Durante décadas, el acceso remoto tuvo una sola respuesta: la VPN. Te conectas desde casa, un túnel te mete "dentro" de la red de la empresa, y trabajas como si estuvieras en la oficina. Funcionó tanto tiempo que cuesta imaginar otra cosa. Pero ese modelo está mostrando sus costuras, y su reemplazo tiene nombre: ZTNA. Entender la diferencia es entender hacia dónde va el acceso seguro.
La VPN de acceso remoto: entras a la red
Una VPN de acceso remoto crea un túnel cifrado entre tu dispositivo y la red corporativa, y una vez establecido, tu equipo es —a efectos prácticos— un miembro más de esa red, con acceso amplio a lo que hay dentro. Ahí está su virtud (comodidad, funciona con todo) y su pecado original: la confianza implícita. La VPN asume que si lograste entrar, eres de fiar, y te da acceso a la red entera. El problema salta a la vista en la era del ransomware: si un dispositivo con VPN se compromete —una laptop infectada, una credencial robada—, el atacante no obtiene acceso a una cosa, sino un pie dentro de toda la red, desde el cual moverse lateralmente hacia lo que importa.
ZTNA: accedes a la aplicación, no a la red
ZTNA (Zero Trust Network Access) invierte el modelo. En lugar de meterte a la red, te da acceso solo a la aplicación específica que necesitas —y a nada más—. Cada acceso se verifica: quién eres (identidad, con MFA), en qué dispositivo (y en qué estado de salud está), y a qué aplicación concreta. No existe un "dentro de la red" al que llegar; existe un acceso puntual, verificado, por aplicación. Es la materialización del principio de confianza cero: nunca confíes, siempre verifica, en cada solicitud.
VPN da acceso a la RED (una credencial robada alcanza todo); ZTNA da acceso solo a la aplicación verificada, acotando el daño.
La diferencia que lo cambia todo
Resumida en una línea: la VPN da acceso a la RED; el ZTNA da acceso a la APLICACIÓN. Y esa diferencia colapsa el radio de daño de una credencial robada. Con VPN, una cuenta comprometida ve toda la red; con ZTNA, ve únicamente las aplicaciones que esa identidad tenía permitidas, sin ninguna puerta hacia el resto. Es exactamente la lógica de que la identidad es el nuevo perímetro: si el control es quién accede a qué, no dónde está la muralla, el acceso remoto tiene que verificar por identidad y por aplicación, no por "estar dentro".
El matiz honesto
ZTNA no es un producto mágico que se enchufa y ya: es un modelo, y migrar hacia él tiene fricción —hay que inventariar aplicaciones, integrar identidad, definir políticas por app—. Depende, además, de una base de identidad sólida: sin MFA y una buena gestión de accesos, el "verifica siempre" pierde fuerza. Y la VPN no desaparece de un día para otro; conserva casos de uso. Pero la dirección del viaje es clara, y arranca por tener bien la identidad.
La idea que se queda
La VPN te mete a la red y confía en ti una vez dentro —un modelo que un dispositivo comprometido convierte en llave maestra—. El ZTNA te da acceso solo a la aplicación que necesitas, verificando identidad y dispositivo en cada acceso, y así reduce drásticamente el daño de una credencial robada. Acceso a la red vs. acceso a la aplicación: esa es la mudanza del perímetro, apoyada en Fortinet y en una identidad bien puesta. Parte del perímetro moderno.