Según el informe «State of the MSP» de Kaseya de 2026, el 55 % de los MSP ofrecen la gestión de identidades y accesos como servicio, lo que hace que el ZTNA y su alternativa al acceso remoto basado en VPN cobren cada vez más importancia en la cartera de servicios de los MSP . Descarga el informe completo.
La VPN ha sido la tecnología estándar de acceso remoto durante más de dos décadas. Crea un túnel cifrado entre un dispositivo remoto y la red corporativa, situando al usuario remoto, desde el punto de vista lógico, «dentro» del perímetro. En el modelo de red de los años noventa y dos mil, esta era una forma razonable de ampliar el acceso seguro a los usuarios remotos.
El problema es que el modelo ha quedado obsoleto. Una VPN permite el acceso a nivel de red, no a nivel de aplicación. Un usuario conectado a través de una VPN tiene, en principio, el mismo alcance de red que alguien que se encuentre físicamente en la oficina, lo que significa que un dispositivo comprometido con una sesión de VPN activa ofrece a un atacante acceso a nivel de red al entorno corporativo. A partir de ahí, el movimiento lateral es muy sencillo. El alcance de una sola credencial robada abarca toda la red.
El acceso a la red de confianza cero (ZTNA) aborda este problema directamente al sustituir el acceso a nivel de red por el acceso a nivel de aplicación, que se aplica de forma continua en función de la identidad verificada y el estado del dispositivo. Si desea conocer el marco más amplio en el que se inscribe, consulte nuestra guía sobre [la seguridad de confianza cero como arquitectura.](/blog/zero-trust-security) Esta publicación se centra en la capa de acceso a la red: cómo funciona el ZTNA, en qué se diferencia de las VPN, cómo se relaciona con SASE y cómo pueden implementarlo los MSP.
Sustituir la VPN por un acceso a la red de confianza cero
Datto Secure Edge un control de acceso a nivel de aplicación con verificación continua de la identidad y aplicación de los requisitos de seguridad de los dispositivos mediante SafeCheck, lo que elimina el riesgo de movimiento lateral que las VPN generan en los entornos de los clientes.
Qué es ZTNA
ZTNA es un marco de seguridad que permite a los usuarios acceder a aplicaciones y servicios específicos, y no a la red, basándose en una verificación continua de la identidad, el estado del dispositivo y el contexto. El usuario nunca «se conecta a la red» en el sentido tradicional de una VPN. Se autentica en el sistema ZTNA, que verifica su identidad y el estado de cumplimiento de su dispositivo, y a continuación redirige su conexión a la aplicación específica que necesita y nada más.
Este modelo a nivel de aplicación aplica el principio de «confianza cero» y de «privilegios mínimos» en la capa de acceso a la red: los usuarios solo pueden acceder a las aplicaciones para las que están autorizados, y dicha autorización se reevalúa continuamente en función del contexto.
El concepto de ZTNA existe desde aproximadamente 2010, pero las primeras implementaciones resultaban complejas y costosas. Las plataformas modernas de ZTNA basadas en la nube han hecho que este modelo sea accesible para las pymes y las empresas del mercado medio, y no solo para las grandes empresas con amplios equipos de seguridad.
Cómo funciona el ZTNA
Una arquitectura ZTNA típica funciona mediante tres componentes que actúan de forma secuencial.
Verificación de identidad. El usuario se autentica, normalmente mediante autenticación multifactorial (MFA), en el servicio ZTNA, que verifica su identidad a través del proveedor de identidad corporativo. Este paso permite determinar quién solicita el acceso.
Evaluación del estado de los dispositivos. El agente ZTNA instalado en el dispositivo comprueba que el terminal cumpla con la política de seguridad: sistema operativo actualizado dentro de un plazo definido, agente EDR en ejecución, disco cifrado y bloqueo de pantalla activo. A los dispositivos que no superan la comprobación de estado se les deniega el acceso o se les concede un acceso limitado, según la configuración de la política. Datto Secure Edge esto a través de SafeCheck, una comprobación continua del estado de los dispositivos integrada con Datto RMM. Cuando Secure Edge implementan tanto Datto RMM como Secure Edge , SafeCheck verifica que los terminales cumplan los requisitos de estado de parches y antivirus antes de permitirles conectarse. A los dispositivos que no superan la comprobación se les deniega el acceso hasta que cumplan la política, con un periodo de gracia configurable para el estado de los parches que cubre situaciones como un dispositivo que ha estado desconectado durante un fin de semana.
Proxy de aplicaciones. Una vez verificadas la identidad y el estado del dispositivo, el servicio ZTNA actúa como proxy de la conexión del usuario a la aplicación específica a la que está autorizado a acceder. El usuario nunca tiene una ruta de red directa a las aplicaciones para las que no tiene autorización, ni acceso a nivel de red al entorno general.
Esta arquitectura limita el movimiento lateral de forma concreta. Un atacante que consiga comprometer un dispositivo con una sesión ZTNA activa solo podrá acceder a las aplicaciones específicas a las que ese usuario tenía autorización, y no a toda la red situada detrás del túnel VPN.
