VPN para seguridad de trabajo remoto

El boom de trabajo remoto que empezó en 2020 produjo una generación de trabajadores cuyo entorno principal de trabajo no es la oficina corporativa. Cafeterías, oficinas en casa, habitaciones de hotel, espacios de coworking, centros de convenciones, aeropuertos. Cada una de estas redes tiene distintas características de seguridad. El consejo "usá una VPN" se propagó ampliamente; el detalle técnico de qué efectivamente tiene que hacer la VPN no.

Esta es la versión práctica. Qué sale mal en redes de trabajo remoto, dónde ayuda efectivamente una VPN, dónde no, y qué necesitan manejar específicamente los despliegues VPN corporativos.

Qué sale mal en redes de trabajo remoto

Tres clases de riesgo:

1. Visibilidad del operador de red. Quien sea que corra la red a la que estás conectado puede ver tus patrones de tráfico. Wi-Fi de cafetería: el dueño del café. Wi-Fi de hotel: el operador de red del hotel y su ISP. Coworking: el edificio. Wi-Fi de conferencia: los organizadores del evento y sus proveedores. Ninguno de estos es inherentemente malicioso, pero todos tienen niveles variables de monitoreo, retención y (ocasionalmente) uso comercial de datos de tráfico.

2. Puntos de acceso falsos. Una laptop corriendo airbase-ng o similar en una cafetería puede emitir una red Wi-Fi con el mismo nombre que la legítima. Los dispositivos que previamente se conectaron a "Hilton Honors" o "Boingo Free" se auto-conectan al falso. El atacante ahora ve todo el tráfico no encriptado y puede MITM HTTPS donde falte el TLS pinning. Esto no es teórico; ataques documentados en conferencias de seguridad apuntan específicamente a asistentes visitantes que son razonablemente conscientes de la privacidad en sus vidas profesionales pero se auto-conectan a nombres Wi-Fi familiares.

3. Espionaje corporativo dirigido. Ejecutivos senior, abogados en litigación activa, profesionales de M&A y profesionales financieros en firmas de trading son objetivos reales. La focalización puede ser oportunista (capturar a quien sea que se conecte a una red en una ubicación específica de alto valor como un aeropuerto importante) o específica (seguir a una persona y conectarse a cualquier Wi-Fi al que se conecte). Lo último es raro en la práctica pero documentado; lo primero es más común.

Una VPN aborda los tres en la capa de red. El operador de red, AP falso y cualquier atacante oportunista en la misma red ven tráfico encriptado al proveedor VPN. No ven los sitios web destino, el contenido, las credenciales escritas.

Split tunneling: cuándo y cuándo no

Split tunneling es la función que te deja enrutar algo de tráfico a través de la VPN y algo de tráfico fuera. La pregunta de cuándo usarlo se divide en dos ejes:

Trade-off rendimiento vs seguridad. Enrutar todo el tráfico a través de una VPN suma latencia y overhead de ancho de banda. Para tráfico que no necesita encriptación (Spotify haciendo streaming de un podcast, Netflix en una conexión estable conocida, un videojuego en la LAN), enrutar fuera de la VPN preserva velocidad. Para tráfico que sí necesita encriptación (email de trabajo, gestión de documentos, cualquier cosa con datos de cliente o IP de empresa), enrutar a través de la VPN importa.

Split geográfico vs todo-el-tráfico. Algunos usuarios quieren VPN para todo excepto recursos de red local (impresora en casa, NAS, dispositivos de hogar inteligente). Otros quieren VPN solo para apps específicas (VPN prendida para la pestaña del navegador de trabajo, apagada para todo lo demás).

Para uso corporativo, split tunneling a veces es obligatorio y a veces prohibido. Obligatorio: empresas que enrutan todo el tráfico corporativo a través de su propia VPN, pero exentan apps SaaS (Slack, Salesforce) que la VPN corporativa de todos modos no puede inspeccionar. Prohibido: empresas que requieren que cada byte sea visible al monitoreo corporativo.

