Marc Sureda
El modelo tradicional de acceso remoto mediante redes privadas virtuales (VPN) está siendo progresivamente cuestionado por las organizaciones. Según el Informe de Riesgos de VPN 2025, elaborado por Zscaler ThreatLabz en colaboración con Cybersecurity Insiders, el 65% de las empresas tiene previsto reemplazar sus VPN en el próximo año, y un 81% ya ha adoptado o adoptará en breve una estrategia basada en zero trust.
La principal motivación es la preocupación por la seguridad: un 92% de los responsables de TI encuestados teme ser objetivo de ataques de ransomware debido a vulnerabilidades presentes en sus soluciones VPN. Además, el 93% muestra inquietud por los accesos de terceros y posibles puertas traseras generadas por conexiones remotas de socios, proveedores o contratistas.
La investigación pone de relieve los múltiples riesgos que conlleva el uso continuado de VPN: entre ellos, acceso excesivo, errores de configuración, actualizaciones tardías y un incremento constante en la superficie de ataque. Además, los servicios VPN generan un impacto negativo en la experiencia de usuario y en la eficiencia operativa, al presentar problemas como desconexiones frecuentes, baja velocidad y gestión compleja por parte de los equipos técnicos.
Uno de los hallazgos más relevantes del informe es que las vulnerabilidades conocidas de VPN (CVE) crecieron un 82,5% entre 2020 y 2024, con un alto porcentaje de ellas clasificadas como críticas. El acceso no autorizado mediante la ejecución remota de código (RCE) fue el vector más habitual. Zscaler destaca que las herramientas de IA ya permiten a los atacantes identificar y explotar estas vulnerabilidades en cuestión de minutos.
Zero trust como modelo de referencia
Ante este escenario, el paradigma zero trust se impone como una alternativa más segura, basada en verificación continua, mínimos privilegios y segmentación dinámica. Según el informe, las organizaciones están implementando este modelo no sólo como respuesta a la obsolescencia de las VPN, sino como una forma de minimizar la superficie de ataque, bloquear intrusiones, contener el movimiento lateral y reforzar la protección de datos.
Zscaler advierte, además, sobre el intento de algunos proveedores de reetiquetar sus VPN como soluciones zero trust, cuando en realidad siguen replicando arquitecturas tradicionales y conservando puntos de exposición a internet. La empresa subraya que una implementación genuina de seguridad basada en confianza cero requiere una infraestructura diseñada específicamente para este fin, con monitorización constante y políticas automatizadas de acceso seguro.
El estudio concluye que las organizaciones del sector TI y seguridad deben centrar sus esfuerzos en reemplazar tecnologías heredadas, adoptar un enfoque de experimentación controlada con IA aplicada a la ciberdefensa, y construir infraestructuras resilientes frente a amenazas automatizadas. La sustitución de las VPN por soluciones zero trust nativas de la nube se presenta como un paso necesario para garantizar la continuidad operativa, la seguridad de los activos críticos y el cumplimiento normativo en entornos híbridos cada vez más complejos.
