Una empresa con dos sucursales en La Paz y Santa Cruz que necesita que ambas compartan el mismo servidor de archivos. Un equipo de planta que entra al ERP desde el piso industrial, mientras el área administrativa lo usa desde otra ciudad. Un contador que abre el sistema de facturación desde su casa, con la misma conexión que su familia usa para ver Netflix. En los tres casos el problema técnico es el mismo: hay datos y servicios internos que viven dentro de la red de la empresa, y hay personas que necesitan llegar a ellos desde fuera de esa red, por una internet pública que nadie controla. La VPN empresarial es, exactamente, la pieza que une esos dos mundos de forma cifrada.
Soy David Morales Vega, fundador de Bemorex. Tengo formación en ingeniería de sistemas y en derecho, y desde Oruro hemos desplegado redes y VPN para empresas bolivianas que operan en más de una sede y con enlaces de Entel, Tigo y Cotas. Esta guía no va sobre "VPN para ver catálogos de otro país": va sobre la VPN como infraestructura de negocio. Vamos a separar con claridad sus dos grandes usos —acceso remoto (cada persona se conecta a la red de la empresa) y sitio a sitio (dos o más oficinas unidas como una sola red)—, a comparar los protocolos que de verdad se usan hoy (WireGuard e IPsec), y a contar qué elegimos en un despliegue real y por qué. Si lo que buscas es el panorama amplio de amenazas del teletrabajo, lo cubrimos en la guía de ciberseguridad para equipos remotos; aquí nos quedamos en la capa de red.
Qué resuelve una VPN empresarial (y qué no)
Una VPN (Virtual Private Network, o Red Privada Virtual) crea un túnel cifrado entre dos puntos a través de internet. Lo que viaja dentro de ese túnel queda ilegible para cualquiera que esté en medio: el operador, otro dispositivo en la misma WiFi o quien controle un nodo de la red. La idea es vieja, pero su utilidad para una empresa es muy concreta: extender la red interna —servidores, bases de datos, sistemas on-premise— a personas y oficinas que están físicamente fuera de ella, sin exponer esos recursos directamente a internet.
Conviene separar la VPN empresarial de la VPN de consumo. La VPN comercial que se anuncia para "privacidad" o para cambiar de país lleva tu tráfico a los servidores del proveedor y de ahí a internet; resuelve un problema personal. La VPN empresarial hace lo contrario: lleva tu tráfico hacia los recursos de tu propia empresa. No es una herramienta para esconderse, es infraestructura de red. Esa diferencia define todo lo demás: la arquitectura, los protocolos y quién administra el servidor.
Para una empresa, una VPN bien planteada cumple tres funciones. Primero, da acceso a recursos internos que no deberían estar publicados en internet: el ERP on-premise, un servidor de archivos, una base de datos, las cámaras de la planta. Segundo, cifra el transporte de ese acceso aunque la red de origen sea hostil (la WiFi de casa, un hotel, el enlace de una sucursal). Tercero, da una identidad de red estable: el tráfico autorizado llega siempre desde direcciones conocidas, lo que permite cerrar el resto con firewall. Lo que una VPN no hace es proteger el dispositivo en sí, ni reemplazar el MFA, ni cifrar lo que ya viaja por HTTPS hacia un servicio en la nube. Para el panorama completo de amenazas del puesto remoto —phishing, robo de credenciales, endpoints sin gestionar— está la guía de ciberseguridad para equipos remotos; y si quieres el marco general de protección de una PyME, la guía completa de ciberseguridad para PyMEs.
La pregunta correcta no es "¿necesito una VPN?", sino "¿tengo recursos dentro de mi red a los que alguien debe llegar desde fuera?". Si la respuesta es sí, la VPN es la forma estándar de hacerlo sin abrir esos recursos al mundo entero.
En Bolivia esto importa de forma muy práctica. Muchas empresas siguen teniendo servidores y sistemas dentro de la oficina, y los enlaces de los operadores locales (Entel, Tigo, Cotas) suelen entregar direcciones IP dinámicas y, con frecuencia, NAT del operador (CGNAT), lo que impide "publicar" un servicio de forma directa y segura. La VPN resuelve ese escenario sin depender de abrir puertos hacia internet, que es justamente lo que un atacante busca. La capa física de esa red interna —el cableado, el WiFi, los switches— la tratamos aparte en la guía de redes empresariales.
