Una amplia mayoría de las organizaciones evalúa abandonar sus redes privadas virtuales (VPN) en favor de arquitecturas de seguridad zero trust, impulsadas por el aumento de amenazas asociadas a estas tecnologías tradicionales. Así lo revela el informe anual de Zscaler ThreatLabz, realizado en colaboración con Cybersecurity Insiders, que recoge las respuestas de 632 profesionales del sector de TI y ciberseguridad.
El documento señala que un 65% de las empresas tiene previsto sustituir sus VPN en los próximos doce meses, mientras que un 81% ya ha comenzado o planea iniciar una transición hacia un enfoque de seguridad zero trust. La preocupación por ataques de ransomware derivados de vulnerabilidades en VPN afecta al 92% de las organizaciones encuestadas. Asimismo, el 93% teme brechas de seguridad vinculadas a accesos de terceros a través de conexiones VPN.
Riesgos operativos y de seguridad impulsan el cambio
Según el informe, el 56% de los profesionales considera que mantener la seguridad y el cumplimiento normativo es el principal reto en el uso de VPN, seguido por problemas operativos como el rendimiento limitado y la complejidad del mantenimiento. Estos obstáculos comprometen la eficiencia de los equipos de TI y afectan a la experiencia del usuario en entornos híbridos.
Los resultados también evidencian una preocupación creciente sobre la exposición a ataques mediante exploits de vulnerabilidades no parcheadas. El uso de inteligencia artificial por parte de los ciberdelincuentes acelera la identificación de puntos débiles en las VPN, permitiendo una elaboración más rápida de ataques basados en vulnerabilidades conocidas (CVEs).
Vulnerabilidades en aumento y brechas reales
El análisis de ThreatLabz indica que entre 2020 y 2024 las CVEs asociadas a productos VPN se incrementaron en un 82,5%. De estas, aproximadamente el 60% obtuvo puntuaciones CVSS clasificadas como altas o críticas, siendo las más frecuentes las que permiten ejecución remota de código (RCE). Este tipo de fallo posibilita que atacantes ejecuten código malicioso directamente sobre los sistemas comprometidos.
El informe menciona además incidentes recientes, como el ocurrido en febrero de 2024 en una entidad financiera, donde el acceso no autorizado a través de una VPN sin parchear expuso datos personales de cerca de 20.000 clientes. Este caso refuerza las preocupaciones sobre la seguridad de los accesos extendidos a contratistas, socios o proveedores, frecuentemente gestionados mediante VPN.
Del acceso sobreprivilegiado al modelo basado en identidad
La arquitectura zero trust ofrece un enfoque alternativo, fundamentado en la verificación continua de identidad, el principio de privilegios mínimos y la segmentación de accesos. A diferencia de las VPN, que permiten un acceso amplio tras la autenticación, el modelo zero trust establece controles más granulares, bloqueando movimientos laterales en la red y reduciendo la superficie de ataque.
Pablo Vera, vicepresidente regional de Iberia en Zscaler, advierte que “los atacantes aprovecharán cada vez más la IA para realizar reconocimiento automatizado, la difusión inteligente de contraseñas y desarrollo rápido de exploits”. Vera sostiene que adoptar una estrategia zero trust permite prescindir de tecnologías expuestas como las VPN y disminuir de forma significativa los vectores de ataque.
Proliferación de escaneos y falsa transición a la nube
Otro de los hallazgos del informe es el aumento en el escaneo de direcciones IP públicas asociadas a VPN, una práctica que suele anticipar intentos de explotación de vulnerabilidades. Zscaler alerta sobre intentos de proveedores tradicionales de “reubicar” las VPN en la nube presentándolas como soluciones zero trust, cuando en realidad continúan basándose en los mismos principios de conectividad heredada.
Desde la perspectiva del informe, los beneficios operativos y de seguridad del modelo zero trust se están consolidando como argumento clave para la migración. Las organizaciones que lo adoptan señalan mejoras en control de accesos, monitorización continua y aplicación automatizada de políticas de seguridad, lo que se traduce en una reducción significativa del riesgo.
Cambios estructurales en la estrategia de ciberseguridad
La transición hacia arquitecturas zero trust no solo responde a una necesidad técnica, sino también a un replanteamiento del modelo de seguridad corporativa. Al reemplazar el acceso a redes por políticas centradas en la identidad y el contexto, se mitigan vectores de ataque como las credenciales robadas y las configuraciones incorrectas.
La adopción de este modelo también implica la eliminación progresiva de activos expuestos a internet, como los concentradores VPN, en favor de soluciones que integran inteligencia artificial, segmentación de aplicaciones y gestión dinámica de accesos. Esta transformación es percibida por el informe como una respuesta estructural ante un entorno de amenazas en evolución constante.
Tendencias y perspectivas de adopción
Con el 81% de las organizaciones proyectando la implantación de arquitecturas zero trust en el próximo año, el informe sugiere un cambio de paradigma en la ciberseguridad corporativa. Frente al declive de tecnologías de acceso remoto tradicionales, las estrategias de protección basadas en identidad y verificación continua se consolidan como el nuevo estándar.
Este cambio, según Zscaler ThreatLabz, está impulsado por la necesidad de responder a amenazas más ágiles y sofisticadas, y por la dificultad de mantener las VPN en un estado seguro y eficiente. La eliminación del acceso privilegiado por defecto, la supervisión proactiva y la automatización de políticas configuran el núcleo de esta evolución.
