El aumento en el uso de VPN podría ser riesgoso para las empresas: cómo responder

Un aumento en el uso de VPN podría ser riesgoso para las empresas: cómo responder

Por Phil Muncaster • 11 Septiembre 2025

La Ley de Seguridad en Línea (OSA) es una de las leyes más extensas y complejas del Reino Unido. También es una de las más controvertidas, ya que contiene disposiciones diseñadas para obligar a las plataformas en línea a supervisar el contenido, acceder a conversaciones privadas y verificar la edad de sus usuarios. Fue esta última la que provocó indignación en diversos sectores tras su entrada en vigor el 25 de julio.

A pesar de prometer hacer de internet un lugar más seguro, especialmente para los niños, la OSA podría, de hecho, hacerlo más peligroso para las empresas si provoca un aumento duradero en el uso de VPN. Como mínimo, las organizaciones podrían necesitar actualizar sus controles de seguridad y políticas de uso aceptable para adaptarse al nuevo panorama.

Consecuencias no deseadas

La OSA exige que cualquier sitio web que muestre contenido pornográfico implemente controles estrictos de verificación de edad que sean técnicamente precisos, sólidos, fiables y justos. Otros sitios que ofrecen contenido para adultos, como X (anteriormente Twitter), Reddit, Discord, Telegram, Bluesky y Grindr, también se han comprometido a implementar controles de edad. Con multas que ascienden a 18 millones de libras esterlinas, o el 10 % de los ingresos mundiales, muchas plataformas que ofrecen contenido generado por los usuarios están siendo precavidas.

Para muchos usuarios, esto representa un problema. Las verificaciones de edad podrían requerir que ingresen un correo electrónico, un número de teléfono, un documento de identidad escaneado, datos de una tarjeta de crédito o una foto o video de su rostro. Entre los proveedores seleccionados para procesar esta información se encuentran Persona (una empresa estadounidense) y AgeID, con sede en Chipre. Los usuarios no tienen otra opción. Deben usar el proveedor seleccionado por el sitio web o la plataforma a la que intentan acceder.

Es comprensible que los usuarios de internet duden en compartir información personal y biométrica altamente sensible con proveedores que la almacenarán en el extranjero. Por eso, muchos optan por invertir en una VPN, bajo sus propias condiciones.

El auge de las VPN

Varias estadísticas cuentan la historia de lo que sucedió en los días posteriores al 25 de julio. El proveedor de VPN Proton inscripciones reportadas El número de casos originados en el Reino Unido aumentó más del 1,400 % ese mismo día. «A diferencia de los aumentos anteriores, este es sostenido y significativamente mayor que cuando Francia perdió el acceso a contenido para adultos», afirmó.

Mientras tanto, Búsquedas en Google Dentro del país, la "red privada virtual" alcanzó su "máxima popularidad" el 26 de julio. Según vpnMentor, cinco proveedores de VPN entró en el top 10 de aplicaciones más descargadas en la App Store de Apple.

El desafío desde la perspectiva de la seguridad radica en que no todas las VPN son tan seguras y respetuosas con la privacidad como se anuncian. Pueden:

Compartir datos con naciones hostiles
Utilizar un cifrado obsoleto o débil que hace que las conexiones sean vulnerables a ataques de intermediarios
Vender datos de usuarios a terceros
Paquete de software con código malicioso
Contienen vulnerabilidades que podrían ser explotadas
Presentar un riesgo de fuga o violación de datos, si el proveedor se ve comprometido

En resumen, si un empleado descarga una VPN de consumo en una computadora portátil de trabajo, una computadora portátil personal de trabajo o un dispositivo BYOD, podría representar un importante riesgo de TI oculto que socave la gobernanza de datos y la seguridad. Esto sin contar los riesgos potenciales de visitar sitios web para adultos que podrían albergar malware.

¿Qué hacer a continuación?

Mark Weir, director regional para el Reino Unido e Irlanda de Check Point Software, afirma que la mayoría de las organizaciones ya prohíben el uso de herramientas VPN personales tanto en dispositivos BYOD como corporativos. Sin embargo, dado el reciente aumento en su adopción, aconseja a los equipos de seguridad que actualicen las políticas y comprueben si faltan.

