VPN: conexiones seguras remotas y acceso

·

Cuando un empleado se conecta a la red corporativa desde la wifi de una cafetería, sus datos viajan por una infraestructura que no controla nadie de la organización. Sin protección, esa información circula en claro y queda expuesta a la interceptación. La red privada virtual (VPN, Virtual Private Network) resuelve este problema creando un túnel cifrado a través de la red pública: un canal que hace que comunicarse por internet sea, en la práctica, tan privado como estar conectado por un cable dentro de la oficina. Es la pieza que ha sostenido el trabajo remoto durante décadas y sigue siendo un control de seguridad de primer orden.

Este artículo explica cómo funciona realmente una VPN, qué tipos y protocolos existen, cómo configurarla de forma segura y por qué el modelo Zero Trust está empujando hacia arquitecturas que complementan —e incluso sustituyen— a la VPN tradicional.

Cómo funciona una VPN: túnel y cifrado

Una VPN combina dos mecanismos: el tunneling (encapsulado) y el cifrado. El encapsulado envuelve los paquetes de datos originales dentro de otros paquetes, creando un túnel lógico entre el dispositivo del usuario y el servidor VPN. El cifrado convierte el contenido en ilegible para cualquiera que intercepte el tráfico por el camino. El resultado es que un atacante situado en la red intermedia ve tráfico, pero no puede leerlo ni manipularlo.

La autenticación es el tercer pilar: antes de levantar el túnel, ambos extremos verifican su identidad mediante certificados, claves precompartidas o credenciales reforzadas con un segundo factor. Sin una autenticación sólida, el cifrado protege la confidencialidad pero deja la puerta abierta a quien suplante a un usuario legítimo.

Tipos de VPN: acceso remoto y sitio a sitio

Existen dos arquitecturas fundamentales. La VPN de acceso remoto conecta a un usuario individual con la red corporativa; es la que usa el teletrabajador desde su portátil. La VPN sitio a sitio (site-to-site) enlaza dos redes completas —por ejemplo, la sede central y una delegación— de forma permanente, sin que los usuarios finales tengan que hacer nada. Una variante de esta última es la VPN sobre MPLS que ofrecen los operadores para interconectar oficinas.

Una decisión de diseño habitual es el split tunneling frente al full tunneling. Con túnel completo, todo el tráfico del dispositivo pasa por la VPN, lo que maximiza el control y la inspección a costa de saturar el enlace corporativo. Con túnel dividido, solo el tráfico hacia recursos internos atraviesa la VPN y el resto va directo a internet, lo que mejora el rendimiento pero reduce la visibilidad de seguridad.

Protocolos VPN: del IPsec a WireGuard

El protocolo determina la seguridad, la velocidad y la compatibilidad de la conexión. Estos son los más relevantes en 2026:

ProtocoloCifrado / baseRendimientoUso recomendado
WireGuardCriptografía moderna (ChaCha20)Muy altoDespliegues nuevos, móvil, alto rendimiento
IPsec / IKEv2AES, suite IPsecAltoSite-to-site, móvil con reconexión estable
OpenVPNSSL/TLS (OpenSSL)Medio-altoMáxima compatibilidad y flexibilidad
L2TP/IPsecIPsec sobre L2TPMedioCompatibilidad con equipos antiguos
PPTPObsoleto e inseguroAltoNo usar: cifrado roto

WireGuard se ha impuesto en los despliegues modernos por su base de código reducida (más fácil de auditar), su criptografía actual y su excelente rendimiento, sobre todo en redes móviles. IPsec con IKEv2 sigue siendo el estándar para enlaces sitio a sitio y destaca por reconectar con rapidez al cambiar de red. OpenVPN mantiene su valor por su portabilidad y por atravesar bien los cortafuegos al poder operar sobre el puerto TCP 443. El protocolo PPTP debe estar prohibido: su cifrado lleva años roto y su uso constituye una vulnerabilidad por sí mismo.

Configuración segura: lista de verificación

  1. Cifrado fuerte y vigente: AES-256 o ChaCha20; descartar algoritmos obsoletos.
  2. MFA obligatoria en el acceso remoto: el cifrado no sirve de nada si las credenciales se filtran.
  3. Autenticación por certificados además de credenciales, para los dispositivos gestionados.
  4. Perfect Forward Secrecy (PFS): que comprometer una clave no exponga el tráfico pasado.
  5. Kill switch: cortar la conexión si el túnel cae, para que no haya fugas en claro.
  6. Parcheo del concentrador VPN: los gateways VPN han sido objetivo frecuente de vulnerabilidades críticas; mantenerlos actualizados es prioritario.
  7. Registro y monitorización de las conexiones para detectar accesos anómalos.
  8. Mínimo privilegio: que estar dentro de la VPN no equivalga a acceso total a la red interna; segmentar.

