Imaginemos un escenario así, superrápido, donde el candado electrónico de la puerta de una oficina decide por sí solo y en fracción de segundo no dejar entrar al gerente general.
¡Órale! Y no porque el gerente haya olvidado su clave. O sea, no es eso, sino porque el candado detectó que el celular que trae en el bolsillo no tiene la última actualización de seguridad y podría poner en riesgo toda la red del edificio.
Y creo que lo más interesante de un escenario así, viéndolo desde el lado técnico, es que ese candado no necesitó que un ingeniero en sistemas viajara hasta la oficina para programarlo, ¿sabes? Exacto.
Recibió la orden de bloquear el acceso directamente desde la nube, de forma completamente autónoma y evaluando el riesgo en tiempo real.
Pues bienvenidos a este análisis a fondo. Y bueno, nuestra misión de hoy para los que nos escuchan es desglosar cómo esta ciberseguridad corporativa, esa que cuesta millones y requiere ejércitos de ingenieros, básicamente se encogió. Se rediseñó para caber literalmente en la mesa de la cocina de un trabajador remoto o en una sucursal chiquita. Exacto.
Y mira, si conectamos todas estas fuentes, el panorama que nos dibujan es superclaro. Los cibercriminales ahorita saben perfectamente que los comercios locales, los consultorios médicos o las firmas pequeñas manejan datos increíblemente valiosos: tarjetas de crédito, expedientes, propiedad intelectual, historias clínicas, todo.
Pero estos negocios, la realidad es que carecen de la infraestructura defensiva de un gran corporativo. El enemigo hoy en día ya no es solo el hacker en un sótano. Es la tremenda complejidad de gestionar la red.
Sí, la complejidad te mata. Y para entender la solución tecnológica que proponen estos documentos, primero tenemos que visualizar por qué las herramientas de hace 10 años ya no sirven. Claro.
Históricamente, pensar en seguridad de red era como construir un castillo, con su foso y todo. Levantabas un muro altísimo, ponías el puente levadizo y todo el tesoro estaba adentro, seguro. Y solo había una puerta supervigilada.
Ese modelo funcionaba perfecto cuando todos los empleados estaban físicamente sentados en ese mismo edificio. Exacto, todos conectados por cable al mismo servidor.
Sí, pero hoy ese puente levadizo ya no existe. Está obsoleto porque los muros del castillo literalmente desaparecieron.
Ahorita los tesoros de la empresa están repartidos en 100 aldeas diferentes. Tienes gente trabajando desde cafeterías, procesos en la nube y dispositivos conectados en las casas de los empleados.
Es un caos perimetral. Sí. O sea, ¿cómo proteges un entorno donde el perímetro se desintegró por completo, especialmente en el mercado que marcan las fuentes, que son empresas de 1 a 30 usuarios?
Pues mira, la respuesta de la industria no es intentar construir 100 castillos nuevos. Sería imposible. Operativamente, es incosteable.
Lo que plantea la documentación es un cambio radical: crear puntos de control hiperinteligentes, pero que se acerquen al usuario. Combinar inteligencia global de amenazas con visibilidad total.
Y aquí entra un factor supercrítico que mencionan los documentos, que es el tráfico que se oscurece.
“Tráfico que se oscurece”. Suena un poco a término de película de espías, ¿no?
Sí, un poco. Pero en la industria así le decimos al tráfico cifrado. Hoy en día, casi todo el tráfico legítimo de Internet ya viene encriptado por defecto.
Ah, claro, el candadito en el navegador.
Exactamente. Entonces, si una empresa pequeña no tiene el poder de procesamiento para desencriptar, inspeccionar el contenido y volver a encriptarlo en milisegundos, básicamente está trabajando a ciegas.
O sea, un atacante puede esconder malware destructivo dentro de un paquete cifrado y el módem normal de la compañía de internet simplemente lo deja pasar.
Sí, porque la etiqueta de afuera se ve inofensiva.
Y ahí es donde entra la cajita física de la que hablan las fuentes. El hardware que proponen como el nuevo guardián de este modelo es el firewall de próxima generación SonicWall TZ80, que físicamente lo describen del tamaño de un módem casero.