Acceso remoto vs sitio a sitio: las dos arquitecturas que importan
El error más común al hablar de "VPN empresarial" es meter todo en el mismo saco. En realidad hay dos arquitecturas distintas, que resuelven problemas distintos, y la mayoría de las empresas terminan usando ambas. Entenderlas es el 80% de la decisión.
VPN de acceso remoto (Remote Access)
Conecta a una persona con la red de la empresa. Cada usuario instala un cliente VPN en su laptop o teléfono y, al conectarse, su dispositivo se comporta como si estuviera enchufado dentro de la oficina: puede llegar al servidor de archivos, al ERP interno o a la base de datos. Es el caso del contador que trabaja desde casa o del vendedor en ruta. Su ventaja es la flexibilidad —cada quien se conecta cuando lo necesita— y su punto débil es que depende de que cada equipo tenga el cliente bien configurado y el usuario sepa usarlo.
Una variante moderna del acceso remoto es la red en malla (mesh), donde no hay un único servidor central: cada dispositivo autorizado puede hablar directamente con los demás. Herramientas como Tailscale o Netbird funcionan así sobre WireGuard, y simplifican mucho el escenario "tengo gente y máquinas repartidas en varios lugares y quiero que se vean entre sí".
VPN de sitio a sitio (Site-to-Site)
Conecta redes enteras, no personas. Dos o más oficinas quedan unidas de forma permanente a través de internet, como si fueran una sola red local. El contador de la sucursal de El Alto abre el sistema de la casa matriz en La Paz sin instalar ni activar nada: el túnel ya está levantado entre los routers o firewalls de cada sede, y para el usuario es transparente. Es la arquitectura de la empresa multi-sede, y también la forma natural de conectar tu oficina con un servidor que tengas en la nube (un VPS, un servidor en un datacenter) como si fuera una extensión de tu red.
El sitio a sitio se monta en el equipo de borde de cada oficina —Mikrotik, pfSense/OPNsense, FortiGate, o un router Linux— y es más exigente de planificar: hay que pensar en el direccionamiento (que las redes de cada sede no choquen), en qué hacer cuando el operador entrega IP dinámica y en el ancho de banda del enlace, porque todo el tráfico entre sedes pasa por ahí. A cambio, una vez estable, casi no requiere mantenimiento del lado del usuario.
Cómo elegir entre las dos
- Personas que entran desde fuera (casa, viajes, sucursales pequeñas sin servidor propio) → acceso remoto, un cliente por dispositivo. Si son muchas máquinas y quieres que se vean entre sí sin servidor central, una malla tipo WireGuard/Tailscale.
- Oficinas completas que deben comportarse como una sola red (multi-sede, casa matriz + sucursales, planta + administración) → sitio a sitio en los routers/firewalls de borde.
- Conectar tu red local con un servidor en la nube (VPS, datacenter) → un túnel sitio a sitio entre tu firewall y ese servidor.
- Lo más habitual: una combinación. Sitio a sitio entre sedes fijas, más acceso remoto para quienes trabajan desde fuera. Las dos pueden convivir sobre el mismo protocolo.
Protocolos y herramientas: WireGuard, IPsec y el resto
La arquitectura define el "qué"; el protocolo define el "cómo se cifra y se transporta". Para un escenario empresarial real, la decisión se reduce casi siempre a dos familias: WireGuard (lo nuevo) e IPsec (lo establecido). OpenVPN sigue muy presente, sobre todo para acceso remoto, y por encima de cualquiera de ellos existen plataformas gestionadas que esconden la complejidad.
WireGuard
WireGuard es el protocolo de túnel moderno y la opción por defecto en la mayoría de despliegues nuevos. Su mayor virtud es la simplicidad: su código base ronda las 4.000 líneas, frente a las decenas de miles de OpenVPN, lo que reduce la superficie de ataque y hace el protocolo auditable casi por una sola persona (comparativas técnicas como las de Palo Alto Networks y Surfshark coinciden en esta diferencia de tamaño). Está integrado en el kernel de Linux desde la versión 5.6 (marzo de 2020), y tiene clientes oficiales para Windows, macOS, iOS y Android.