Para uso VPN-personal en trabajo remoto, la respuesta correcta normalmente es:

• VPN prendida para tráfico relacionado con el trabajo (email corporativo, gestión de documentos, herramientas internas)
• VPN prendida para cualquier tráfico personal sensible a la privacidad (banca, portales de salud, periodismo, cualquier comunicación con contactos sensibles)
• VPN apagada para streaming, gaming y navegación casual donde la privacidad es menos crítica y el rendimiento importa

Fexyn soporta split tunneling por aplicación en Windows. Actualmente no lo soportamos en macOS o Linux. Para usuarios cuya configuración de trabajo remoto exige ruteo por app, Mullvad y ProtonVPN tienen implementaciones de split tunneling más maduras a través de plataformas hoy.

Políticas de VPN siempre activa

Algunas configuraciones corporativas requieren VPN siempre activa — la VPN está arriba antes que cualquier otro tráfico y nunca cae. La implementación:

• El cliente VPN se lanza al inicio, antes del login de usuario
• El kill switch (reglas de firewall a nivel de kernel) aplica sin-tráfico-sin-VPN
• El usuario no puede toggle la VPN apagada a través de la UI
• La VPN reconecta automáticamente en cualquier caída

Fexyn soporta siempre-activa para uso de cuenta personal: el kill switch puede configurarse para mantenerse activo a través de reinicios, el cliente puede lanzarse al inicio, y las reglas WFP persisten. Actualmente no tenemos siempre-activa con gestión TI centralizada con aplicación de políticas (la clase que un departamento de TI de una empresa despliega a todas las laptops de empleados). Para eso, NordLayer o Perimeter81 son los productos correctos de tier-de-negocio.

Para trabajadores remotos solo y equipos pequeños, la configuración de cuenta personal siempre-activa normalmente es suficiente. Configurá una vez, dejá prendida, olvidate.

Lo que una VPN personal no cubre para trabajo corporativo

Una VPN personal encripta tu tráfico entre tu dispositivo y la salida del proveedor VPN. No:

Provee acceso a recursos corporativos internos. Si tu empresa tiene una VPN corporativa que protege recursos internos (servidores de archivos, apps internas, entornos de desarrollo), necesitás esa VPN corporativa para alcanzar esos recursos. Una VPN personal no la reemplaza. Algunas configuraciones requieren correr ambas: VPN corporativa para acceso interno, VPN personal para privacidad fuera del túnel corporativo.

Cumple con políticas corporativas de monitoreo. Si tu empleador requiere monitoreo DLP (data loss prevention) en tu laptop de trabajo, una VPN personal no cambia eso. El agente DLP corre en el dispositivo y ve tráfico antes de que se encripte por la VPN.

Protege contra endpoints comprometidos. Un keylogger o grabador de pantalla en tu laptop lee tu input antes de cualquier encriptación. La VPN está aguas abajo de estos compromisos.

Cumple con requisitos regulatorios que necesitan relaciones específicas con proveedor. Acuerdos de Socio Comercial HIPAA, esfuerzos razonables ABA 477R que necesitan cumplimiento documentado del proveedor, mapeo de control ISO 27001. Estas necesitan relaciones de proveedor que los proveedores VPN personales pueden o no proveer.

Para esas necesidades, se requieren soluciones por capas. Una VPN personal como una pieza de una postura de seguridad más amplia, no como la respuesta completa.

VPN corporativa vs VPN personal

Estos son productos distintos aunque ambos tengan "VPN" en el nombre:

VPN corporativa (Cisco AnyConnect, GlobalProtect, Pulse Secure, configuraciones corporativas basadas en OpenVPN). Provee acceso a redes corporativas internas. El equipo TI corporativo la gestiona. La conexión es a la propia infraestructura de la empresa, no a un proveedor VPN de terceros. Las políticas de logging son lo que sea que la empresa configure (típicamente logging alto para cumplimiento). Usada para alcanzar cosas que solo la empresa puede proveer.

VPN personal (Fexyn, NordVPN, ProtonVPN, etc.). Provee privacidad de observadores de red de terceros y acceso a internet público desde una IP distinta. Usada para sumar una capa de privacidad sobre redes públicas; no usada para alcanzar recursos corporativos internos.

Para trabajadores remotos, la pregunta a menudo es si correr ambas simultáneamente (VPN corporativa para recursos de trabajo, VPN personal para privacidad de las redes públicas sobre las que la VPN corporativa está corriendo). La mayoría de los clientes VPN corporativos permiten esto; algunos no. Algunas empresas tienen políticas al respecto; algunas no.