—
ZTNA frente a VPN: las diferencias clave
La siguiente tabla recoge las diferencias operativas que resultan relevantes para los MSP que están valorando la transición.
| VPN | ZTNA | |
|---|---|---|
| Modelo de acceso | A nivel de red | A nivel de aplicación |
| Supuesto de confianza | Una vez conectado, es de confianza | Se vuelve a verificar continuamente |
| Riesgo de movimiento lateral | Alto; el acceso a la red es amplio | Mínimo; el acceso se concede previa solicitud |
| Aplicación de las políticas de configuración de los dispositivos | Normalmente limitado o manual | Continuo y basado en políticas |
| Experiencia del usuario | A menudo es lento y requiere una conexión manual | Rápido, puede estar siempre activo y es transparente |
| Asistencia técnica para la nube y SaaS | Deficiente; el tráfico pasa por la red corporativa | Nativo; puede gestionar el tráfico en la nube de forma óptima |
| Escalabilidad | Complejo y dependiente del hardware | Los modelos nativos de la nube se adaptan fácilmente |
La mejora de la experiencia del usuario merece más atención de la que suele recibir. Las VPN son una fuente constante de quejas por parte de los usuarios finales: conexiones lentas, sesiones interrumpidas y la necesidad de conectarse manualmente antes de acceder a las aplicaciones. Las arquitecturas ZTNA configuradas para estar siempre activas ofrecen un mejor rendimiento y eliminan las dificultades de conexión que empujan a los usuarios a recurrir a soluciones alternativas de «TI en la sombra».
Un proveedor de servicios de TI que ha recibido repetidas solicitudes de asistencia técnica relacionadas con el rendimiento de la VPN se da cuenta de inmediato de que se trata de una cuestión de calidad del servicio, y no solo de seguridad. Sustituir la VPN por Datto Secure Edge una categoría recurrente de solicitudes de asistencia y, al mismo tiempo, mejora el nivel de seguridad del cliente.
SASE y ZTNA: cómo se relacionan
SASE (Secure Access Service Edge) es una arquitectura más amplia que agrupa las funciones de seguridad de red en un único servicio prestado en la nube. Una pila SASE completa incluye ZTNA, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall-as-a-Service (FWaaS) y SD-WAN.
ZTNA es un componente de SASE, no un sinónimo del mismo. Una organización puede implementar ZTNA como sustituto de una VPN sin necesidad de desactivar los controles de seguridad de red existentes. Una implementación completa de SASE consolida todas estas funciones en un único servicio en la nube, eliminando la complejidad derivada de la coexistencia de múltiples proveedores que surge al combinar soluciones puntuales independientes.
Datto Secure Edge una solución SASE completa diseñada específicamente para su implementación por parte de proveedores de servicios gestionados (MSP). Su conjunto de soluciones de seguridad incluye ZTNA, SWG para el filtrado web y la inspección de amenazas, FWaaS para la aplicación de políticas de cortafuegos desde la nube y SD-WAN para la optimización del tráfico. Las integraciones con Datto RMM y Autotask permiten que Secure Edge generen automáticamente tickets de servicio, y las actualizaciones de software para Secure Edge distribuyen a través de los catálogos de VSA 10 y Datto RMM, de modo que los terminales se mantienen actualizados sin intervención manual.
Para la mayoría de las pymes y los clientes del mercado medio, el ZTNA como sustituto de la VPN es el punto de partida más práctico. El SASE completo es la evolución natural para las organizaciones con requisitos de conectividad más complejos, que abarcan múltiples sedes y múltiples nubes, así como para los proveedores de servicios gestionados (MSP) que desean desarrollar una oferta completa de seguridad de redes gestionadas.
Implementación de ZTNA: un enfoque por fases
La implementación de ZTNA es gradual. Rara vez resulta viable trasladar a todos los usuarios y todos los accesos desde el primer día. Un enfoque por fases permite gestionar la complejidad y demostrar el valor en cada etapa.
Fase 1: Sustitución de la VPN para el acceso remoto. Implementar ZTNA para los usuarios remotos, sustituyendo o complementando la VPN existente. Centrarse primero en los patrones de acceso de mayor riesgo: el acceso de usuarios con privilegios a los sistemas administrativos, el acceso a repositorios de datos confidenciales y el acceso desde dispositivos no gestionados o BYOD. Estos son los escenarios en los que el riesgo de movimiento lateral de la VPN tiene mayores consecuencias.
Fase 2: Ampliación a todo el acceso a las aplicaciones. Ampliar la cobertura de ZTNA más allá de los usuarios remotos para abarcar todo el acceso a las aplicaciones, incluidos los usuarios locales que se conectan a aplicaciones internas mediante el mismo modelo de acceso verificado. En esta fase, el modelo de acceso es el mismo independientemente de la ubicación física del usuario.
