Cuándo una VPN para empleados sí ayuda y cuándo no

¿Qué es una VPN y qué hace realmente?

Una VPN construye un túnel cifrado entre el dispositivo del empleado y un servidor VPN. Desde ese servidor, el tráfico continúa hacia internet como si saliera desde allí. Para terceros que observan la red local, por ejemplo otros usuarios de un wifi de hotel o el operador malicioso de un hotspot gratuito, se vuelve difícil ver qué sitios visita el empleado o qué datos envía.

Importante: solo se cifra el tramo entre el dispositivo y el servidor VPN. Lo que ocurre después del servidor es tráfico de internet normal, con los mismos riesgos que sin VPN. El propio proveedor de VPN ocupa una posición de confianza; ve el tráfico una vez descifrado. Para uso empresarial es una razón para no elegir una VPN de consumo cualquiera, sino un servicio cuya jurisdicción y política de registros sean conocidas.

¿Cuándo es útil una VPN para los empleados?

Una VPN aporta un valor añadido claro en redes que no controla y en las que no confía. Las situaciones prácticas en las que los empleados se benefician son reconocibles:

• Wifi público en estaciones, aeropuertos, hoteles y locales de hostelería, donde terceros desconocidos observan o montan hotspots falsos.
• Congresos y eventos, donde el tráfico de red suele estar mal protegido y se escucha explícitamente con fines de investigación o demostración.
• Teletrabajo a través de una red compartida con compañeros de piso o vecinos que conectan dispositivos desconocidos.
• Viajes a países donde el internet local está sometido a fuerte filtrado, vigilancia o inyección.
• Acceso a sistemas internos que requieren explícitamente conexión VPN por motivos de segmentación o cumplimiento.

Lo que una VPN explícitamente no hace

El malentendido "VPN activada, así que estoy seguro" causa más daño que un uso razonable. Una VPN no protege frente al tipo de riesgos que generan incidentes a diario:

• Phishing: una VPN no impide que un empleado introduzca su contraseña en una web falsa.
• Malware: un adjunto infectado funciona perfectamente a través del túnel.
• Uso indebido de cuenta: las credenciales robadas funcionan igual de bien a través de una VPN.
• Anonimato frente a su empleador, su banco o servicios donde igualmente inicia sesión con datos personales.
• Compensación por un navegador inseguro, actualizaciones pendientes o un portátil olvidado.
• Los mayores incidentes de los últimos años no entraron por una red de hotel sin cifrar, sino por un correo de phishing, una cookie de sesión filtrada o un ataque de fatiga MFA. Contra eso ningún túnel ayuda.

El mayor malentendido: "VPN es igual a seguridad"

Muchos empleados usan una VPN porque la asocian con seguridad, sin saber qué protege exactamente. Esa sensación de tranquilidad es arriesgada cuando desplaza otros comportamientos. Quien se cree a salvo porque la VPN está activa hace clic con más facilidad en enlaces sospechosos, usa con mayor ligereza wifis públicos para acciones sensibles y pospone actualizaciones pensando que no puede pasar nada.

En un programa de concienciación es más eficaz posicionar la VPN como una capa entre varias: un paso que forma parte de un paquete más amplio con MFA, parches, contraseñas fuertes y un clic consciente. Sin ese contexto se crea más falsa seguridad que mejora real.

VPN personal frente a VPN empresarial

Las VPN que los empleados conocen desde casa suelen ser servicios comerciales dirigidos a consumidores: prometen privacidad, evasión de bloqueos geográficos y cifrado en wifi público. Para acceso empresarial a sistemas internos o protección consistente de los empleados se necesita otro tipo de producto.