El límite de la VPN y la llegada de ZTNA

La VPN tradicional tiene una debilidad estructural: una vez dentro del túnel, el usuario suele obtener acceso amplio a la red interna. Si un atacante roba unas credenciales, hereda esa confianza implícita y puede moverse lateralmente. El modelo Zero Trust (formalizado por el NIST en la publicación SP 800-207) invierte esa lógica: ningún acceso es fiable por defecto, ni siquiera dentro de la red. De ahí surge el ZTNA (Zero Trust Network Access), que no concede acceso a la red sino a aplicaciones concretas, evaluando en cada petición la identidad, el estado del dispositivo y el contexto. Frente a la VPN, ZTNA reduce drásticamente la superficie de ataque y elimina el movimiento lateral. Muchas organizaciones conviven con ambos: VPN para enlaces sitio a sitio y casos heredados, ZTNA para el acceso de usuarios a aplicaciones.

Marco normativo

El uso de VPN encaja en las obligaciones de seguridad del tratamiento del RGPD (artículo 32), que exige cifrar las comunicaciones que transportan datos personales. La Directiva NIS2 refuerza, para sectores esenciales e importantes, los requisitos de seguridad de las comunicaciones y el acceso remoto. A nivel técnico, la ISO/IEC 27001 recoge controles específicos de seguridad de las redes y de la transferencia de información, y en España el Esquema Nacional de Seguridad (ENS) establece requisitos de protección de las comunicaciones para el sector público y sus proveedores.

Rendimiento y experiencia de usuario

Una VPN que protege pero entorpece termina por desactivarse o por empujar a los usuarios a buscar atajos inseguros. Por eso el rendimiento no es un detalle accesorio, sino parte de la seguridad efectiva. Varios factores condicionan la velocidad percibida: la distancia al concentrador VPN (cuanto más lejos el servidor, mayor latencia), la capacidad de cifrado del hardware del gateway, el protocolo elegido y la decisión entre túnel completo o dividido. WireGuard, por su diseño ligero, suele ofrecer la mejor experiencia en conexiones móviles y en reconexiones tras cambios de red, un escenario cotidiano para quien alterna entre wifi y datos móviles.

El diseño debe equilibrar control y fluidez. Forzar todo el tráfico por el túnel maximiza la visibilidad de seguridad, pero satura el enlace corporativo y degrada servicios como las videollamadas, que viajarían innecesariamente hasta la sede y de vuelta. El túnel dividido alivia ese cuello de botella enrutando solo lo corporativo, a cambio de perder visibilidad sobre el resto. La elección correcta depende del perfil de riesgo de cada organización y del tipo de datos que manejan sus usuarios remotos. Dimensionar bien el ancho de banda del concentrador y distribuir geográficamente los puntos de entrada evita que la VPN se convierta en el cuello de botella que los empleados aprenden a esquivar.

Errores comunes

Preguntas frecuentes

¿Una VPN me hace anónimo? No del todo. Una VPN cifra el tráfico y oculta tu dirección IP frente a terceros, pero el proveedor del servicio sí puede ver tu actividad. La privacidad depende de la confianza en quien opera la VPN.

¿VPN o ZTNA? No son excluyentes. ZTNA es preferible para el acceso granular de usuarios a aplicaciones; la VPN sigue siendo práctica para enlaces sitio a sitio y entornos heredados. Muchas arquitecturas combinan ambos durante la transición.

¿Qué protocolo elijo para un despliegue nuevo? WireGuard para rendimiento y simplicidad, o IPsec/IKEv2 si necesitas reconexión robusta en movilidad y compatibilidad con equipamiento de red existente.

¿La VPN ralentiza la conexión? El cifrado y el desvío del tráfico introducen cierta latencia. WireGuard la minimiza; el split tunneling también ayuda al no forzar todo el tráfico por el túnel.

Conclusión

La VPN sigue siendo una herramienta válida, pero su papel está cambiando. Cifrar el túnel resuelve la confidencialidad en el camino, no la confianza dentro de la red: por eso una VPN bien hecha en 2026 lleva MFA obligatoria, cifrado moderno como WireGuard o IPsec, segmentación que impida el movimiento lateral y un gateway religiosamente parcheado. Y por eso, cada vez más, la VPN convive con arquitecturas Zero Trust que conceden acceso a aplicaciones en lugar de a redes enteras. La organización que entiende esta evolución deja de tratar el acceso remoto como un interruptor de «dentro o fuera» y pasa a verlo como una decisión que se reevalúa en cada conexión. En Summum Sistemas diseñamos el acceso remoto seguro adecuado a cada caso, desde el túnel sitio a sitio hasta la migración hacia ZTNA.