Una pregunta que me hacen con bastante frecuencia, especialmente desde que el teletrabajo se normalizó, es: «Antonio, necesitamos que los empleados se conecten desde casa de forma segura. ¿Qué VPN ponemos?»
La respuesta que dan los artículos genéricos de internet suele ser inútil: una tabla con logos y ticks verdes que no te ayuda a tomar ninguna decisión real. Así que voy a darte lo que realmente le digo a mis clientes, con nombres concretos y razones concretas según el tamaño y la casuística de cada empresa.
Para freelancers y equipos pequeños: WireGuard o Tailscale
Si tienes menos de 10 personas y necesitas acceso remoto a una red privada o a un servidor, WireGuard es hoy mi primera recomendación sin dudarlo. Es un protocolo moderno, con una base de código de menos de 4.000 líneas (frente a las ~70.000 de OpenVPN), auditado independientemente, con rendimiento muy superior a IPSec u OpenVPN en la mayoría de hardware, y con configuración relativamente sencilla una vez que entiendes el modelo de pares de claves.
Lo despliegue habitualmente en un servidor Linux (Ubuntu o Debian) en la red del cliente o en nuestro datacenter, y la configuración de un cliente nuevo lleva menos de diez minutos. Para acceso a un servidor de ficheros, a una máquina virtual o a una aplicación interna, funciona perfectamente.
Si quieres aún menos configuración y tienes un equipo técnico pequeño, Tailscale es WireGuard con una capa de gestión encima que elimina gran parte de la complejidad. Crea una red mesh entre dispositivos sin necesidad de gestionar un servidor central. El plan gratuito llega hasta 100 dispositivos, lo que cubre a la mayoría de equipos pequeños. El inconveniente: dependes del plano de control de Tailscale Inc., que es una empresa americana. Para uso interno sin datos críticos, es perfectamente razonable.
Para pymes de 10 a 100 personas: OpenVPN con certificados o Fortinet SSL VPN
A partir de cierto tamaño, la gestión centralizada de accesos se vuelve crítica. No puedes tener una VPN donde todos comparten la misma clave. Necesitas certificados por usuario, revocación individual cuando alguien se va de la empresa, logs de conexión, y preferiblemente MFA.
En este rango, OpenVPN Access Server sigue siendo una opción sólida y ampliamente probada. No es el protocolo más moderno ni el más rápido, pero la comunidad es enorme, la documentación es excelente, y la integración con LDAP/Active Directory para autenticación es madura. Lo complementamos siempre con MFA (TOTP vía Google Authenticator o Authy, o RADIUS con Duo Security para clientes que ya usan ese stack).
Para clientes que ya tienen o están evaluando hardware Fortinet (que es frecuente en pymes españolas que han recibido una propuesta de algún integrador en los últimos años), el Fortinet SSL VPN integrado en los FortiGate es una opción cómoda porque consolida el firewall, el VPN y las políticas de seguridad en un mismo panel. El rendimiento es bueno y la integración con FortiAuthenticator para MFA está bien resuelta.
El error más común que veo en pymes de este tamaño: una VPN con contraseña compartida y sin MFA. Lo he encontrado en más empresas de las que me gustaría recordar. Una sola contraseña para todos los empleados, que nadie cambia desde hace tres años, y acceso directo a la red interna. Si esa contraseña se filtra —y en algún momento lo hace, via phishing, via reutilización en otra cuenta comprometida—, el atacante tiene acceso total a la red corporativa sin ninguna barrera adicional.
Para empresas medianas o con datos críticos: Zero Trust
El modelo Zero Trust parte de una premisa distinta: en lugar de crear un túnel de confianza plena hacia la red interna, controlas el acceso a aplicaciones concretas, verificas la identidad continuamente y no asumes que estar dentro de la red significa ser de confianza.
En la práctica, para empresas que no tienen presupuesto para Palo Alto GlobalProtect o Zscaler Private Access, hay opciones muy accesibles:
- Cloudflare Access: protege aplicaciones web internas (panel de administración, Kibana, herramientas internas) detrás de una capa de autenticación de Cloudflare. El empleado se autentica con su cuenta corporativa (Google, Microsoft, Okta) y accede solo a la aplicación concreta, sin acceso a toda la red. El plan gratuito cubre hasta 50 usuarios.
