Acceso de red basado en Zero Trust: ¿sucesor de la VPN o mera moda?

Durante 20 años, las VPN fueron el estándar para el acceso remoto seguro. Sin embargo, las VPN confían en toda la red tan pronto como se establece la conexión: un paradigma que ya no funciona en un mundo centrado en la nube. El acceso de red basado en Zero Trust (ZTNA) sustituye el «acceso a la red» por el «acceso a aplicaciones» y verifica cada solicitud de forma individual.

En resumen

• Gartner: Para 2025, el 70 % de las empresas sustituirá las VPN por ZTNA
• Vulnerabilidades de las VPN: aumento del 56 % en el número de CVEs reportados en productos VPN (2022)
• Principio ZTNA: nunca confiar en la red; siempre verificar identidad, estado del dispositivo y contexto
• Líderes del mercado: Zscaler, Cloudflare, Palo Alto Prisma Access, Netskope

El problema de la VPN

Una VPN establece un túnel cifrado y concede al usuario acceso al conjunto completo de la red corporativa. Esto equivale a entregarle a cualquier visitante que se identifique en recepción una llave maestra para todos los despachos. Una vez dentro, ya está dentro: el movimiento lateral es trivial.

Además, surgen problemas operativos: los concentradores de VPN como punto único de fallo, cuellos de botella de rendimiento durante picos de trabajo remoto y una superficie de ataque creciente derivada de vulnerabilidades en las VPN. Las soluciones VPN de Fortinet, Pulse Secure y Citrix fueron objetivo de numerosos ataques de día cero entre 2022 y 2023.

Cómo funciona ZTNA

ZTNA invierte este modelo: en lugar de conceder acceso a la red, otorga acceso a aplicaciones individuales – tras verificar la identidad (¿quién es?), el estado del dispositivo (¿está actualizado? ¿gestionado?), el contexto (¿ubicación? ¿hora?) y una evaluación de riesgo (¿anomalías?).

Técnicamente, ZTNA se apoya en un broker situado entre el usuario y la aplicación. El usuario nunca se conecta directamente con la red. Las aplicaciones permanecen invisibles desde Internet: sin puertos abiertos ni entradas DNS. Solo se permiten las solicitudes autenticadas y autorizadas.

Migración: de la VPN a ZTNA

La migración no tiene por qué ser un cambio radical. Plan recomendado: Fase 1: implementar ZTNA para nuevas aplicaciones en la nube (no se requiere túnel VPN hacia SaaS). Fase 2: habilitar el acceso a aplicaciones internas basadas en web mediante brokers ZTNA. Fase 3: migrar progresivamente las aplicaciones heredadas que requieren acceso a la red, o integrarlas mediante app connectors.

Las VPN y ZTNA pueden funcionar en paralelo durante varios meses. Esto reduce el riesgo y brinda tiempo al equipo para adquirir experiencia con el nuevo modelo.

ZTNA no es una solución milagrosa

Limitaciones críticas: ZTNA protege el acceso a las aplicaciones, pero no a las aplicaciones mismas. Una inyección SQL sigue siendo posible incluso a través de un broker ZTNA. ZTNA no sustituye a los cortafuegos de aplicaciones web (WAF), ni a la validación de entradas ni a la gestión de parches.

Además: las propias soluciones ZTNA son objetivos de ataque. Un broker ZTNA comprometido obtiene acceso a todo lo que gestiona. La seguridad del proveedor es crítica: deben revisarse informes de auditoría (SOC 2), resultados de pruebas de penetración e historial de incidentes del proveedor.

Datos clave

Adopción: Gartner: 70 % de adopción de ZTNA para 2025 (frente a menos del 10 % en 2021)

CVES en VPN: 56 % más de vulnerabilidades reportadas en productos VPN en 2022

Latencia: ZTNA presenta típicamente un 20-40 % menos de latencia que las VPN (sin backhauling)

Preguntas frecuentes

¿Puede ZTNA sustituir todos los casos de uso de las VPN?

Casi todos. La excepción: aplicaciones que requieren un acceso real a nivel de capa 3 de la red (ciertos protocolos heredados, unidades de red mediante SMB). Para estos casos, los proveedores de ZTNA ofrecen app connectors o un modo de red privada.

¿Cuál es el coste de la migración?

Las licencias ZTNA suelen costar entre 5 y 15 EUR/usuario/mes. Frente a ello se compensan: ahorro en hardware de concentradores de VPN, menor esfuerzo de mantenimiento y menores costes de ancho de banda (sin backhauling). En la mayoría de los casos, el coste total de propiedad (TCO) es inferior al de las VPN.

¿Necesito ZTNA si ya he implementado Zero Trust?

ZTNA es un componente de Zero Trust, no el conjunto completo. Zero Trust abarca también la gobernanza de identidades, la microsegmentación, la seguridad de endpoints y la protección de datos. ZTNA resuelve específicamente el problema del acceso seguro a aplicaciones.

Artículos relacionados

• Gestión de la superficie de ataque: por qué las empresas desconocen su propia superficie de ataque
• Por qué la identidad es el nuevo cortafuegos – y por qué las estrategias IAM siguen fracasando
• Tendencias de ciberseguridad 2026: las 7 evoluciones que los responsables de seguridad deben conocer

Más contenido de la red MBF Media

• Cloud Magazin – Nube, SaaS e infraestructura TI
• myBusinessFuture – Digitalización, IA y negocio
• Digital Chiefs – Liderazgo estratégico para ejecutivos

Fuente de imagen: Pexels / Mohan Nannapaneni

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow