Ciberseguridad·11 min read

Zero-trust architecture: por qué VPNs están muriendo en 2026

El modelo de seguridad perimetral está obsoleto. Este artículo explica la arquitectura zero-trust y por qué empresas como Google han eliminado VPNs.

Dax Reyes
··1,150 vistas

El modelo de seguridad perimetral —esa idea de que la red interna es "confiable" y todo lo que queda fuera no lo es— está muriendo, y no de forma silenciosa. En 2026, compañías como Google, Microsoft y Apple han eliminado las VPNs por completo de su infraestructura interna, sustituyéndolas por arquitecturas zero-trust. No es una moda pasajera: es la respuesta lógica a un mundo donde el trabajo remoto, la computación en la nube y las amenazas modernas han dejado obsoleta la metáfora del castillo con murallas. Las VPNs se diseñaron para proteger un perímetro que, sencillamente, ya no existe; y no pueden defenderte de amenazas que ya están dentro de las murallas.

La idea detrás de zero-trust

Zero-trust se resume en tres principios que suenan casi paradójicos al principio: nunca confiar, verificar siempre; dar el mínimo privilegio posible; y asumir que el atacante ya está dentro. En la práctica, esto significa que ninguna red se considera confiable por defecto, que la identidad pasa a ser el nuevo perímetro de seguridad, que las políticas se aplican a nivel de cada recurso individual, y que la verificación ocurre de forma continua, no solo en el momento del login.

Por qué las VPNs se han quedado atrás

El problema de fondo es que las VPNs asumen que si estás dentro de la red corporativa, automáticamente eres confiable. Eso tenía sentido cuando los empleados trabajaban desde una oficina y los recursos vivían en un datacenter propio. Pero hoy la gente trabaja desde cualquier sitio y los recursos están repartidos entre varios clouds públicos, así que esa premisa original ya no se sostiene.

A eso se suman los problemas de experiencia de usuario que cualquiera que haya usado una VPN corporativa conoce de sobra: la conexión se vuelve más lenta porque todo el tráfico tiene que pasar por un túnel, las desconexiones son frecuentes, la configuración suele ser un dolor de cabeza, y no es raro que entre en conflicto con el networking local del propio usuario. Y por si no fuera suficiente, las VPNs tampoco escalan bien: los gateways tienen límites de conexiones concurrentes, gestionar reglas de acceso a nivel de red se vuelve inmanejable a medida que crece la organización, y cada solución suele atarte a un vendor concreto.

Cómo se construye una arquitectura zero-trust

Una implementación típica se apoya en cuatro piezas: un Identity Provider que centraliza el login, el MFA y la verificación del estado del dispositivo; un Policy Decision Point que evalúa qué acceso corresponde a cada situación; un Policy Enforcement Point que aplica esa decisión en el momento; y una capa de observabilidad que registra y monitoriza cada solicitud de acceso para poder auditar y detectar anomalías.

Migrar sin dramas

No hace falta un cambio radical de un día para otro. Lo habitual es empezar poniendo la identidad en el centro —SSO con autenticación multifactor—, seguir definiendo políticas de acceso por recurso en lugar de por red, añadir después verificación continua, y solo al final, cuando todo lo anterior funciona bien, retirar las VPNs que habían quedado como último vestigio del modelo antiguo.

En cuanto a herramientas, el ecosistema ya está bastante maduro: Cloudflare Access, el propio BeyondCorp de Google, Microsoft Entra, Okta Identity Cloud, y Teleport para casos de infraestructura son las opciones más consolidadas.

Lo que han hecho quienes ya migraron

Google eliminó sus VPNs internas por completo en 2014 con BeyondCorp, un sistema que se apoya únicamente en la identidad como factor de confianza, revisa el estado de cada dispositivo antes de dar acceso, aplica políticas granulares por aplicación, y verifica continuamente en lugar de confiar en una sesión abierta indefinidamente.

Microsoft, por su parte, completó su propia migración en 2020 usando Azure AD como proveedor de identidad, políticas de acceso condicional basadas en riesgo, acceso just-in-time para recursos sensibles, e integración directa con Microsoft Defender. La propia compañía ha reportado una reducción del 67% en incidentes de seguridad tras el cambio, una cifra que por sí sola explica por qué tantas organizaciones están siguiendo el mismo camino.

Vale la pena el esfuerzo

Migrar tiene un coste real: hay que invertir en herramientas, en configuración, en formar a la gente, y en gestionar el cambio cultural que supone dejar de confiar en la red por defecto. Pero los beneficios —mejor seguridad, mejor experiencia de usuario sin VPNs de por medio, mejor cumplimiento normativo, y la libertad de trabajar desde cualquier lugar— suelen superar ese coste en un plazo de doce a dieciocho meses, según la experiencia de quienes ya han hecho la transición.

La respuesta a si merece la pena migrar es, casi siempre, sí. Si tu organización tiene trabajo remoto, recursos en la nube, y requisitos de compliance exigentes, zero-trust ha dejado de ser una opción interesante para convertirse en una necesidad.

Compartir

Dax Reyes

Sistemas y Kernel

// Relacionados

Zero-trust architecture: por qué VPNs están muriendo en 2026 — SYNTHNODE