Muchas empresas siguen creyendo que proteger el acceso remoto es “poner una VPN y listo”. El problema es que hoy el riesgo ya no entra solo por afuera: también viaja con credenciales válidas, dispositivos inseguros y accesos excesivos.
Durante años, la VPN fue la respuesta natural para conectar usuarios remotos con la red corporativa. Pero el entorno empresarial cambió: trabajo híbrido, aplicaciones SaaS, nube, terceros conectados y dispositivos fuera del perímetro tradicional. En ese escenario, dar acceso amplio a la red ya no es eficiencia, sino exposición. Hoy el enfoque más sólido es Zero Trust: verificar siempre, limitar privilegios y proteger recursos, no solo perímetros. Al terminar este artículo, el lector comprenderá por qué la VPN dejó de ser suficiente, qué cambia con Zero Trust y cómo abordar esta transición desde una visión empresarial funcional, sin caer en la moda tecnológica ni en inversiones mal planteadas.
Durante años, muchas empresas construyeron su tranquilidad digital sobre una idea que parecía lógica: si el usuario lograba entrar por una VPN, ya estaba “dentro” de un espacio confiable. Esa lógica funcionó relativamente bien en un mundo donde las oficinas, los servidores y los usuarios estaban más concentrados, y donde el perímetro tecnológico tenía límites más claros. Pero ese mundo dejó de existir hace tiempo.
Hoy la empresa opera en múltiples frentes al mismo tiempo. Tiene personal remoto, servicios en la nube, aplicaciones contratadas por suscripción, aliados externos que requieren acceso temporal, ejecutivos que viajan, dispositivos personales que se conectan a información sensible y procesos que dependen de datos que ya no viven dentro de una sola sede. En ese nuevo escenario, seguir pensando la seguridad como una muralla perimetral es administrar el presente con mapas del pasado. NIST define Zero Trust precisamente como un cambio de paradigma: pasar de defensas centradas en el perímetro de red a defensas centradas en usuarios, activos y recursos. Además, aclara que no debe existir confianza implícita solo por ubicación física o de red.
Ese punto es decisivo para cualquier empresario. El problema ya no es solamente impedir que un extraño entre. El problema real es evitar que, una vez adentro, una identidad comprometida tenga más acceso del que necesita. Ahí es donde la VPN empieza a mostrar su desgaste estructural. En muchos casos, la VPN crea un túnel seguro hacia la red, sí, pero una vez establecido ese túnel, el usuario queda con una visibilidad amplia que no siempre corresponde a su función. Microsoft resume bien la diferencia: ZTNA entrega acceso a aplicaciones específicas con base en identidad y postura del dispositivo, mientras que la VPN tradicional suele otorgar acceso amplio a la red.
Desde la arquitectura empresarial, este cambio es más importante de lo que muchos departamentos técnicos quieren admitir. Porque no se trata solo de seguridad. Se trata de diseño organizacional, trazabilidad, gobierno del acceso y madurez operativa. Cuando una empresa entrega acceso por costumbre y no por función, lo que realmente evidencia es una falla de arquitectura: no ha definido con claridad qué recurso requiere cada rol, bajo qué condiciones, por cuánto tiempo y con qué nivel de riesgo aceptable.
Por eso Zero Trust no debería entenderse como un producto milagroso, sino como una disciplina de diseño. NIST explica que Zero Trust asume que no existe confianza implícita y que la autenticación y autorización deben ocurrir antes de establecer la sesión con el recurso empresarial. Más aún, el enfoque protege recursos y flujos, no segmentos de red por sí mismos.
Esto cambia por completo la conversación gerencial. Ya no basta con preguntar: “¿Tenemos VPN?”. La pregunta correcta es otra: “¿Estamos controlando el acceso según identidad, contexto, dispositivo, necesidad real y riesgo?”. Son dos niveles de madurez muy distintos.
