¿Qué es una VPN?

La historia de las VPN

El Protocolo de tunelización punto a punto, considerado la génesis de la transferencia inalámbrica segura de datos, se lanzó en 1996. Antes del PPTP, el intercambio seguro de información entre dos ordenadores requería una conexión cableada, que era ineficiente y poco práctica a gran escala debido a la cantidad de infraestructura física necesaria. Por lo tanto, si la seguridad que ofrece un cable no está disponible, cualquier dato transferido queda vulnerable a ataques o robos.

Con el desarrollo de estándares de cifrado y la evolución de los requisitos de hardware personalizados para construir un túnel inalámbrico seguro, PPTP finalmente evolucionó hasta convertirse en lo que es hoy: el servidor VPN. Al poder aplicarse de forma inalámbrica, ahorraba molestias y costes a las empresas que necesitaban una transferencia inalámbrica segura de información. A partir de aquí, muchas empresas, incluidas Cisco, Intel y Microsoft, construyeron sus propios servicios VPN físicos y virtuales.

¿Cómo funciona una VPN?

Una VPN funciona tomando una conexión estándar de usuario a internet y creando un túnel virtual cifrado que conecta al usuario con un dispositivo en un centro de datos. Este túnel protege el tráfico en tránsito para que los atacantes que usan rastreadores web e implementan malware no puedan robar información del usuario o la entidad. Uno de los algoritmos de cifrado más comunes para las VPN es el estándar de cifrado avanzado (AES), un cifrado de bloques simétrico diseñado para proteger los datos en tránsito.

En la mayoría de los casos, sólo los usuarios autenticados pueden enviar su tráfico a través del túnel VPN. En función del tipo de VPN o de su proveedor, es posible que los usuarios tengan que volver a autenticarse para mantener su tráfico en movimiento a través del túnel y a salvo de los piratas informáticos.

Tipos de VPN

Las VPN existen para brindar seguridad conveniente que pueda satisfacer una necesidad o propósito de menor escala. A continuación se muestran algunos ejemplos de VPN:

VPN en la nube: las VPN se pueden implementar sobre máquinas virtuales para habilitarlas para la nube. Esto toma la capacidad del hardware de una VPN y agrega (artificialmente) funcionalidad en la nube, como mayor escalabilidad y protección de terminales. Si bien estos pueden ser más útiles para empresas extendidas que un dispositivo VPN independiente típico, aún pueden carecer de la flexibilidad para dar soporte a un personal remoto o híbrido a escala.

VPN móvil/personal: empresas como ExpressVPN y NordVPN ofrecen aplicaciones VPN descargables para que los usuarios puedan mantener sus datos seguros en sus dispositivos personales. Esta es una buena medida a tener en cuenta si navega por Internet en redes wifi no seguras. Hay algunas VPN gratuitas disponibles para ayudar a mantener sus dispositivos seguros, pero luego serán de pago.

VPN de acceso remoto: estas VPN están diseñadas específicamente para usuarios que trabajan desde fuera de la oficina en un entorno corporativo. Normalmente se implementan dentro del centro de datos de una empresa, pero se pueden ampliar (con el coste de rendimiento web/app) para proteger a los usuarios remotos del malware y otras amenazas. Estas se volvieron extremadamente comunes tras el inicio de la pandemia de COVID-19.

¿Para qué se utilizan las VPN?

Una VPN es un medio adecuado para proteger a los empleados en sucursales o a aquellos que trabajan de forma remota a menor escala. Cuando algunos empleados estaban de viaje o se conectaban desde una cafetería, las empresas podían aprovechar un servicio VPN para implementar un software de cliente VPN que permitiera a un usuario remoto establecer una conexión segura desde un terminal ubicado fuera del perímetro de la red.

Cuando todo el mundo iba a la oficina, las empresas incluso empleaban VPN de sitio a sitio como medio para conectar dos redes, como una red corporativa y una red de sucursal. De esta manera, las VPN pueden servir para varios casos de uso, particularmente en lo que se refiere a mantener a los usuarios remotos y de las sucursales alejados del tráfico de Internet. Sin embargo, a medida que la adopción del trabajo remoto se ha ido consolidando, cada vez más empresas se están dando cuenta de que las VPN no son tan seguras como deberían ser.

