El mes de marzo ha sido un borrón absoluto. Todavía estoy procesando lo que acaba de pasar. Con medio planeta confinado en sus casas por el COVID-19, los departamentos de IT se enfrentan al mayor reto logístico de la historia: enviar a toda la plantilla de la oficina a teletrabajar de un viernes para un lunes.

Hemos vaciado los inventarios de portátiles de todos los proveedores y nos hemos peleado con las licencias de software, pero el verdadero drama técnico ha ocurrido en el corazón de la red corporativa: los concentradores VPN.

El cuello de botella del modelo Hub and Spoke

Históricamente, la seguridad de las empresas se ha diseñado como un castillo medieval. Confías en todo lo que está dentro de la muralla (la intranet de la oficina) y bloqueas todo lo de fuera. Para que un empleado desde su casa pudiera acceder a un servidor de archivos, usábamos una VPN (Virtual Private Network) que creaba un túnel seguro a través del muro.

Este modelo (conocido como Hub and Spoke) asume que solo un 10% de la plantilla está de viaje simultáneamente. Cuando el 100% de la empresa conectó sus clientes VPN el lunes 16 de marzo a las 9:00 AM, las cajas de firewall físicas literalmente se ahogaron.

El mayor error de diseño es el enrutamiento forzado. Las VPNs estaban configuradas para que todo el tráfico del portátil del usuario pasara por los servidores centrales de la empresa. Así, cuando un empleado en su casa se metía a una videollamada de Microsoft Teams o descargaba un PDF de un SaaS externo, ese tráfico inmenso viajaba hasta la oficina, saturaba el ancho de banda del firewall corporativo y volvía a salir a internet. Estábamos estrangulando nuestra propia red.

# Ejemplo del parche rápido de configuración (Split Tunneling)
# Le decimos al cliente VPN que solo envíe por el túnel corporativo
# el tráfico que va a nuestra subred interna (10.0.0.0/8)
# y que el resto de internet salga directo por el router de su casa.

route add 10.0.0.0 mask 255.0.0.0 192.168.100.1
# Todo lo demás (Teams, Netflix, YouTube) evita el firewall corporativo

Implementar el Split Tunneling de urgencia salvó nuestros servidores de derretirse, pero ha abierto un agujero de seguridad que nos costará meses auditar.

Reflexión: La muerte del perímetro

La pandemia ha comprimido diez años de transformación digital en diez días. Al igual que hace años nos dimos cuenta de que el servidor físico estaba muerto frente a la nube, hoy ha muerto la oficina física como perímetro de seguridad.

Si tus aplicaciones están en AWS y tus empleados en el salón de su casa, pasar por un aparato en una oficina vacía no tiene sentido técnico. El futuro inminente es el modelo Zero Trust (inspirado en BeyondCorp de Google). Confiar cero en la red desde la que te conectas y basar el acceso puramente en la identidad criptográfica del usuario y la salud de su dispositivo. El castillo medieval ha caído; ahora cada empleado es su propia fortaleza.