En la práctica, muchas empresas aún no migran porque siguen evaluando la seguridad como un asunto de infraestructura y no como un problema de funcionalidad empresarial. Invierten en herramientas, pero no revisan procesos. Contratan servicios, pero no redefinen privilegios. Activan autenticación, pero mantienen accesos heredados. Y ahí aparece uno de los errores más costosos de esta década: creer que modernizar la seguridad es sumar capas, cuando en realidad muchas veces lo primero es quitar accesos innecesarios.
Zero Trust introduce una lógica mucho más sana para la organización. Primero, exige verificación continua. No basta autenticar una vez y olvidar el contexto de la sesión. Segundo, exige privilegio mínimo: cada usuario debe acceder solo a lo estrictamente necesario para su labor. Tercero, limita el movimiento lateral, es decir, evita que una credencial comprometida se convierta en pasaporte para recorrer toda la red interna. Estos principios están presentes tanto en la definición de NIST como en la explicación operativa de ZTNA y en la guía reciente de NIST sobre implementaciones reales.
Aquí conviene hacer una precisión importante. Decir que Zero Trust reemplaza a la VPN no significa que la VPN desaparezca mañana de todas las organizaciones. Sería una exageración técnica y una mala recomendación empresarial. En entornos heredados, accesos administrativos específicos, escenarios industriales, fusiones, integraciones temporales o infraestructuras que aún no pueden desacoplarse por completo, la VPN puede seguir teniendo un papel puntual. Lo que sí está cambiando es su lugar en la arquitectura. Ya no debería ser la respuesta universal al acceso remoto. Cada vez más, pasa a ser una pieza táctica y no el modelo principal. Esa conclusión se sostiene por la evolución del enfoque oficial y por la forma en que ZTNA restringe acceso por aplicación y contexto, en vez de abrir red por defecto.
Ese matiz es el que muchas decisiones apresuradas no entienden. En tecnología, los extremos suelen salir caros. Ni toda VPN es obsoleta automáticamente, ni todo proyecto con etiqueta Zero Trust está bien concebido. El criterio correcto no es seguir una moda, sino evaluar funcionalidad.
Una empresa madura no debería preguntarse qué tendencia está de moda en ciberseguridad. Debería preguntarse qué arquitectura reduce mejor su exposición sin romper productividad, trazabilidad y experiencia del usuario. Ahí es donde Zero Trust gana terreno con fuerza. CISA mantiene su modelo de madurez como referencia para que las organizaciones desarrollen estrategia e implementación, y NIST publicó en 2025 una guía con 19 ejemplos de arquitecturas Zero Trust construidas sobre situaciones reales, precisamente para ayudar a las organizaciones a aterrizar el concepto y no quedarse en la teoría.
Desde la experiencia empresarial, el mayor error no está en usar VPN. El mayor error está en seguir administrando accesos con una mentalidad de confianza heredada. Porque el problema no es la herramienta en sí. El problema es el supuesto detrás de la herramienta. Si una empresa todavía cree que “estar dentro” equivale a “ser confiable”, está operando con una vulnerabilidad conceptual.
Y las vulnerabilidades conceptuales son las más peligrosas, porque no aparecen primero en un reporte técnico: aparecen en decisiones rutinarias. Un proveedor externo con acceso más amplio del necesario. Un excolaborador cuyo permiso no fue revocado a tiempo. Un gerente conectado desde un equipo sin controles adecuados. Un usuario autenticado con privilegios acumulados durante años. Ninguna de esas situaciones se resuelve solo con comprar más software. Se resuelven rediseñando la arquitectura de acceso.
Por eso Zero Trust debería entrar a la conversación de gerencia general, auditoría, cumplimiento, operaciones y talento humano, no quedarse encerrado únicamente en seguridad informática. Cuando una organización adopta una visión de acceso por identidad, contexto y privilegio mínimo, en realidad está fortaleciendo varias dimensiones a la vez: gobierno, cumplimiento, continuidad, productividad y responsabilidad directiva.