En rendimiento, los estudios independientes le dan ventaja clara: un análisis empírico publicado en la revista Computers (MDPI, 2025) y benchmarks de proveedores de infraestructura como Contabo muestran que WireGuard suele entregar entre 2 y 4 veces más throughput que OpenVPN sobre el mismo hardware, con menor latencia y menor uso de CPU. No es un número de marketing: viene de mover datos por el túnel y medir. Su contrapartida es que el modelo base de WireGuard es minimalista —no trae por sí mismo gestión de usuarios ni rotación de claves—, por lo que para una empresa se complementa con una capa de administración o con una plataforma construida encima.
IPsec (IKEv2)
IPsec es el estándar clásico del sitio a sitio empresarial. Es el protocolo que entienden de fábrica prácticamente todos los firewalls y routers corporativos (FortiGate, Mikrotik, Cisco, pfSense/OPNsense), lo que lo vuelve la opción natural cuando ya tienes ese equipamiento y solo quieres unir dos sedes. Es maduro, interoperable y robusto; su precio es más complejidad de configuración y de diagnóstico que WireGuard. Para muchas empresas la decisión real entre sedes es "IPsec porque mi firewall ya lo trae" frente a "WireGuard porque quiero algo más simple y rápido".
OpenVPN
OpenVPN es el veterano de código abierto, con más de dos décadas de uso y auditorías de seguridad. La versión Community es gratuita; OpenVPN Access Server añade una interfaz web de administración y gestión de usuarios, con un nivel gratuito limitado a 2 conexiones simultáneas y planes de pago para más usuarios (precios y límites según la web oficial de OpenVPN, que conviene revisar porque cambian). Sigue siendo una opción sólida para acceso remoto cuando se valora la madurez y la compatibilidad por encima de la velocidad.
Plataformas gestionadas (sobre WireGuard o propietarias)
Si no tienes un técnico de red dedicado, hay capas que montan la VPN por ti. Tailscale, construida sobre WireGuard, crea una malla donde cada dispositivo se autentica con tu cuenta corporativa (Google, Microsoft, GitHub) y se ve con los demás sin servidor central; su plan Personal es gratuito y, tras el cambio de precios anunciado en abril de 2026, admite hasta 6 usuarios con dispositivos ilimitados (los planes de equipo se cobran por usuario; conviene confirmar los límites en su web). Cloudflare Zero Trust (con el cliente WARP) ofrece un plan gratuito de hasta 50 usuarios que combina acceso a recursos internos con filtrado y políticas por aplicación, en lugar de dar acceso a toda la red de golpe. Y existen suites comerciales orientadas a empresas sin equipo técnico, que cobran por usuario al mes a cambio de soporte e integración. En todos estos casos los precios y cupos cambian seguido: trátalos como referencia y verifica en la fuente antes de decidir.
Resumen de opciones
- WireGuard: moderno, muy rápido, código pequeño y auditable. Requiere algo de administración propia o una capa encima. La base recomendada para despliegues nuevos.
- IPsec (IKEv2): el estándar del sitio a sitio; soportado por casi todos los firewalls/routers. Ideal cuando ya tienes ese equipamiento.
- OpenVPN: maduro y compatible, bueno para acceso remoto; más lento que WireGuard según benchmarks independientes.
- Tailscale (sobre WireGuard): la malla más simple de poner en marcha; plan gratuito generoso para equipos pequeños.
- Cloudflare Zero Trust / WARP: acceso por aplicación más que por red completa, con plan gratuito; buen puente hacia un modelo Zero Trust.
Si empiezas hoy desde cero, WireGuard es casi siempre la respuesta para acceso remoto, y la elección entre WireGuard e IPsec para sitio a sitio depende sobre todo del equipamiento que ya tengas. Lo importante no es el logo, sino que el protocolo encaje con tu hardware y con quién va a mantenerlo.
Cuándo NO necesitas una VPN (y cuándo Zero Trust es mejor)
Puede sonar contradictorio en un artículo sobre VPN empresarial, pero hay que ser honestos: no toda empresa necesita una VPN tradicional, y en algunos escenarios montar una agrega complejidad sin sumar seguridad real. La regla de la primera sección sirve aquí: si no tienes recursos dentro de tu red a los que alguien deba llegar desde fuera, probablemente no necesitas una VPN.
