Organización y equipo

Las falsas promesas de las VPN, para consumidores y empresas

La VPN de consumo no le hace anónimo. El concentrador VPN empresarial colocado en la frontera de Internet se ha convertido en uno de los dispositivos más atacados que existen. Una puesta en claro sobre dos malentendidos.

Publicado el 6 min de lectura Critical

Última revisión:

Cableado de red en un centro de datos

Una VPN no elimina el riesgo. Solo decide a quién se lo confía.

La VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. se vende como una solución de seguridad universal. En realidad, son dos productos muy diferentes bajo el mismo nombre, y ambos se apoyan en un malentendido. En el lado del consumidor, se le vende un anonimato que la tecnología no puede ofrecer. En el lado empresarial, durante veinte años se ha colocado una caja de altos privilegios en la frontera de Internet — y hoy es uno de los dispositivos más atacados en circulación.

Lo que una VPN de consumo hace, y lo que no hace

«Cifrado de grado militar.» La fórmula aparece en toda publicidad. Se refiere a AES-256 — un estándar público, gratuito, de veinticinco años de antigüedad que ya utilizan su banco y sus aplicaciones de mensajería. Eso no es un defecto; es buen cifrado. Pero como argumento de venta, la frase carece de significado. Su tostadora conectada podría hacer la misma afirmación.

Lo que una VPN hace realmente: cifra el tráfico entre su dispositivo y el servidor del proveedor, y oculta su dirección IP a su proveedor de Internet. Útil en redes Wi-Fi públicas, para eludir restricciones geográficas o para mantener su tráfico privado respecto a su ISP.

Lo que no hace: hacerle anónimo. Las cookies, las huellas digitales del navegadorIdentificación de un dispositivo por las características únicas de su navegador y sistema. y sus cuentas conectadas siguen rastreándole. Y el propio proveedor de VPN ve su dirección IP real y su tráfico. No ha eliminado al testigo de su navegación — lo ha trasladado de su ISP, al que está obligado, a una empresa que eligió sin poder verificar sus afirmaciones.

«Sin registros de conexión» es una promesa, no una prueba. Lo que cuenta es una auditoría independiente publicada, o una orden judicial que confirme que genuinamente no había nada que entregar. Varios proveedores que juraban no guardar nada han sido sorprendidos registrando datos. La propiedad de las marcas añade confusión: docenas de VPN aparentemente competidoras comparten la misma empresa matriz, a veces la misma que está detrás del sitio de comparación que las recomienda.

El concentrador VPN — el dispositivo más expuesto de la empresa

La VPN empresarial es una criatura diferente. Un concentrador SSL-VPNPasarela de acceso remoto expuesta permanentemente en Internet, punto de entrada único con altos privilegios., como los dispositivos de Fortinet, es una caja colocada en la frontera de Internet. Expone un servicio permanentemente activo que todos los escáneres del planeta conocen: Shodan indexa continuamente los dispositivos FortiGate expuestos. Termina el TLS, retiene credenciales y tokens de sesión en memoria, y una vez autenticado el usuario, a menudo abre el acceso a una red plana.

Ese es el perfil de objetivo ideal: expuesto, con altos privilegios, un único punto de paso. Fortinet es el más atacado porque es el más ampliamente desplegado, no porque sea el único culpable. Citrix e Ivanti enfrentan exactamente el mismo problema en sus propias pasarelas.

El historial está documentado y se extiende durante años. En 2020, la explotación masiva de CVE-2018-13379 filtró credenciales VPN de aproximadamente 50.000 dispositivos Fortinet. A esto le siguió una serie de fallos críticos de ejecución remota de código en el SSL-VPN de FortiOS — CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 — todos activamente explotados y listados en el catálogo de vulnerabilidades conocidas y explotadas (KEV) de la CISA. Estos fallos no se quedan en lo teórico: intrusiones reales comienzan en el dispositivo VPN y se propagan mediante movimiento lateralProgresión de un atacante desde un punto de entrada comprometido hacia otros sistemas de la misma red. por la red. El patrón se repitió a principios de 2026, con una filtración masiva de credenciales Fortinet y alertas conjuntas de la CISA y el NCSC.

No ha eliminado el riesgo. Lo ha trasladado a una caja a la que todo el mundo puede llegar.

Shield — shield.travel

Lo que realmente reduce el riesgo

En el lado del consumidor, elija basándose en criterios verificables: una auditoría independiente publicada, una jurisdicción clara, propiedad transparente y un protocolo abierto como WireGuard u OpenVPN. No en un eslogan. Y tenga presente lo que una VPN no hace: en redes Wi-Fi públicas, el HTTPS generalizado ya protege la esencia del tráfico.

En el lado empresarial, la solución viene primero de la disciplina, luego de la arquitectura. La interfaz de administración de un dispositivo de borde no tiene nada que hacer en Internet. La autenticación multifactor está en todas partes. Los dispositivos expuestos se parchean al ritmo del catálogo de la CISA, no trimestralmente. Y puesto que las credenciales pueden haber filtrado silenciosamente, trátelas como comprometidas y rótalas.

El modelo subyacente — un inicio de sesión abre toda la red — ha cumplido su ciclo. La dirección es el acceso por aplicación, donde cada recurso se alcanza según la identidad y el estado del dispositivo, sin ningún oyente único plantado en el borde que cualquier escáner pueda encontrar.

Angle de lecture

La VPN que pagó para «ser anónimo» principalmente traslada su confianza de su ISP a una empresa cuyas promesas no puede verificar. Sus usos legítimos existen: Wi-Fi público, eludir restricciones geográficas, privacidad frente a su ISP. El anonimato no está entre ellos. Elija basándose en una auditoría independiente publicada y propiedad transparente — nunca en «grado militar».

Su concentrador VPN es su dispositivo más expuesto y con más privilegios. Audite todas las interfaces VPN y de administración accesibles desde Internet, retire la administración del lado público, imponga MFA y parchee al ritmo del KEV de la CISA. Asuma que las credenciales ya han filtrado y rótalas. En paralelo, comprométase a pasar de un acceso de red plana a un acceso por aplicación.

«Tenemos una VPN» no es una respuesta a «¿estamos protegidos?». La caja a la que todos pueden llegar es un único punto de fallo en el borde de su red. Las dos preguntas que importan: ¿con qué rapidez parchea esa caja, y un único inicio de sesión todavía abre toda la red? Todo lo demás es una cuestión de arquitectura que debe ordenar y financiar, no delegar a la esperanza.

Qué implementar

  • N1 Ninguna interfaz de administración de un dispositivo VPN es accesible desde Internet.
  • N1 La autenticación multifactor cubre todos los accesos VPN y de administración.
  • N1 Los dispositivos de borde se parchean al ritmo del catálogo KEV de la CISA, no trimestralmente.
  • N2 Las credenciales VPN y de administración se tratan como potencialmente filtradas y se rotan periódicamente.
  • N2 El paso del acceso de red plana al acceso por aplicación está acordado y presupuestado.
  • N3 La elección de una VPN de consumo se basa en una auditoría independiente publicada, no en un eslogan publicitario.

Fuentes

Artículos relacionados