← Blog Ciberseguridad

Cómo configurar una VPN en Windows para empresas: guía completa

Cómo configurar una VPN en Windows para empresas: guía completa

El 58 % de los empleados españoles trabaja en remoto al menos un día a la semana (INE, Encuesta de Población Activa, 2024), y el acceso remoto sin VPN es una de las tres principales puertas de entrada para ciberataques a PYMEs, según INCIBE (2024). Una VPN empresarial no es solo “privacidad”: es el túnel cifrado que conecta a los trabajadores remotos con los recursos internos de la empresa de forma segura. En IBERSYA desplegamos soluciones VPN basadas en Fortinet SSL-VPN para nuestros clientes, garantizando que el teletrabajo no comprometa la seguridad corporativa.

Por qué las empresas necesitan VPN (y no solo por privacidad)

La mayoría de guías sobre VPN se centran en ocultar la IP o acceder a contenido geo-restringido. En el ámbito empresarial, la VPN resuelve problemas mucho más críticos:

Acceso seguro a recursos internos

Los servidores de archivos, el ERP, las bases de datos y las aplicaciones internas no deben exponerse directamente a internet. La VPN crea un túnel cifrado que permite al empleado remoto acceder a estos recursos como si estuviera en la oficina, sin abrir puertos peligrosos en el firewall.

Cumplimiento normativo

El RGPD exige que el acceso a datos personales se realice mediante canales cifrados. Si un empleado accede a una base de datos de clientes desde su casa sin VPN, la empresa puede estar incumpliendo el artículo 32 del RGPD. La AEPD ha incluido el uso de VPN como medida recomendada en sus guías para responsables de tratamiento (AEPD, Guía de protección de datos en las relaciones laborales, 2023).

Protección en redes públicas

Los empleados que trabajan desde cafeterías, aeropuertos o espacios de coworking se conectan a redes WiFi potencialmente inseguras. Sin VPN, un atacante en la misma red puede interceptar credenciales, correos y documentos mediante técnicas de man-in-the-middle. Según el informe de Verizon DBIR (2024), el 20 % de las brechas de datos involucra credenciales robadas, y las redes públicas son un vector habitual.

Segmentación del acceso

Una VPN empresarial bien configurada no da acceso a toda la red: permite definir qué recursos puede alcanzar cada usuario o grupo. Un comercial accede al CRM pero no a los servidores de contabilidad. Un técnico accede a los servidores pero no a los datos de RRHH. Esta segmentación es la base del modelo Zero Trust.

Tipos de VPN para empresas

SSL-VPN (basada en navegador o cliente ligero)

El empleado se conecta a través de un portal web o un cliente ligero (FortiClient, GlobalProtect). Funciona a través del puerto 443 (HTTPS), por lo que raramente es bloqueada por firewalls o proxies. Es la opción más utilizada en PYMEs por su facilidad de despliegue.

Ventajas: no requiere configuración de red compleja, funciona en la mayoría de redes y es fácil de desplegar en equipos no corporativos.

IPsec VPN (site-to-site o client-to-site)

Cifra todo el tráfico a nivel de red. Se usa principalmente para conectar oficinas entre sí (site-to-site) o para empleados con necesidades de alto rendimiento (client-to-site con IKEv2).

Ventajas: mayor rendimiento que SSL-VPN, cifrado más robusto a nivel de red completa.

VPN integrada en Windows (L2TP/IPsec, IKEv2, SSTP)

Windows incluye un cliente VPN nativo que soporta varios protocolos. Es útil para escenarios simples, pero carece de las funcionalidades de gestión y seguridad de las soluciones empresariales.