La NSA ha reforzado esa dirección durante 2024 y 2026 al publicar guías de madurez e implementación orientadas a acciones concretas, subrayando que Zero Trust requiere visibilidad, priorización, gobierno y capacidades modulares que se adapten al nivel de madurez de cada organización. Ese punto es especialmente valioso para la empresa mediana y para la pyme: no necesita construir todo de una vez, pero sí necesita dejar de improvisar.
Una transición bien planteada suele comenzar con preguntas sencillas, pero profundas. ¿Qué aplicaciones son realmente críticas? ¿Quién debe acceder a ellas? ¿Desde qué dispositivos? ¿Bajo qué condiciones? ¿Qué accesos sobran? ¿Qué terceros están conectados? ¿Qué evidencias existen de uso, revisión y revocación? Sin ese inventario funcional, cualquier discurso sobre Zero Trust será incompleto.
Aquí también conviene recordar algo que muchas organizaciones olvidan: el acceso no es solo un tema técnico; es una expresión del modelo operativo de la empresa. Si la estructura interna es confusa, los accesos también lo serán. Si los roles no están claros, los privilegios se expandirán por inercia. Si la empresa no sabe qué procesos son críticos, protegerá mal lo importante y exagerará controles donde no hacen falta. La seguridad termina reflejando la calidad de la organización.
Por eso, cuando hablamos de Zero Trust, en el fondo también estamos hablando de arquitectura empresarial. De comprender la empresa como un sistema funcional antes de decidir qué herramienta se instala, qué proveedor se contrata o qué presupuesto se aprueba. La tecnología por sí sola no corrige una estructura mal pensada. Apenas la acelera.
En este punto, el empresario serio debe llegar a una conclusión incómoda pero útil: la VPN fue una respuesta valiosa en su momento, pero hoy ya no alcanza como estándar general de acceso seguro. El nuevo estándar no es una caja tecnológica única. Es una arquitectura de confianza mínima, verificación permanente y acceso contextual. En algunos casos convivirá con VPN durante una transición. En otros la reducirá drásticamente. Y en los más maduros la relegará a usos muy puntuales. Esa es la dirección del mercado, de las guías técnicas y de la práctica empresarial moderna.
También vale la pena conectar este tema con el cumplimiento y el tratamiento responsable de la información. Cuando una empresa da acceso amplio donde debería dar acceso específico, no solo aumenta la superficie de ataque. También complica auditoría, control interno y responsabilidad frente a datos sensibles. Por eso este debate tiene relación natural con el enfoque de cumplimiento y protección de datos que muchas organizaciones aún siguen tratando por separado, cuando en realidad debería formar parte del mismo diseño empresarial.
Como reflexión final, diría lo siguiente: el verdadero avance no está en cambiar una sigla por otra. No se trata de pasar de VPN a Zero Trust como quien cambia una marca de software. Se trata de abandonar una lógica de confianza automática y reemplazarla por una lógica de acceso justificado. Esa diferencia parece técnica, pero en realidad es profundamente empresarial.
Las compañías que entiendan esto a tiempo no solo estarán más protegidas. También tendrán mejores decisiones, menos exposición innecesaria, más trazabilidad y una operación más coherente con el mundo híbrido, distribuido y cambiante en el que ya están trabajando. Las que no lo hagan seguirán invirtiendo en tecnología sin resolver el problema de fondo: una arquitectura que concede demasiado y verifica demasiado poco.
Para ampliar contenidos relacionados, también puede revisar el ecosistema de publicaciones de TODO EN UNO.NET y sus espacios complementarios sobre organización, tecnología y cumplimiento: https://todoenunonet.blogspot.com y https://todoenunonet-habeasdata.blogspot.com
La seguridad madura no comienza cuando una empresa compra más tecnología, sino cuando aprende a dar acceso con criterio.
“Nunca la tecnología por la tecnología en sí misma, sino la tecnología por la funcionalidad.”