ZTNA o VPN: las claves para asegurar el acceso a los activos empresariales de forma efectiva

Acceder a la red empresarial de forma segura se ha convertido en vital para proteger los activos corporativos. Y es que la movilidad y modelos como la nube suponen un cambio en las dinámicas empresariales de acceso a la red. Por ello, estamos viendo cómo el modelo Virtual Private Network (VPN) está perdiendo terreno frente a Zero Trust Network Access (ZTNA), un enfoque más centrado en los datos y la seguridad que mejora las políticas de DLP, previniendo las fugas de datos.

Ángel Ortiz, director de Ciberseguridad en Cisco España, explica que, “si bien las redes privadas virtuales constituyen una herramienta fundamental y eficaz para el acceso a la red corporativa, hoy día no aportan todo lo necesario para garantizar un acceso remoto ‘transparente’ y sin fricciones para los usuarios a la vez que garantizan plenamente la seguridad. Brindar seguridad desde la aplicación hasta los terminales ha demostrado ser un gran desafío, ya que los trabajadores, las aplicaciones, las redes, las nubes y las soluciones de seguridad se extienden mucho más allá del perímetro de las oficinas y los centros de datos tradicionales”.

De la misma opinión es Anastasia Sotelsek, principal sales engineer de CyberArk: “Los permisos y privilegios para acceder a la infraestructura y los servicios de la nube expanden la superficie de ataque y aumentan riesgo del negocio. Mientras las organizaciones tengan aplicaciones tradicionales, seguirán utilizando VPN. Estas redes se irán sustituyendo por soluciones ZTNA a medida que avancen los proyectos de transformación digital de dichas compañías”.

De hecho, son muchas las empresas preocupadas por la seguridad de las redes. El informe anual VPN Risk Report de Zscaler muestra que un abrumador número de organizaciones (88%) expresan una gran preocupación por la seguridad de sus redes y las posibles brechas causadas por las vulnerabilidades de las VPN. Más concretamente, los encuestados parecen alarmados por posibles ataques de phishing (49%) y de ransomware (40%) como resultado del uso habitual de VPN. Casi la mitad de las empresas encuestadas informaron de que habían sido objetivo de ciberatacantes que pudieron aprovechar una vulnerabilidad de la VPN.

ZTNA se ha vuelto más relevante en un entorno donde la movilidad y la nube han cambiado las dinámicas tradicionales de acceso a la red. Y es que, aunque ambas opciones ofrecen, como señala Gonzalo Echeverría, country manager de Zyxel Iberia, “seguridad de conectividad para la realización de los accesos a las redes corporativas, debido al crecimiento de los ataques de phishing y suplantación de identidad es necesario adoptar una nueva política de acceso a los servicios corporativos. Esto pasa por la confianza cero en las conexiones”.

 

ZTNA proporciona acceso granular a recursos específicos en lugar de otorgar acceso a toda la red

 

Esta nueva realidad hace que este enfoque esté eclipsando a las VPN con el acceso mínimo necesario y la validación continua del usuario. Pero, ¿qué diferencia a estas dos tecnologías? ¿Son alternativas o pueden complementarse para mejorar el acceso remoto a la red corporativa? Para Eduardo Pérez, director de Ciberseguridad en Ikusi España, “tanto el enfoque VPN como ZTNA tienen fortalezas distintas y pueden ser utilizados de manera conjunta para ofrecer una solución de seguridad más completa, aplicando políticas de seguridad más granulares”.

Sergio Martínez, Iberia regional manager en SonicWall, afirma que “aunque ambas tecnologías están diseñadas para dar acceso remoto seguro a los usuarios, se trata de tecnologías complementarias que se pueden implementar juntas para mejorar el acceso remoto a la red y hacerlo más seguro”. De hecho, asegura que la elección entre ZTNA y VPN, o su implementación conjunta, “depende de los requisitos específicos de seguridad y las necesidades de la organización, así como de las herramientas de las que se dispone”.

ZTNA vs VPN: las claves para elegir la mejor opción para tu empresa

Una de las grandes diferencias radica en el modelo de confianza que establecen: ZTNA adopta un modelo de confianza cero, lo que significa que no se confía automáticamente en ningún usuario o dispositivo, incluso si está dentro de la red corporativa. La autenticación y la autorización son requeridas para cada acceso, independientemente de la ubicación.

