Cómo defenderse ante ataques contra la identidad (II)

Por Daniel Pérez Lima, CIO & CISO de Genomcore

 

La protección de la identidad

Arrancamos el segundo artículo sobre la protección de la identidad. En el anterior artículo analizamos las ventajas de usar el registro de dispositivos corporativos para asegurar que quien se conecta, es quien dice ser, como capa adicional al MFA. Esto, combinado con el acceso condicional, permite tener un excelente control para garantizar la protección de la identidad.

En este artículo analizaremos otro método que permite tal fin, y que seguro que es más conocido: conexiones VPN y Zero Trust.

 

¿Te perdiste la tribuna anterior de Daniel Pérez Lima? Puedes leerla aquí.

 

Zero Trust vs VPN clásica

Una solución Zero Trust es un modelo de acceso donde cada conexión se valida de forma individual, sin asumir que un usuario o dispositivo es confiable por estar dentro de la red. Zero Trust no concede acceso a la red, sino solo a la aplicación específica, aplicando controles basados en identidad, contexto y riesgo. Esto elimina el movimiento lateral, reduce la superficie de ataque y evita que un atacante que comprometa una cuenta pueda desplazarse por la infraestructura.

Las VPN clásicas funcionan de forma opuesta. Una vez que el usuario se autentica, la VPN abre un túnel completo hacia la red interna, otorgando visibilidad y acceso a segmentos que no siempre son necesarios. Esto convierte la red corporativa en un único perímetro: si un atacante entra, puede moverse libremente. Además, las VPN no validan el estado del dispositivo, no aplican políticas dinámicas y no inspeccionan el tráfico de forma granular.

Zero Trust, en cambio, no confía en la red, sino en la identidad y el contexto. Cada acceso es puntual, segmentado y supervisado. Por eso es el modelo recomendado para entornos híbridos y SaaS.

Algunas opciones para estas configuraciones serían Cloudflare Zero Trust, Cisco Secure Access y Zscaler Private Access (ZPA). Estas, entre otras, permiten sustituir las VPN tradicionales por accesos basados en identidad y políticas dinámicas. Cloudflare destaca por su red global y su enfoque cloud-first; Cisco por su integración con ecosistemas híbridos que necesiten aún VPN legacy, así como por usar su cliente unificado; mientras que Zscaler destaca por su madurez y su plataforma SASE ampliamente adoptada en grandes organizaciones.

 

Protección del acceso cuando aún se usa VPN clásica

Aunque Zero Trust es el modelo ideal, muchas empresas siguen utilizando VPN tradicionales por razones de compatibilidad o transición gradual. En estos casos, es fundamental reforzar la seguridad del acceso VPN para reducir riesgos.

La primera medida es integrar la VPN con un proveedor de identidad moderno y aplicar MFA, sí o sí. Uno de los principales métodos de penetración ha sido la fuerza bruta o el uso de credenciales expuestas, por lo que MFA sobre la VPN es totalmente imprescindible.

Por otra parte, también es posible establecer grupos de acceso diferentes segmentos de red. De este modo, el acceso VPN no te dará acceso a “toda” la red, sino a una parte de ella.

Otra manera de reforzar la VPN es mediante el uso de certificados. El hecho de obligar a tener un certificado concreto para que la VPN pueda conectar es un gran elemento de defensa ante un uso malicioso de la VPN. Podrán robar credenciales o el cliente, pero el certificado es bastante más complicado.

Combinar VPN con un IPS, es también una gran opción. La VPN por sí misma no podrá analizar si la conexión es maliciosa, pero un IPS detrás de la VPN puede ser capaz de detectar comportamiento anómalo y detener o cortar la conexión.

Finalmente, es clave mantener los sistemas de autenticación VPN parcheados y monitorizados. Constantemente salen Zero Days de los diferentes proveedores de VPN, y los atacantes los explotan para conseguir el acceso al entorno empresarial, por lo que la monitorización continua ayudará a detectar estas anomalías.

Estas medidas no convierten la VPN en Zero Trust, pero sí reducen significativamente la exposición mientras la organización avanza hacia un modelo moderno basado en ZTNA.

 

Arquitectura Zero Trust recomendada para entornos híbridos

Zero Trust en cambio se apoya en la verificación continua, donde cada solicitud se evalúa según identidad, dispositivo, ubicación y riesgo. También aplica el principio de privilegios mínimos, garantizando que cada usuario acceda solo a lo necesario, y utiliza microsegmentación para evitar el movimiento lateral dentro de la red. Habitualmente, con Zero Trust se da acceso justo a la aplicación que necesita el usuario. De ahí que se limiten los permisos y se evite el movimiento lateral: una vez has podido autenticar, tendrás acceso exclusivamente a la aplicación que necesites, que estará “publicada” en este entorno Zero Trust.

Esto, obviamente, implica un trabajo de configuración importante, además de que no todas las aplicaciones serán compatibles con la solución Zero Trust que hayas elegido. Por ello es muy importante analizar muy bien tu entorno, conocerlo, y ver hasta qué punto podrás activar Zero Trust, y para que aplicaciones deberás seguir con VPN clásicas.

 

Conclusión

Zero Trust es la evolución natural de la seguridad en entornos híbridos. A diferencia de las VPN clásicas, no confía en la red, sino en la identidad y el contexto, aplicando controles dinámicos y segmentados. Aun así, en función del entorno que tengas, deberás poder convivir con ambas opciones. Y no hay que pensar que “o Zero Trust, o cualquier otra opción es mala”. No es así. La VPN bien configurada, te da mucha seguridad, y no será tan difícil de romper como quizá puedas creer.

 

+INFO

Mythos expone un fallo estructural en Zero Trust y acelera el riesgo de ataques

 

Observatorio: Desde Zero Trust hasta los planes de recuperación: las claves de la ciberresiliencia

IA y Zero Trust impulsan la ciberseguridad del 2026