Algunos puntos que marcan la diferencia para la elección empresarial:

• Jurisdicción y política de registros: el proveedor opera desde un país con legislación clara de privacidad y no conserva registros de tráfico.
• Integración con su plataforma de identidad: los empleados inician sesión con su cuenta corporativa más MFA, y al irse el acceso se revoca automáticamente.
• Split tunneling: solo el tráfico relevante pasa por el túnel, de modo que las videollamadas y las descargas grandes no se ralentizan innecesariamente.
• Configuración always-on: la VPN arranca automáticamente en dispositivos de confianza y permanece activa en redes desconocidas.
• Gestión y visibilidad: el equipo de seguridad ve si las conexiones funcionan, puede aplicar políticas de forma centralizada e investigar problemas.
• Las VPN gratuitas rara vez son sensatas para uso empresarial. En los últimos años se ha demostrado que varios proveedores gratuitos revendían tráfico, inyectaban publicidad o estaban bajo influencia de actores con vínculos estatales.

¿Qué debe decirse sobre esto en un programa de concienciación?

El uso de VPN no es un tema aislado; forma parte del mensaje más amplio sobre trabajar en redes desconocidas. Inclúyalo en la incorporación como parte de la explicación del portátil de trabajo: cuándo se activa la VPN automáticamente, cuándo debe activarla el empleado y quién ayuda cuando no funciona. Combínelo con reglas claras en la política: para qué tipo de trabajo es obligatoria la VPN, puede el empleado usar VPN propias para fines privados en el portátil corporativo, cómo gestiona los países donde el uso de VPN está restringido o prohibido.

En un programa recurrente ayuda no ofrecer la VPN como un módulo aparte, sino como acción concreta en escenarios: un empleado viaja a un congreso, otro trabaja desde un camping, otro se conecta desde la red de un cliente. Con esas historias la tecnología se vuelve manejable y queda claro que la VPN es una capa junto al clic consciente, la autenticación fuerte y el software actualizado.

Artículos relacionados

• Asegurar el puesto de trabajo móvil
• Lecciones de incidentes en teletrabajo
• Principios básicos de seguridad de dispositivos
• ¿Qué es el phishing?

Fuentes

• NCSC NL: consejos para teletrabajo seguro
• CISA: Using Virtual Private Networks safely
• NIST SP 800-77 Rev. 1: Guide to IPsec VPNs

FAQ

¿Es obligatoria una VPN para los teletrabajadores?

Depende de su política. Para trabajo que solo pasa por sistemas internos, una VPN empresarial suele ser obligatoria. Para trabajo de oficina general a través de aplicaciones en la nube, MFA y autenticación fuerte funcionan a menudo igual de bien. Por coherencia, no obstante, recomendamos establecer VPN always-on como estándar en los portátiles corporativos.

¿Puede un empleado usar una VPN gratuita para el trabajo?

Mejor no. Las VPN gratuitas suelen monetizar mediante reventa de tráfico, inyección de publicidad o recopilación de metadatos. Para el trabajo debe usarse un servicio elegido y gestionado por la organización.

¿Una VPN protege frente al phishing?

No. Una VPN cifra el tráfico de red, pero el usuario introduce él mismo sus credenciales en una web. Frente al phishing solo ayudan la atención humana, la MFA, las passkeys y la tecnología que bloquea dominios falsos.

¿Cuándo aporta realmente algo una VPN?

En redes que no controla, como wifi público, congresos y redes domésticas compartidas, y cuando necesita específicamente acceder a sistemas internos solo accesibles por VPN. En otras situaciones el valor añadido es limitado.

¿Cuál es la diferencia entre una VPN y un proxy?

Un proxy redirige el tráfico de una sola aplicación, sin cifrado completo entre dispositivo y proxy. Una VPN cifra todo el tráfico del dispositivo y se centra en la seguridad de red más que en la configuración de aplicaciones.

¿Debo usar VPN always-on en el portátil corporativo?

Por coherencia y sencillez es recomendable. El empleado no tiene que juzgar él mismo si la red actual es de confianza. En redes de oficina y domésticas de confianza la configuración puede variar mediante split tunneling.

¿Qué alternativas existen a una VPN tradicional?

Las organizaciones adoptan cada vez más Zero Trust Network Access (ZTNA). El acceso se concede por aplicación según usuario, estado del dispositivo y contexto, en vez de canalizar todo el tráfico por un único túnel. Para casos de uso concretos es más seguro y rápido que una VPN corporativa clásica.