Las VPNs suelen confiar en la autenticación del usuario y en la conexión segura para conceder acceso a la red corporativa. Una vez conectado a la VPN, el usuario a menudo se considera “dentro” de la red y tiene acceso a recursos según las políticas establecidas dentro de la red. No obstante, tal y como afirma Marc Rivero, Lead Security Researcher de Kaspersky, “la combinación de ambas tecnologías puede mejorar la seguridad y la flexibilidad del acceso remoto a la red corporativa”.

Sergio lo resume de la siguiente forma: “En términos de confianza, ZTNA adopta un enfoque de confianza cero (cada conexión se autentica y autoriza de manera individual) y proporciona un acceso granulado a los recursos, en función del perfil. Por otro lado, VPN sigue un modelo de confianza por defecto (una vez el usuario se conecta a la VPN ya se le otorgan los mismos derechos que si estuviera en la red corporativa), y muchas veces es un acceso tipo ‘barra libre’”.

 

VPN concede acceso a la red completa y la segmentación del acceso es a menudo menos granular

 

ZTNA proporciona acceso granular a recursos específicos en lugar de otorgar acceso a toda la red. Esto permite una implementación más precisa de políticas de seguridad basadas en la necesidad de acceso. Por su parte, VPN concede acceso a la red completa y la segmentación del acceso es a menudo menos granular. Una vez conectado, el usuario puede acceder a todos los recursos disponibles dentro de la red corporativa. Por otro lado, ZTNA modifica el concepto de perímetro y lo extiende de la red corporativa hasta el propio usuario. VPN a menudo se utiliza para conectar usuarios remotos a la red corporativa y se asocia con la idea de establecer una conexión segura desde ubicaciones externas a la red de la organización.

La seguridad de aplicaciones es otro aspecto importante. ZTNA pone particular énfasis en la seguridad de aplicaciones, a las que los usuarios solo pueden acceder si han sido específicamente autorizados, independientemente de su ubicación. Las soluciones ZTNA a menudo permiten una implementación fluida y escalable al priorizar la seguridad de aplicaciones y recursos individuales. VPN, aunque proporciona una conexión segura, permite el acceso a toda la red corporativa sin exigir una autenticación mayor a la hora de acceder a aplicaciones específicas.

Ambas tecnologías tienen su lugar en la arquitectura de seguridad de una organización y pueden ser utilizadas de manera complementaria para proporcionar un acceso seguro a los recursos. No obstante, a diferencia de las VPN, que autentican a los usuarios una vez y otorgan acceso a la red, ZTNA garantiza conexiones seguras validando usuarios y dispositivos continuamente, brindando acceso solo a aplicaciones autorizadas de forma individualizada. Como señalan desde Kaspersky: “La movilidad y la adopción de soluciones en la nube han transformado las dinámicas tradicionales de acceso a la red, brindando flexibilidad a los empleados pero también presentando nuevos desafíos de seguridad y gestión para las empresas”.

En SonicWall van más allá al avisar de que “el epicentro de la ciberseguridad ya está en la última trinchera, el usuario”, con lo que la validación y protección de su identidad es cada vez más crucial pues estamos viendo cómo los ciberdelincuentes han dado un giro brutal hacia la ingeniería social y el robo de credenciales mediante phishing: según la consultora Forrester, casi la mitad de los ataques de 2023 tuvieron este vector presente. Por lo tanto, no es de extrañar que el manager para Iberia de SonicWall piense que “el escenario para las empresas es letal” y que “la seguridad tradicional ya no es suficiente”.

Por su parte, el director de ciberseguridad en Ikusi España considera que, en el nuevo escenario en que viven las empresas, “manejar la diversidad de dispositivos, garantizar un acceso remoto seguro, gestionar identidades y protegerse contra amenazas son algunos de los problemas clave. La seguridad, el cumplimiento normativo y la capacidad de recuperarse de posibles problemas en los servicios en la nube se vuelven críticos en este nuevo escenario, mientras que la conciencia sobre ciberseguridad y la educación de los empleados son fundamentales para reducir riesgos relacionados con prácticas inseguras en un entorno cada vez más centrado en la movilidad y la nube”.