Fase 3: Endurecer las políticas de estado de los dispositivos. Integrar más estrechamente el cumplimiento normativo de los dispositivos, utilizando el estado de EDR como indicador del estado en tiempo real. Implementar políticas adaptativas que reduzcan el alcance del acceso o interrumpan las sesiones cuando el estado del dispositivo se deteriore durante una sesión activa, y no solo en el momento de la conexión. SafeCheck, en Datto Secure Edge esta aplicación continua a través de la integración con Datto RMM.
Fase 4: Supervisión del comportamiento y acceso adaptativo. Implemente un sistema de supervisión capaz de reducir o bloquear el acceso en tiempo real cuando se detecte un comportamiento anómalo durante una sesión autenticada: descargas masivas de archivos, acceso a aplicaciones inusuales, anomalías en la autenticación o intentos de movimiento lateral.
Un punto de referencia útil: un MSP del programa de socios de Datto señaló que Datto Secure Edge sus clientes Secure Edge cumplir más de diez requisitos de control distintos según la norma NIST 800-171, a pesar de que el modelo «zero trust» no se menciona explícitamente en dicho marco. Los controles de acceso, los registros de auditoría y la verificación del estado de los dispositivos se ajustan de forma natural a múltiples familias de controles.
ZTNA para proveedores de servicios gestionados
Los MSP tienen dos motivos distintos para invertir en ZTNA: proteger su propio acceso a los entornos de los clientes y ofrecer ZTNA como servicio gestionado.
A nivel interno, las credenciales de los MSP se encuentran entre los objetivos de mayor valor en la cadena de suministro de las pymes. Un atacante que consiga acceder a una credencial de RMM o a una cuenta de administrador de PSA obtiene acceso a todos los entornos de los clientes que gestiona el MSP. El control de acceso basado en ZTNA, con verificación de identidad por sesión y aplicación continua de los requisitos de seguridad de los dispositivos, limita el alcance que puede tener una sola credencial comprometida. Un MSP que utiliza Datto Secure Edge lo Secure Edge claro: sus técnicos no pueden autenticarse en KaseyaOne conectarse Secure Edge a través de Secure Edge . La verificación de la sesión no es un paso adicional opcional; es la condición previa para el acceso.
Para los clientes, las negociaciones comerciales se han simplificado a medida que se han endurecido los requisitos de los seguros cibernéticos. Muchas aseguradoras exigen ahora la autenticación multifactorial (MFA) y controles de acceso a nivel de aplicación como condición para la cobertura. Un proveedor de servicios gestionados (MSP) capaz de ofrecer ZTNA como servicio gestionado de seguridad de red, con una gestión centralizada de políticas para todos los entornos de los clientes y alertas automatizadas a través de la plataforma de servicios (PSA), está respondiendo a una necesidad de los clientes que antes requería recursos de nivel empresarial para satisfacerse.
Los argumentos operativos también son sólidos. Sustituir la VPN por Datto Secure Edge el volumen de incidencias recurrentes en el servicio de asistencia técnica relacionadas con el rendimiento de la VPN, mejora la experiencia de los trabajadores remotos y elimina los ciclos de renovación de hardware que requieren los dispositivos de VPN locales. Para los clientes, esto se traduce en una mejor experiencia de TI. Para los MSP, se traduce en un modelo de prestación de servicios más sencillo.
Datto Secure Edge disponible para Windows, macOS, iOS y Android; el cliente móvil se lanzó en junio de 2025, lo que ofrece a los proveedores de servicios gestionados (MSP) una única implementación de ZTNA que abarca toda la gama de dispositivos que utilizan sus clientes.
Puntos clave
- El ZTNA sustituye el acceso a nivel de red de las VPN por un acceso a nivel de aplicación, que se verifica continuamente en función de la identidad y el estado del dispositivo. Una credencial comprometida con acceso ZTNA solo puede acceder a las aplicaciones autorizadas, no a toda la red.
- La dimensión de la postura de los dispositivos es donde la integración entre ZTNA y RMM cobra mayor importancia. SafeCheck, en Datto Secure Edge Datto RMM para verificar de forma continua el cumplimiento normativo de los dispositivos finales antes y durante las sesiones de acceso.
- ZTNA es un componente de SASE. Para la mayoría de las pymes, el ZTNA como sustituto de la VPN es el punto de partida. El SASE completo integra ZTNA, la pasarela web, el cortafuegos en la nube y la SD-WAN en un único servicio prestado desde la nube.
- La implementación es gradual: comience por el acceso privilegiado y remoto, amplíela a todo el acceso a las aplicaciones, y luego refuerce las políticas de seguridad y añada la supervisión del comportamiento.
- Los MSP cuentan con incentivos tanto internos como comerciales: proteger el acceso con altos privilegios de los MSP a los clientes y ofrecer ZTNA como un servicio gestionado que cumple con los requisitos de cumplimiento normativo y reduce el volumen de consultas al servicio de asistencia técnica relacionadas con las VPN.