Sí, es chiquito. Es un equipo diseñado específicamente para oficinas pequeñas, espacios compactos o entornos con banda ancha rural, que es la realidad de muchos pequeños comercios.
Ok, pero espera, aquí me perdí un poco leyendo los números de la ficha técnica. Porque el documento dice que este equipo tiene un rendimiento de inspección de amenazas de 750 megabits por segundo.
Y aquí tengo una duda genuina. Ahorita las conexiones de fibra óptica de 1 gigabit, o sea 1,000 megabits, ya son supercomunes. Hasta en casas las tienes.
Exacto. Entonces, si mi red es de 1,000, pero la cajita topa en 750, ¿por qué invertiría en un aparato que me va a hacer el internet más lento? Siento que suena a cuello de botella.
Es la pregunta más lógica del mundo y toca una fibra muy sensible en la industria. Muchos fabricantes te imprimen en letras gigantes en la caja velocidades de 2 gigabits.
Puro marketing.
Totalmente, porque ese número es solo el enrutamiento básico. Es mover datos del punto A al punto B sin revisarlos para nada, como un servicio de mensajería que solo lee el código postal por afuera y avienta la caja al camión.
Tal cual. El desplome viene en el momento en que prendes la seguridad de verdad, específicamente la inspección profunda de paquetes.
Ok. Cuando la competencia activa esto, a menudo ves caídas de velocidad del 70 al 90 %. O sea, tu conexión de 1 gigabit de repente corre a 100 megabits y la red colapsa.
Uy, sí te paraliza la oficina.
Pero a ver, sigue sonando un poco abstracto. ¿Qué hace exactamente esta inspección profunda de paquetes para consumir tanto recurso?
Pues, volviendo a tu analogía de la mensajería, la inspección profunda no lee solo la etiqueta. Haz de cuenta que detiene el camión en movimiento, abre cada caja, saca el producto que viene adentro, digamos un juguete, lo desarma pieza por pieza para ver que no haya código malicioso escondido en el circuito, lo vuelve a ensamblar, lo mete a la caja, la sella y la entrega.
Wow.
Y el equipo tiene que hacer esta matemática con decenas de miles de paquetes por segundo sin que el usuario sienta lag.
Ah, ok, ya entiendo la bronca del rendimiento. O sea, hacer ese nivel de análisis en tiempo real requiere un procesador bestial.
Brutal. Y por eso el diferenciador del TZ80 es tan aplaudido en los manuales: mantener 750 megabits constantes, pero con la prevención de intrusiones, el antimalware y la inspección profunda encendidos al mismo tiempo, es un logro de miniaturización inmenso.
Claro. O sea, prefieres tener 750 megabits de tráfico 100 % limpio que 1,000 megabits libres por donde se te cuele un ransomware.
Exacto. Que te encripte los servidores y te arruine el mes.
Sí, tiene todo el sentido. Prefieres un internet seguro a uno rápido, pero letal.
Pero a ver, esto me lleva a otro problema logístico.
Dime.
La guía de inicio detalla un proceso que llaman Zero Touch Deployment, que es aprovisionamiento sin intervención humana en sitio.
Sí, leyendo la guía, me sonó idéntico a configurar un foco inteligente. O sea, compras un foco, lo enroscas, la app lo detecta y ya.
Es exactamente el mismo principio, pero a nivel empresarial. El gerente de la panadería saca el firewall de su caja, le conecta el cable de internet y lo enchufa a la luz. Fin.
No toca menús ni configura IPS. Su responsabilidad termina en el enchufe.
Toda la magia ocurre a kilómetros de distancia mientras el gerente lo conecta. El proveedor de servicios entra a un portal web que se llama MySonicWall, busca el número de serie de esa maquinita, le da clic a “Habilitar Zero Touch” y ya.
El hardware se conecta a los servidores, baja su sistema operativo más reciente y descarga todas las políticas de seguridad.
Está increíble porque eliminas el error humano y ya no tienes que mandar a un técnico manejando por toda la ciudad. Te ahorra muchísimo dinero.
Pero bueno, los documentos también hablan del reto a largo plazo, ¿no? No solo el día 1.
Y ahí es donde entra la plataforma NSM 2.6, el gestor de seguridad en la nube. Esto cambia el modelo de raíz.