Cómo las empresas utilizan las VPN

En entornos profesionales, las organizaciones utilizan VPN como medio para proteger a los usuarios que trabajan de forma remota y utilizan dispositivos móviles u otros terminales que pueden no considerarse seguros. Por ejemplo, las organizaciones pueden distribuir ordenadores portátiles con Windows o Mac para permitir que sus empleados trabajen desde casa cuando sea necesario. Por supuesto, esta noción está ahora muy extendida tras la pandemia de la COVID-19.

Las empresas implementan VPN para permitir que los usuarios remotos accedan de forma segura a los recursos corporativos a través de sus redes domésticas. La mayoría de los proveedores de servicios de Internet (ISP) cuentan con buenos protocolos de seguridad para proteger los datos no confidenciales que fluyen a través de las redes domésticas. Sin embargo, cuando se trata de datos confidenciales, las medidas de seguridad del wifi doméstico no son lo suficientemente fuertes como para protegerlos por sí solas, por lo que las empresas deben utilizar protocolos VPN para mantener estos datos seguros.

Al aprovechar un proveedor de VPN, las empresas usarán estos protocolos para cerrar el flujo de tráfico predeterminado desde el enrutador al centro de datos y, en su lugar, enviarán el tráfico a través de un túnel encriptado, que protege los datos y asegura el acceso a Internet de los usuarios que trabajan de forma remota, lo que reduce la superficie de ataque de la empresa, aunque en una escala menor.

Ventajas y desafíos de usar una VPN

Ventajas

Las VPN pueden simplificar la seguridad de una empresa o incluso de un individuo. En esencia, están diseñadas para:

• Limitar permisos. Imagínese si cualquiera pudiera tener acceso a cualquier red. Las VPN eliminan este obstáculo exigiendo a los usuarios que autentiquen su camino hacia la red.
• Evitar el estrangulamiento. El túnel cifrado de una VPN impide la visibilidad desde el exterior, por lo que, en teoría, el ancho de banda sigue siendo mayor y las velocidades se mantienen rápidas.
• Dispositivos seguros. Los escritorios remotos, así como los dispositivos con sistemas operativos Android e iOS, pueden protegerse con una VPN.

Desafíos

Sin embargo, a pesar de la promesa de estos beneficios, las VPN también tienen su cuota de obstáculos que pueden generar quebraderos de cabeza a los departamentos de TI o incluso aumentar el riesgo. VPN:

• Conectar a los usuarios a la red. Las VPN ofrecen, por naturaleza, a empleados y terceros acceso directo a la red corporativa. En el momento en que un usuario accede a la red mediante una VPN, se le considera "de confianza" sin saber si ha obtenido la confianza suficiente y si se le concede acceso lateral.
• Aumentar los costes y la complejidad. El coste de una pila completa de dispositivos de puerta de enlace VPN se vuelve más caro a medida que las limitaciones de latencia y capacidad requieren que las organizaciones repliquen las pilas en cada uno de sus centros de datos.
• No están diseñados para escalar. Las VPN, por naturaleza, se basan en hardware. No están diseñadas para crecer y escalar a fin de proteger a los usuarios, las cargas de trabajo y las aplicaciones a medida que aumentan las necesidades de una organización. Es más, el trabajo híbrido es ahora la norma y la mayoría de las VPN no fueron diseñadas para gestionar mucho fuera de una oficina corporativa o un número limitado de empleados que trabajan de forma remota.

Limitaciones de las VPN empresariales

Gran parte del problema con la seguridad de la red tradicional radica en la infraestructura VPN ineficiente e insegura, porque:

• Las VPN no pueden impedir el movimiento lateral de amenazas. A pesar de que pueden mantener la seguridad de los datos mediante túneles cifrados a menor escala, no impiden el acceso a la red general de una organización si un terminal se ve comprometido.
• Las VPN no se pueden adaptar adecuadamente. Las VPN basadas en hardware deben configurarse manualmente y sus límites de ancho de banda tienden a requerir implementaciones redundantes. Las VPN basadas en software deben implementarse en cada dispositivo de usuario, lo que limita las formas en que los usuarios pueden trabajar.
• Las VPN no funcionan con confianza cero. Después de la autenticación a través de una VPN, un usuario está en la red. A partir de ahí, un hacker o un infiltrado malicioso puede moverse lateralmente para acceder a información confidencial o explotar vulnerabilidades que no están protegidas desde el interior.