- Tailscale con ACLs estrictas: Tailscale permite definir listas de control de acceso muy granulares. El usuario de contabilidad solo puede llegar al servidor de contabilidad. El comercial solo puede ver el CRM. Es Zero Trust de facto sin llamarlo así y sin el coste de una solución enterprise.
- Palo Alto GlobalProtect: para empresas con más de 100 usuarios, con necesidades de cumplimiento normativo estricto y presupuesto para ello. Lo hemos implantado en clientes del sector industrial y en administración pública. El coste es significativo pero las capacidades de visibilidad e inspección de tráfico justifican la inversión en ese contexto.
Por qué WireGuard está ganando terreno tan rápido
Cuando digo a un cliente que WireGuard tiene menos de 4.000 líneas de código, la reacción suele ser de sorpresa. ¿No debería un protocolo de seguridad ser más complejo? En realidad, en criptografía, la complejidad es enemiga de la seguridad. Menos código significa menos superficie de ataque, menos bugs posibles, más fácil de auditar.
WireGuard usa primitivas criptográficas modernas y bien auditadas: ChaCha20 para cifrado, Poly1305 para autenticación de mensajes, Curve25519 para el intercambio de claves. No tienes que elegir entre suites de cifrado ni preocuparte de que alguien configure mal el protocolo de handshake. Es rígido por diseño, lo cual en este contexto es una virtud.
La velocidad también es notable. En pruebas que he hecho en entornos reales, WireGuard genera entre un 15% y un 40% más de throughput que OpenVPN en el mismo hardware, con latencia significativamente menor. Para acceso a sistemas de ficheros en red o videoconferencias sobre VPN, eso se nota.
El mito del VPN antiguo que ya no vale
Voy a decir algo que contradice un poco el discurso habitual de los que venden soluciones nuevas: un OpenVPN bien configurado, con certificados por usuario, MFA activado, versión actualizada y políticas de acceso correctas, sigue siendo perfectamente válido en 2025. No necesitas migrar a WireGuard o a Zero Trust solo porque sean tecnologías más recientes.
Lo que sí necesitas revisar es si la configuración actual cumple los mínimos. Si tienes OpenVPN con usuario y contraseña sin MFA, eso hay que arreglarlo. Si tienes IPSec con IKEv1 y cifrado 3DES, eso hay que actualizarlo. Si tienes un appliance VPN con firmware de 2019 sin actualizar, eso es un problema.
La tecnología importa menos que la configuración y el mantenimiento. Un WireGuard mal configurado es más peligroso que un OpenVPN bien mantenido.
Preguntas reales de clientes
«¿El VPN nos protege del ransomware?» No directamente. El VPN da acceso remoto seguro, pero si el usuario que se conecta tiene un equipo comprometido, el ransomware entra a través del VPN con él. La protección contra ransomware requiere segmentación de red, EDR en endpoints y backups offline.
«¿Podemos usar el VPN del router que nos dio el ISP?» Técnicamente, muchos routers de operador tienen capacidad VPN (IPSec o PPTP). PPTP está roto criptográficamente desde 2012. IPSec en routers de consumo a menudo tiene configuraciones débiles por defecto. Para uso profesional, mejor un servidor dedicado con protocolo actual.
«¿Cuánto cuesta implantar un VPN corporativo?» Depende del modelo. Un WireGuard básico en servidor Linux para un equipo pequeño puede estar listo en unas horas de trabajo. Una implantación de OpenVPN Access Server con AD, MFA y documentación para una empresa de 50 personas suele llevarnos entre 2 y 4 días de trabajo. Una solución Zero Trust como Cloudflare Access para varias aplicaciones, entre 3 y 8 días según la complejidad.
Si quieres implantar o mejorar el acceso remoto de tu empresa, cuéntanos tu caso. En función de tu tamaño y necesidades, te recomendamos la solución que realmente te conviene, no la más cara.