Configurar Fortinet SSL-VPN para acceso remoto empresarial

Fortinet es la solución que en IBERSYA implementamos para la mayoría de nuestros clientes empresariales. El proceso para configurar SSL-VPN con FortiGate es:

1. Preparar el FortiGate

En el firewall FortiGate, accede a VPN > SSL-VPN Settings y configura:

  • Listen on Interface: la interfaz WAN del firewall.
  • Listen on Port: 443 (o un puerto personalizado si el 443 ya está en uso).
  • Server Certificate: un certificado SSL válido (Let’s Encrypt o certificado comercial). Nunca uses el certificado autofirmado por defecto en producción.
  • Authentication: vincula a tu Active Directory o servidor LDAP para que los empleados usen sus credenciales corporativas.

2. Crear los portales SSL-VPN

Define portales diferentes según el perfil del usuario:

  • Portal completo (tunnel mode): el usuario recibe una IP del rango interno y puede acceder a todos los recursos autorizados. Para empleados a tiempo completo.
  • Portal web (web mode): acceso a aplicaciones específicas mediante el navegador, sin túnel completo. Para colaboradores externos o accesos puntuales.

3. Configurar las políticas de firewall

Crea políticas que definan qué tráfico se permite desde la interfaz SSL-VPN hacia la red interna:

  • Grupo Comercial: acceso solo a la subred del CRM y correo (puertos 443, 993, 587).
  • Grupo IT: acceso a servidores de gestión (RDP 3389, SSH 22, SNMP 161).
  • Grupo Dirección: acceso completo a la red interna.

4. Desplegar FortiClient en los equipos

FortiClient es el cliente VPN de Fortinet, disponible para Windows, macOS, Linux, iOS y Android. Para despliegue empresarial:

  • Usa FortiClient EMS (Endpoint Management Server) para distribuir la configuración automáticamente a todos los equipos.
  • Predefine el servidor VPN, el puerto y los certificados para que el usuario solo tenga que introducir usuario y contraseña.
  • Activa la verificación de cumplimiento: FortiClient puede comprobar que el equipo tiene antivirus actualizado, Windows al día y firewall activo antes de permitir la conexión VPN.

5. Activar autenticación multifactor (MFA)

Una VPN con solo usuario y contraseña no es suficiente. Activa MFA para que cada conexión requiera un segundo factor:

  • FortiToken (token OTP de Fortinet): hardware o aplicación móvil.
  • Microsoft Authenticator: si ya usas Azure AD.
  • SMS o email: como alternativa, aunque menos seguro que los tokens.

Según Microsoft (Digital Defense Report, 2024), el MFA bloquea el 99,9 % de los ataques de fuerza bruta y credential stuffing contra cuentas corporativas.

Configurar la VPN nativa de Windows (alternativa básica)

Si no dispones de un firewall dedicado, Windows incluye un cliente VPN nativo que puede conectar con servidores IKEv2, L2TP/IPsec o SSTP:

  1. Abre Configuración > Red e Internet > VPN.
  2. Pulsa Agregar una conexión VPN.
  3. Selecciona Windows (integrado) como proveedor.
  4. Introduce el nombre de conexión, la dirección del servidor y el tipo de VPN (IKEv2 es el recomendado).
  5. En Tipo de información de inicio de sesión, selecciona “Nombre de usuario y contraseña” o “Certificado”.
  6. Guarda y pulsa Conectar.

Para despliegue masivo, usa un perfil VPN por Intune o un script PowerShell por GPO:

Add-VpnConnection -Name "VPN Empresa" -ServerAddress "vpn.tuempresa.es" -TunnelType IKEv2 -AuthenticationMethod EAP -EncryptionLevel Required -RememberCredential

Enfoque Zero Trust: la VPN no es suficiente por sí sola

El modelo Zero Trust (confianza cero) parte del principio de que ningún usuario ni dispositivo es de confianza por defecto, aunque esté dentro de la red o conectado por VPN. Según Gartner (2024), el 60 % de las empresas habrá adoptado Zero Trust como punto de partida de seguridad para 2026.