Para VPN-tier-negocio-con-funciones-personales (que es lo que NordLayer o Perimeter81 venden), el mismo proveedor provee ambos: la gestión de acceso centralizada de tu departamento TI más protocolos VPN modernos y funciones estilo consumidor. Para trabajadores remotos solo y equipos pequeños sin respaldo de departamento TI, VPN-personal-con-VPN-corporativa-encima es el patrón más común.

Dónde encaja Fexyn

Para seguridad de trabajo remoto, Fexyn cubre:

• WireGuard (Bolt) para encriptación de bajo overhead en redes hogareñas y de cafetería típicas
• VLESS Reality (Stealth) para el caso raro donde estás viajando a algún lado con filtrado VPN activo y necesitás mantener acceso
• Kill switch WFP a nivel de kernel en Windows para prevenir exposición de tráfico durante caídas de VPN
• Operación sin logs para la postura de privacidad
• Split tunneling por aplicación en Windows para políticas split sensibles a rendimiento
• Configuración siempre-activa para usuarios individuales que la quieren

Lo que no cubrimos:

• Despliegue gestionado por TI centralizado (para eso, usá NordLayer o Perimeter81)
• Reemplazo de VPN corporativa (para recursos corporativos internos, necesitás la VPN de tu empresa)
• DLP, EDR o seguridad de endpoint (categorías separadas de producto)
• BAAs u otras relaciones de proveedor de cumplimiento más allá de lo que ofrecemos

Preguntas frecuentes

¿Debería usar mi VPN personal con mi laptop de trabajo?

Depende de la política de tu empleador. Algunos empleadores la prohíben (DLP y monitoreo corporativo necesitan ver tu tráfico). Algunos lo permiten. Algunos lo requieren para conexiones de red no corporativas. Leé la política de uso aceptable de tu empleador o preguntá a TI.

¿Una VPN protege contra que mi empleador monitoree mi laptop de trabajo?

Generalmente no. Los agentes de monitoreo corporativo (Endpoint DLP, herramientas MDM, ciertas suites de antivirus) corren en el dispositivo y ven tráfico antes de cualquier encriptación VPN. Algunos agentes específicamente detectan y pueden interferir con uso de VPN personal; algunos no.

¿Mi empresa debería usar Fexyn para trabajadores remotos?

Para equipos solo o pequeños sin TI dedicado, Fexyn es una elección razonable. Para empresas más grandes con equipos TI que quieren aprovisionamiento centralizado, aplicación de políticas y reportes de cumplimiento, las VPNs tier negocio (NordLayer, Perimeter81, ZeroTier para algunos casos) son mejores ajustes. Fexyn actualmente no ofrece las funciones de gestión TI.

¿Y Zero Trust reemplazando VPN?

Zero Trust Network Access (ZTNA) es un modelo distinto: en lugar de VPN a una red confiable, ZTNA evalúa cada petición individualmente con verificaciones fuertes de identidad-y-contexto. Algunas empresas están migrando de VPN a ZTNA para acceso corporativo. Para privacidad de observadores de red pública, tanto VPN como ZTNA proveen encriptación en tránsito. ZTNA no es reemplazo para casos de uso VPN-personal como privacidad de cafetería; es reemplazo para algunos casos de uso VPN-corporativa.

¿Es seguro hacer banca en Wi-Fi de hotel?

Con una VPN, generalmente sí. Sin VPN, el operador de red y cualquier atacante oportunista en la misma red pueden ver patrones de tráfico; las apps bancarias con HTTPS-pinned mitigan los peores ataques pero no todos. Con una VPN, la red ve solo tráfico encriptado a tu proveedor VPN; la conexión TLS del banco es la capa interna, con la encriptación de la VPN afuera. Defensa en profundidad.

---

Probá Fexyn gratis 7 días. Kill switch a nivel de kernel, sin logs, WireGuard para redes típicas, VLESS Reality con Vision para las restringidas. La guía Cómo elegir una VPN cubre la decisión de compra más amplia; Kill switch explicado cubre la implementación basada en WFP.

Última revisión 2026-05-09.