Las organizaciones deberían adoptar herramientas que detecten sistemas informáticos ocultos e identifiquen a los usuarios relacionados. Cuando ya existan estas herramientas, se debe prestar especial atención a la monitorización del uso de VPN personales, junto con otros posibles riesgos de seguridad y cumplimiento normativo, explica a ISMS.online.

También es importante implementar una campaña educativa para dar a conocer estas políticas a la comunidad de usuarios finales. En conjunto, este triple enfoque de aplicación de políticas, adopción de tecnología y educación del usuario puede ayudar a abordar eficazmente el aumento del uso de VPN personales.

Chad Cragle, CISO de Deepwatch, sostiene que las empresas también necesitan actualizar sus sistemas de gestión de seguridad de la información (SGSI) en tres áreas: gestión de activos (VPN de seguimiento); control de activos (MFA y acceso condicional); y políticas de uso aceptable (para establecer que las VPN no administradas no pueden acceder a datos confidenciales).

La gobernanza debe considerar las herramientas de privacidad como parte del panorama, no como lagunas legales. Su función es reforzar las barreras incluso cuando el tráfico intenta bloquearse. Esto implica: residencia de datos y geocercado para mantener el tráfico dentro de las jurisdicciones aprobadas; preservación de registros de auditoría mediante la monitorización de endpoints y DLP, incluso si el tráfico se tuneliza; y una alineación de políticas donde la privacidad y el cumplimiento no sean valores contrapuestos, sino dos caras de la misma moneda», explica a ISMS.online.

Piénselo como el control del tráfico aéreo: los pasajeros pueden valorar la privacidad, pero los aviones siguen presentando planes de vuelo. La gobernanza debe equilibrar la libertad de movimiento con una visibilidad completa; de lo contrario, se vuela a ciegas.

El director de TI y seguridad de Menlo Security, Brandon Tarbet, quiere ver la identidad del usuario separada de las interacciones de la plataforma.

“La solución no es restringir las herramientas de privacidad, sino implementar arquitecturas de seguridad que permitan mantener el cumplimiento normativo y la protección de datos sin comprometer la privacidad del usuario”, explica a ISMS.online. “Esto implica acercar los controles de seguridad y privacidad al contenido mismo, utilizando técnicas como la renderización remota y entornos de ejecución aislados. Las organizaciones pueden lograr tanto el cumplimiento normativo como la privacidad del usuario al garantizar que las decisiones de seguridad se tomen sobre contenido desinfectado y con evaluación de riesgos, en lugar de sobre el tráfico de usuarios sin procesar”.

En última instancia, cualquier tipo de actualización de la gobernanza debe tener en cuenta la forma cambiante en que los empleados tienden a acceder a información confidencial hoy en día, argumenta el vicepresidente de estrategia de productos de Zimperium, Krishna Vishnubhotla.

“La gobernanza debe superar el antiguo enfoque en redes y ordenadores. Los verdaderos riesgos residen en los dispositivos móviles y las aplicaciones que la gente usa a diario”, explica a ISMS.online. “Una VPN puede ocultar el tráfico, pero no soluciona una aplicación que filtra datos o utiliza un cifrado débil. La respuesta es sencilla: comprobar si las aplicaciones tienen problemas de seguridad y protegerlas en el dispositivo. De esta forma, se respeta la privacidad y se mantiene el cumplimiento normativo”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 17 de Febrero de 2026

Lo que la filtración de LastPass nos dice sobre el cumplimiento normativo en 2026

El RGPD siempre se concibió para ser impreciso. Al no enumerar los controles técnicos prescriptivos, como sí lo hace, por ejemplo, el PCI DSS, el reglamento mejora...

Phil Muncaster

La seguridad cibernética 12 de Febrero de 2026

¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito?

No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, tuvimos el privilegio de presenciar un inusual mea culpa: el reconocimiento de que un...

Phil Muncaster

La seguridad cibernética 3 de Febrero de 2026

El fraude en los informes de la WEF es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única.

Informe del Foro Económico Mundial: El fraude es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única

Cinco años es mucho tiempo en ciberseguridad. Sin embargo, ese es el tiempo que el Foro Económico Mundial (FEM) lleva encuestando a directores ejecutivos para su informe Global Cybersecurity O...

Phil Muncaster