Antes, si una tiendita tenía 20 sucursales y salía una vulnerabilidad nueva en internet, un pobre técnico tenía que entrar a cada uno de los 20 equipos manualmente para crear la regla de bloqueo. O sea, un proceso de días.
Sí, y durante esos días la empresa estaba totalmente expuesta.
Claro, abierta a cualquier ataque. Pero con el NSM 2.6, el proveedor entra a un panel en la nube, ve las 20 tiendas en tiempo real, crea la regla contra el ataque una sola vez en una plantilla maestra, le da aplicar y se manda a los 20 firewalls en minutos.
Ah, con razón la presentación de ventas hace tanto énfasis en reducir los costos operativos.
Sí, bajas el OPEX dramáticamente.
Oye, pero a ver, la tienda ya quedó protegida. Pero si regresamos a la idea de que el perímetro desapareció, nos falta un grupo gigante: los remotos.
Exacto. ¿Qué pasa con el coordinador de ventas que está en el wifi del aeropuerto o desde su casa?
Para ellos, las fuentes hablan del Cloud Secure Edge, que es vital porque viene a arreglar el desastre que son las VPN tradicionales hoy en día.
Uff, sí. Todos sabemos que las VPN dan muchísima lata, te tiran la videollamada, son superlentas. Pero más allá de lo molesto que es usarlas, a mí me preocupa el riesgo corporativo.
A ver, si el de ventas está en el aeropuerto, usa la VPN y resulta que su laptop se contagió de un virus, al prender la VPN, ¿no le está abriendo una autopista directa al virus hacia los servidores de la empresa?
Le diste al clavo. Ese es el talón de Aquiles de la VPN clásica, porque el modelo viejo asume que si tienes la contraseña, eres de confianza absoluta.
Te dan las llaves del edificio, la llave maestra, y te dicen: “Pásale, camina por donde quieras”. Entonces, si un malware secuestra esa laptop, hereda el acceso total.
Por eso la filosofía moderna, que es lo que empuja el Cloud Secure Edge, se llama Zero Trust o “Confianza Cero”.
La regla de oro de confianza cero es: nunca confíes y verifica absolutamente todo el tiempo.
Exacto. Ya no basta con saber la contraseña. El sistema evalúa el contexto completo de la conexión.
¿A qué se refieren con el contexto? ¿La ubicación o qué?
A todo. Supongamos que metes tu contraseña perfecta. La VPN te dejaría entrar. Zero Trust se detiene y dice: A ver, ¿qué máquina es? ¿Es la laptop de la empresa o una tablet personal insegura? ¿Trae el antivirus prendido? ¿Desde qué país se está conectando?”
Ah, o sea que si algo no cuadra, te bloquea inmediatamente aunque tengas la contraseña correcta.
Exactamente. La evaluación se hace antes de que siquiera toques un solo dato.
Y lo más drástico es que cuando sí te deja entrar bajo Zero Trust, no te dan acceso a la red general. Solo te dan un tubo directo y exclusivo hacia la aplicación que necesitas en ese momento. Nada más.
Haz de cuenta que es como ir a la bóveda de un banco.
Ándale. El gerente no te da la llave y te dice: “Ve a buscar tus cosas”. Te escolta, abres solamente tu cajita, sacas tu documento y te acompaña a la salida. Todo el resto del banco ni lo ves.
Es una analogía perfecta. Al aislar las aplicaciones así, aunque un hacker logre controlar remotamente la laptop del vendedor, le sería imposible moverse lateralmente hacia el sistema de contabilidad.
Es un acceso quirúrgico.
Pues mira, toda esta arquitectura —desde la evaluación de confianza cero en milisegundos hasta gestionar 20 tiendas desde la nube— suena a tecnología de multinacional. Suena carísimo. Suena a que necesitas chequera en blanco.
Pero los documentos dicen que el mercado objetivo son negocios de 1 a 30 empleados.
O sea, ¿cómo le justificas a una agencia de publicidad de 15 personas que pague por esto?
Ese es el punto de fricción número 1 en ventas. Por eso la estrategia comercial de Insight Infosys ataca el costo frontalmente para que las pymes puedan pagar esto.