Incluso las mejores VPN no pueden proteger toda la actividad en línea, ya que algunos de sus protocolos de cifrado pueden estar a la altura de las amenazas avanzadas actuales.

¿Cómo afecta una VPN al rendimiento?

Las VPN pueden proporcionar túneles seguros al centro de datos de una organización, pero estos túneles pueden limitar la red debido al mayor ancho de banda y la funcionalidad necesaria para enviar tráfico de forma segura desde una red doméstica a una pieza de hardware en un centro de datos. Tanto el rendimiento como la experiencia del usuario pueden verse significativamente afectados y, lo que es más, los usuarios pueden tener que iniciar sesión repetidamente en la VPN, lo que los frustra.

Seguridad de la red en la nube: una alternativa a las VPN

A medida que las organizaciones se acostumbran a los modelos de personal híbridos y la adopción de la nube se convierte en la norma, se vuelve más claro que un enfoque de cortafuegos anticuado es demasiado lento para la nube y la confianza cero.

En su lugar, necesita una solución moderna, digital y adaptada a la era de la nube y la movilidad: una solución de seguridad basada en la nube que desvincule la seguridad de la red, con políticas aplicadas en cualquier lugar donde residan las aplicaciones y en todos los lugares donde se conecten los usuarios.

Trasladar la seguridad de la red a la nube coloca efectivamente toda la pila de seguridad de la red dondequiera que vayan sus usuarios. Las protecciones se aplican de manera consistente, ofreciendo exactamente las mismas medidas de seguridad en sucursales, hogares de usuarios, terminales de aeropuertos o sedes corporativas.

En comparación con la seguridad de red tradicional, una solución de seguridad basada en la nube ofrece:

• Experiencia de usuario más rápida: el tráfico de usuarios toma el camino más corto a cualquier aplicación o destino de Internet.
• Seguridad superior: se inspecciona todo el tráfico de Internet, incluido el tráfico encriptado, con datos de amenazas correlacionados en tiempo real.
• Menores costes: la necesidad de comprar y mantener dispositivos constantemente desaparece porque la infraestructura de la nube se actualiza continuamente.
• Administración más sencilla: una solución entregada como servicio reduce la complejidad de administrar varios dispositivos.

Pasar a una pila de seguridad completa entregada en la nube garantiza que sus usuarios puedan disfrutar de un acceso rápido, seguro y basado en políticas a aplicaciones privadas y de terceros. Sin embargo, tenga cuidado: muchas empresas de seguridad anuncian soluciones entregadas en la nube y preparadas para la nube, pero tienden a ser dispositivos heredados virtualizados y reacondicionados. Sólo Zscaler ofrece seguridad integrada en la nube, para la nube.

Zscaler Private Access™ (ZPA™)

Zscaler Private Access™ (ZPA™) es un servicio de acceso a la red de zero trust (ZTNA) distribuido en la nube que proporciona acceso seguro a todas las aplicaciones privadas, sin necesidad de una VPN de acceso remoto. ZPA ofrece un modelo zero trust mediante la nube de seguridad de Zscaler para brindar acceso remoto y local escalable a aplicaciones empresariales, sin conectar nunca a los usuarios a la red. ZPA utiliza túneles TLS microcifrados y políticas empresariales implementadas en la nube para crear un segmento seguro de uno entre un usuario autorizado y una aplicación específica.

La arquitectura única de ZPA iniciada por servicios, en la que App Connector se conecta de salida a ZPA Public Service Edge hace que tanto la red como las aplicaciones sean invisibles en lo referente a Internet. Este modelo crea un entorno aislado alrededor de cada aplicación en lugar de la red. Esto elimina el movimiento lateral y la oportunidad de propagación del ransomware.