Si ya operas 100% en la nube
Si tu empresa trabaja solo con herramientas en la nube (Google Workspace para correo y documentos, un CRM SaaS, facturación en línea, mensajería como Slack), no hay "red interna" a la cual conectarse. Esos servicios ya cifran su tráfico con HTTPS/TLS entre el navegador y sus servidores. Una VPN ahí añade un cifrado sobre otro cifrado: puede frenar la conexión sin aportar protección significativa.
En ese caso lo que necesitas no es un túnel sino un enfoque de Zero Trust: verificar la identidad del usuario con MFA, exigir que el dispositivo cumpla mínimos de seguridad y controlar el acceso aplicación por aplicación. Cloudflare Zero Trust, Google BeyondCorp o Microsoft Entra implementan ese modelo sin VPN clásica.
Zero Trust vs VPN: la diferencia de fondo
El modelo Zero Trust ("nunca confíes, siempre verifica") está reemplazando poco a poco a la VPN tradicional en organizaciones grandes. En la VPN clásica, una vez que el usuario se conecta tiene acceso a toda la red interna; si un atacante roba esas credenciales, entra a todo. En Zero Trust cada recurso pide autenticación por separado y se otorga el mínimo privilegio necesario. No son excluyentes: para una PyME con recursos locales, una VPN moderna con MFA y reglas de firewall por recurso ya recoge buena parte del espíritu Zero Trust sin rehacer toda la infraestructura.
Cuándo sí y cuándo no
- SÍ: tienes servidores en la oficina —ERP on-premise, servidor de archivos, base de datos local, cámaras— a los que se debe llegar desde fuera.
- SÍ: tienes dos o más sedes que necesitan compartir recursos de red de forma permanente (sitio a sitio).
- SÍ: tienes un servidor en la nube (VPS, datacenter) que quieres tratar como extensión privada de tu oficina.
- NO (pero sí Zero Trust): todos tus sistemas están en la nube y no hay nada local que alcanzar remotamente.
- NO: solo hay una o dos personas remotas ocasionales que únicamente usan correo y documentos en la nube.
- AMBOS: si mezclas recursos locales y en la nube —lo más común—, una VPN sobre WireGuard con MFA combinada con buenas prácticas de Zero Trust suele ser el mejor balance.
Configuración y mejores prácticas
Independientemente de la solución que elijas, hay principios de configuración y mejores prácticas que maximizan la seguridad y el rendimiento de tu VPN empresarial.
Split tunneling: el balance inteligente
El split tunneling es una configuración que determina qué tráfico pasa por la VPN y qué tráfico va directo a internet. En modo "full tunnel", absolutamente todo el tráfico del empleado pasa por la VPN: navegar por internet, ver videos, descargar archivos y acceder a recursos corporativos. Esto ofrece máxima seguridad pero impacta el rendimiento (todo el tráfico viaja hasta el servidor VPN y vuelve) y satura el ancho de banda del servidor.
En modo "split tunnel", solo el tráfico dirigido a recursos corporativos pasa por la VPN. El resto del tráfico (Netflix, YouTube, navegación general) va directo a internet sin pasar por el túnel. Esto mejora significativamente el rendimiento y reduce la carga del servidor VPN. La configuración recomendada para la mayoría de las PyMEs es split tunnel con excepción DNS: el tráfico a recursos internos pasa por la VPN, el DNS también pasa por la VPN (para prevenir DNS spoofing), y el resto va directo.
Impacto en el rendimiento
Toda VPN agrega algo de latencia y reduce un poco la velocidad, porque el tráfico se cifra, viaja al otro extremo del túnel y se descifra antes de llegar a destino. La magnitud depende del protocolo, del hardware y, en Bolivia muy especialmente, de la calidad del enlace de cada punta. WireGuard es el que menos penaliza —de ahí su ventaja en los benchmarks que vimos antes—, mientras que OpenVPN suele costar más rendimiento. Para tareas de oficina (correo, documentos, ERP, videollamadas) el impacto es prácticamente imperceptible; se nota sobre todo al mover archivos muy grandes o cuando el enlace de una sede es débil. En lugar de fiarte de un porcentaje general, lo correcto es medir tu propio caso antes y después de levantar el túnel.
Checklist de implementación de VPN para PyMEs
- Elegir la solución: para equipos de hasta 50 usuarios sin personal técnico dedicado, Tailscale (gratuito) o Cloudflare WARP for Teams (gratuito) son las opciones más accesibles. Para equipos con personal técnico, WireGuard ofrece máximo control y rendimiento.