En la práctica, Zero Trust complementa la VPN con:

  • Verificación continua de identidad: no basta con autenticarse al inicio de la sesión VPN. Se revalida la identidad periódicamente y ante accesos a recursos sensibles.
  • Microsegmentación: cada aplicación tiene sus propias políticas de acceso, independientemente de la red.
  • Verificación del estado del dispositivo: antes de conceder acceso, se comprueba que el equipo cumple los requisitos de seguridad (antivirus, parches, cifrado de disco).
  • Acceso por aplicación (ZTNA): en lugar de dar acceso a una red completa, se concede acceso solo a las aplicaciones específicas que el usuario necesita. Fortinet ofrece esta funcionalidad mediante FortiSASE y ZTNA tags en FortiGate.

En IBERSYA ayudamos a nuestros clientes a evolucionar desde una VPN tradicional hacia un modelo Zero Trust gradual, combinando FortiGate, FortiClient EMS y políticas de acceso condicional de Azure AD.

Problemas frecuentes y solución

  • La VPN no conecta desde una red pública (hotel, aeropuerto): muchas redes públicas bloquean puertos no estándar. Solución: configura SSL-VPN en el puerto 443, que raramente está bloqueado.
  • La conexión VPN es muy lenta: puede deberse a la distancia al servidor, sobrecarga del firewall o un ancho de banda insuficiente. Solución: activa la split tunnel para que solo el tráfico dirigido a la red corporativa pase por la VPN, liberando el tráfico de internet general.
  • Se desconecta frecuentemente: verifica la configuración de keepalive en el servidor VPN y la estabilidad de la conexión a internet del usuario. Configura reconexión automática en FortiClient.
  • El usuario no puede acceder a un recurso interno tras conectar la VPN: revisa las políticas de firewall del FortiGate. La VPN está conectada, pero la política puede no incluir la subred o el puerto necesario.
  • Conflicto con otra VPN: algunos usuarios tienen VPN personales (NordVPN, etc.) que interfieren con la VPN corporativa. Solución: configurar FortiClient para desactivar otras VPN al conectar, o aplicar una política que lo exija.

Checklist de seguridad para VPN empresarial

  1. Protocolo cifrado: SSL-VPN (TLS 1.3) o IPsec (IKEv2).
  2. Autenticación multifactor obligatoria para todos los usuarios.
  3. Certificado SSL válido (no autofirmado) en el servidor VPN.
  4. Políticas de acceso segmentadas por grupo de usuario.
  5. Verificación de cumplimiento del endpoint (antivirus, parches, cifrado).
  6. Logs de conexión centralizados y revisados periódicamente.
  7. Sesiones con tiempo de inactividad máximo (recomendado: 30 minutos).
  8. Plan de contingencia si el servidor VPN falla (redundancia o failover).

Preguntas frecuentes

¿Es legal monitorizar el tráfico VPN de los empleados? Sí, siempre que la empresa informe previamente a los empleados de que el tráfico a través de la VPN corporativa puede ser monitorizado. Debe constar en la política de uso aceptable y, si aplica, en el convenio con la representación de los trabajadores (artículo 87 LOPDGDD).

¿Cuánto cuesta implementar una VPN empresarial con Fortinet? Un FortiGate de entrada (modelo 40F o 60F) adecuado para PYMEs de hasta 30 usuarios cuesta entre 400 y 800 EUR con licencia básica. FortiClient VPN es gratuito para uso básico. La implementación profesional por parte de IBERSYA incluye configuración, despliegue y formación.

¿Puedo usar la VPN nativa de Windows en lugar de Fortinet? Técnicamente sí, pero pierdes funcionalidades clave: verificación de endpoint, portal web, gestión centralizada, integración con IDS/IPS y logs detallados. La VPN nativa es aceptable para escenarios muy simples (menos de 5 usuarios, sin datos sensibles).

¿La VPN sustituye al firewall? No. La VPN cifra el tráfico entre el usuario y la red; el firewall controla qué tráfico se permite. Son complementarios. Un firewall sin VPN deja el acceso remoto desprotegido; una VPN sin firewall no filtra el tráfico una vez dentro de la red.

Ver servicio relacionado →

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.