Cambiaron el modelo. En lugar de que el dueño desembolse miles de dólares de golpe por el equipo físico —lo que llaman gasto de capital o CAPEX—, ahora todo el costo del TZ80 se basa en suscripciones.
Lo vuelves un gasto operativo predecible mes a mes o por año.
Y revisando los paquetes, veo que ofrecen contratos de 1, 3 o 5 años, pero hacen una diferencia súper clara entre 2 licencias. La básica o la avanzada.
Sí. Tienes la Secure Connect, que cuesta unos 395 dólares al año y trae conexión VPN y la consola en la nube. Pero el estándar que recomiendan es la Total Secure Advanced, de unos 586 dólares.
Esa ya incluye prevención de intrusiones, antimalware y filtro de internet.
Y mi duda como dueño de negocio sería: ¿por qué compraría la de 395 si me deja sin antimalware avanzado? O sea, es dejar la puerta medio abierta solo por ahorrarte unos dólares, ¿no?
Pues si lo ves pensando en computadoras donde hay gente tecleando, sí es un riesgo inaceptable. Pero la licencia básica tiene su lógica operativa.
A ver, está pensada para dispositivos del Internet de las Cosas, infraestructuras cerradas. O sea, máquinas hablando con máquinas.
Totalmente. Imagínate una flotilla de cajeros automáticos en plazas comerciales o sensores de temperatura en un cuarto frío. Necesitan conexión segura a internet para reportar al servidor central una vez al día.
Claro. Y esos sensores no andan abriendo correos electrónicos ni viendo videos.
Exacto. La posibilidad de que un sensor de temperatura descargue un virus por un navegador es cero. Ese equipo solo necesita su túnel seguro.
Pagar el antimalware para una máquina expendedora sería tirar dinero a la basura.
Pero ojo, en el segundo en que hay interacción humana, la cosa cambia. Por ejemplo, una tienda de ropa que tiene terminales de punto de venta, computadoras para inventario y además da wifi a los clientes. Ahí sí el riesgo de que alguien se conecte con un celular infectado es de todos los días.
En esos casos, la licencia Total Secure Advanced deja de ser lujo y se vuelve el blindaje del negocio.
Tiene sentido. Y para que el dueño entienda el retorno de inversión, los de ventas dicen que no lo presentes como una licencia de software, sino como una contratación laboral.
Ahhh, eso está interesante. Básicamente, le dices a la empresa que está contratando un guardia de ciberseguridad experto en anomalías, que trabaja 24/7 sin días feriados por 1.5 dólares al día.
Qué buena perspectiva, ¿verdad? Cuando lo pones como 1.5 dólares al día, ya no es un gasto molesto. Es el seguro más barato que puedes pagar.
Esa idea del guardia cibernético a 1.5 dólares creo que captura la esencia de todo lo que platicamos hoy. El juego de la ciberseguridad definitivamente se democratizó.
Sí, ya está al alcance de todos. Para los que administran equipos remotos o son el “chavo de sistemas” no oficial de su negocio, el mensaje de estas fuentes es clarísimo: la seguridad de clase mundial ya no te pide un cuarto frío lleno de servidores ruidosos.
Ahora te cabe en una cajita negra en el escritorio y se maneja sola desde la nube.
Y viendo cómo se están integrando la nube y el hardware, es super invariable pensar en el futuro cercano, ¿no?
A ver, ¿hacia dónde vamos?
Pues mira, si ahorita una maquinita tan compacta ya puede bajar sus políticas de defensa ella sola y analizar el contexto de un celular en milisegundos para bloquearlo basándose en confianza cero sin preguntarle a nadie, ¿qué va a pasar cuando la inteligencia artificial empiece a reescribir estas barreras en tiempo real basándose en lo que hacen los atacantes?
Exacto. Si los sistemas ya aprenden y bloquean solos, ¿no crees que nos acercamos al punto donde el administrador humano de la red solo va a ser espectador de una guerra entre puros algoritmos?
Híjole, pues es una imagen que definitivamente se nos va a quedar dando vueltas la próxima vez que veamos el módem parpadeando en la esquina de la oficina.
Pero bueno, muchísimas gracias a todos los que nos acompañaron en este análisis a fondo. Sigan cuestionando la tecnología que da forma al mundo que los rodea, sigan explorando y nos escuchamos en la próxima edición.