- Habilitar MFA: la VPN es tan segura como las credenciales que la protegen. Exige autenticación multifactor para todas las conexiones VPN. Sin excepción.
- Configurar split tunneling: enrutar solo el tráfico corporativo por la VPN para optimizar rendimiento. Incluir DNS en el túnel para prevenir spoofing.
- Establecer políticas de conexión: definir si la VPN debe estar siempre activa cuando el empleado trabaja remotamente, o solo al acceder a recursos específicos. Recomendación: siempre activa si el empleado maneja datos sensibles.
- Monitorear conexiones: revisar periódicamente qué usuarios se conectan, desde dónde, y con qué frecuencia. Detectar anomalías como conexiones desde ubicaciones inusuales o en horarios atípicos.
- Mantener el software actualizado: los clientes VPN, al igual que cualquier software, reciben parches de seguridad. Asegurar que todos los empleados tengan la versión más reciente.
- Documentar el proceso: crear una guía paso a paso para que los empleados puedan instalar, configurar y usar la VPN sin necesidad de soporte técnico para cada caso.
- Plan de contingencia: definir qué hacer si la VPN no funciona. Los empleados deben saber qué tareas pueden realizar sin VPN (trabajo en herramientas cloud) y cuáles deben esperar hasta que la conexión se restablezca (acceso a servidores locales).
La VPN no es una solución mágica. Es una capa de red que, combinada con MFA, reglas de firewall por recurso y un equipo que sabe usarla, deja de exponer tus sistemas internos a internet sin cerrarle el paso a quien sí debe entrar.
Un despliegue real: acceso multi-sede a un ERP industrial
Para que esto no quede en teoría, un caso de nuestro trabajo. Zyrax es el ERP que construimos para Empresa Metalúrgica Vinto, la fundidora estatal de estaño en Oruro. Es justamente el tipo de escenario donde la VPN deja de ser opcional: una operación con datos sensibles, equipos que entran al sistema desde el piso industrial y áreas que lo usan desde puntos distintos, todo sobre infraestructura que no puede quedar publicada en la internet abierta. Llevar un sistema así "a la red de quien lo necesita" sin exponerlo es, precisamente, el problema que resuelve una VPN empresarial bien planteada.
En despliegues de red para empresas bolivianas multi-sede solemos inclinarnos por WireGuard, y la razón es práctica, no de moda: con enlaces de operadores locales que entregan IP dinámica y a veces CGNAT, su modelo es más simple de levantar y de diagnosticar que un IPsec clásico, reconecta rápido cuando el enlace se cae —algo que en Bolivia pasa— y su bajo consumo permite correrlo incluso en hardware modesto en cada sede. Cuando el cliente ya tiene un firewall que solo habla IPsec, usamos IPsec entre sedes y reservamos WireGuard para el acceso remoto de las personas. La regla que aplicamos en cada proyecto es la misma: nada de recursos internos publicados en internet, MFA siempre, y acceso por VPN segmentado a lo que cada rol realmente necesita. Esa parte de planificación de red —direccionamiento, equipos de borde, enlaces— forma parte de nuestro servicio de redes empresariales.
En el terreno, la VPN que sirve no es la "mejor en el papel", sino la que se mantiene en pie cuando el enlace de Entel parpadea un martes a las tres de la tarde y la sucursal igual necesita entrar al sistema. Por eso priorizamos protocolos que reconectan solos y configuraciones que cualquiera del equipo pueda diagnosticar.
Implementar una VPN empresarial en 2026 ya no exige hardware costoso ni un departamento de TI completo, pero sí exige planificarla bien: elegir entre acceso remoto y sitio a sitio según el problema real, escoger el protocolo que encaje con tu equipamiento y tus enlaces, y acompañarla de MFA y reglas de mínimo privilegio. La pregunta no es si tu empresa puede permitirse una VPN, sino si puede permitirse seguir teniendo servidores internos al alcance de internet o sedes que se comunican por medios inseguros. Si tienes recursos dentro de tu red y gente o sucursales que deben llegar a ellos desde fuera, el momento de ordenar esa capa es ahora. Y si quieres que la planifiquemos contigo —desde el direccionamiento hasta el último cliente—, conversemos.
