VPN split tunneling - Beneficios y compromisos de seguridad
Lectura de 2 min aprox.
El tunneling dividido de VPN es una configuración en la que, en lugar de enrutar todo el tráfico a través de la VPN al conectarse, solo el tráfico específico pasa por el túnel de la VPN, mientras que el resto se conecta directamente a internet. Con la expansión del trabajo remoto, muchas empresas lo han adoptado para optimizar el ancho de banda y mejorar la experiencia del usuario. A fecha de 2025, con la expansión de SASE (Secure Access Service Edge), están consolidándose como tendencia principal nuevas arquitecturas que integran el tunneling dividido con la seguridad en la nube.
Caso de uso real
«Tras migrar al trabajo remoto, el ancho de banda del servidor VPN se congestionó y la calidad de las videoconferencias bajó notablemente. Cuando sacamos el tráfico de Microsoft 365 y Zoom fuera de la VPN mediante el tunneling dividido, el uso del ancho de banda de la VPN se redujo un 60% y la eficiencia del trabajo mejoró drásticamente.»
Diagrama conceptual del tunneling dividido
Comparación con el tunneling completo
El tunneling completo (enrutar todo el tráfico a través de la VPN) ofrece una alta seguridad porque todo el tráfico puede ser inspeccionado por los dispositivos de seguridad de la empresa, pero la carga se concentra en el servidor VPN, lo que puede degradar la calidad de las videoconferencias como Zoom y Teams. Con el tunneling dividido, solo el acceso a los sistemas internos pasa por la VPN, mientras que el SaaS y la navegación por internet se conectan directamente, por lo que en algunos casos el ancho de banda puede reducirse entre un 50 y un 70%.libros de introducción al diseño de VPN (Amazon) permiten aprenderlo de forma sistemática.
Riesgos de seguridad y contramedidas
El mayor riesgo del tunneling dividido es que el tráfico que no pasa por la VPN queda fuera de la supervisión de seguridad de la empresa. Un dispositivo infectado con malware podría comunicarse con un servidor C2 a través de una ruta externa a la VPN. Como contramedidas resultan eficaces reforzar la seguridad de los endpoints, proteger las consultas DNS con DNS over HTTPS y obtener visibilidad del uso de SaaS mediante un CASB (Cloud Access Security Broker). Protege la cuenta de conexión VPN con una contraseña aleatoria y robusta, y asegura el entorno de trabajo remoto.libros sobre seguridad de redes (Amazon) también son una referencia útil.
¿Te resultó útil este artículo?