivamente todo un entorno. Los atacantes pueden entonces utilizar su amplio acceso a la red para escalar privilegios y robar datos confidenciales antes de ser detectados.
Las VPN conllevan costos ocultos como el tiempo de inactividad y la fatiga.
Las VPN heredadas consumen enormes cantidades de recursos, lo que supone una excesiva carga operativa para los equipos de TI cuyos recursos ya son insuficientes. Los exorbitantes costos de mantenimiento y la protección ineficaz dejan cada vez más claro que el modelo de VPN es insostenible.
Además, las VPN no solo están causando problemas a los equipos de TI. Los usuarios también están expresando su frustración con una serie de problemas de VPN, desde un rendimiento deficiente y los problemas de inicio de sesión, hasta la simple inaccesibilidad a recursos esenciales. Estos problemas frenan la productividad y aumentan las incidencias en el servicio de asistencia técnica.
Zero Trust está cobrando un impulso decisivo
La mayoría de las organizaciones reconoce que las VPN ya no pueden satisfacer sus necesidades de seguridad y acceso. Las crecientes vulnerabilidades, las experiencias de usuario deficientes y las exigencias de mantenimiento están alejando a las organizaciones de las VPN a un ritmo histórico y acercándolas a soluciones modernas de acceso seguro como el acceso a la red Zero Trust (ZTNA).
Para paliar las debilidades de las arquitecturas de VPN heredadas, la inmensa mayoría (96 %) de las organizaciones está considerando o implementando activamente una estrategia Zero Trust para el futuro próximo.
El debate entre la arquitectura Zero Trust y las VPN se ha terminado
En el pasado, las VPN habían definido el acceso remoto. Hoy, definen el riesgo. Los perímetros tradicionales han fallado y los atacantes están explotando cada brecha, desde cadenas CVE sin parchear hasta puertas traseras de terceros.
Nuestros hallazgos dejan una cosa en claro: las empresas deben reemplazar las VPN con arquitecturas Zero Trust para mantener la resiliencia frente a las sofisticadas amenazas actuales.
Descargue el informe completo sobre riesgos de las VPN de Zscaler ThreatLabz para 2025 para obtener más conocimientos, tendencias y análisis, incluidos:
- Los exploits de VPN más graves, desde ejecutar código remota hasta eludir la autenticación.
- ¿Cuáles fueron las causas de algunas de las violaciones más importantes relacionadas con las VPN este año?
- Riesgos empresariales durante fusiones y adquisiciones y acceso de terceros, desde vulnerabilidades heredadas hasta puertas traseras en las VPN de los proveedores
- Casos prácticos reales como el del Grupo ManPower, que redujo los tickets de soporte técnico en un 97 % tras sustituir las VPN
- Las 7 principales predicciones de riesgo de las VPN para 2025 y el futuro, según nuestro equipo experto en investigación de amenazas
- Mejores prácticas que su organización puede implementar hoy mismo para eliminar los riesgos críticos de las VPN