VPN para teletrabajo: lo que un autónomo sí necesita saber
No toda VPN es igual. Hay VPN comerciales para «ocultar el IP» y hay VPN de acceso remoto a la oficina. Esta guía aclara cuándo te hace falta cada una y cómo montar algo sensato sin exponer el escritorio a internet.
Desde 2020 el teletrabajo dejó de ser anecdota. En 2026 sigo viendo el mismo atajo peligroso: abrir el puerto 3389 (Escritorio remoto de Windows) a todo internet «porque así entro desde casa». Funciona… hasta que un bot adivina la contraseña. La alternativa correcta suele ser una VPN de acceso o un túnel con identidad fuerte — no un anuncio de VPN consumer con dibujos de candados.
Trabajo esto en infraestructura y seguridad. Aquí va el mapa mental sin jerga de catálogo.
Dos productos distintos (no los mezcles)
1. VPN comercial (Nord, Mullvad, Proton VPN, etc.)
Cifra tu tráfico hacia internet y sale por un servidor del proveedor. Útil en WiFi de hotel, para reducir tracking grosero o en redes hostiles. No te da acceso a los archivos del NAS de la oficina ni sustituye el firewall de tu empresa.
2. VPN de acceso remoto (site-to-client)
Conectas tu portátil a la red de la oficina/casa-oficina como si estuvieras dentro: shares, intranet, impresora, RDP interno. Es lo que suele necesitar un autónomo con servidor en el local o una pyme con gente en remoto.
Puedes usar ambas a la vez en escenarios raros; no es lo habitual. Primero decide qué problema tienes.
¿Cuándo sí necesitas VPN de acceso?
- Debes usar un ERP/NAS solo accesible en la red local.
- Quieres RDP o SSH a un PC de la oficina sin publicarlo a internet.
- Varios empleados entran a recursos internos desde casa.
- El contable necesita el share de facturas sin subir todo a una nube pública.
¿Cuándo no hace falta? Si todo tu trabajo es Gmail + Google Drive + web en la nube, una VPN de acceso no te aporta casi nada. Ahí prioriza MFA y buenos hábitos — y un WiFi decente en casa, ver WiFi en oficina pequeña por analogía.
Opciones realistas para pequeños
VPN del router / firewall
Muchos routers de operadora tienen «VPN server» mediocre o inexistente. Routers/firewalls serios (o el de tu NAS Synology/QNAP) ofrecen OpenVPN o WireGuard. WireGuard suele ser más simple y rápido en 2026.
Tailscale / ZeroTier / Netbird
Overlay mesh: instalas un cliente en el PC de la oficina y en el portátil, autenticación moderna, sin abrir agujeros feos en el router. Muy adecuado para autónomos y equipos pequeños. Lee bien el modelo de confianza (quién es admin del tailnet).
VPN en un VPS
Un VPS barato con WireGuard como salto. Más control, más responsabilidad de parches. Tiene sentido si ya gestionas servidores.
VPN del proveedor cloud / Microsoft
Si vives en Microsoft 365 y Azure, hay opciones empresariales. Para una pyme de tres personas suele ser exceso; mira antes Microsoft 365 básico.
Lo que no debes hacer
- RDP, SMB o el panel del NAS abiertos a 0.0.0.0/0. Es invitación a ransomware — ver qué hacer ante ransomware.
- Misma contraseña débil para VPN y para el correo.
- VPN sin actualizar años (OpenVPN viejo en un router abandonado).
- Dejar la VPN conectada 24/7 en un portátil que también usan los niños para jugar: estás metiendo ese tráfico en tu red interna.
Buenas prácticas mínimas
- Acceso con usuario nominativo, no «vpn / vpn123».
- MFA o al menos claves fuertes + certificado cuando el producto lo permita.
- Solo los recursos necesarios (split tunnel si aporta; full tunnel si necesitas salir con IP de oficina).
- Actualizar clientes y servidor VPN.
- Revocar acceso el día que alguien deja de colaborar.
- Registro mínimo: saber quién se conectó si hay incidente.
Split tunnel vs túnel completo
Túnel completo: todo tu tráfico de internet pasa por la oficina. Útil si quieres la IP de la oficina o filtrado central. Consume subida de la fibra del local.
Split tunnel: solo el tráfico hacia la red interna va por la VPN; YouTube va directo. Más ligero. Asegura que no filtren rutas internas por error.
Para un autónomo que solo necesita el NAS, split suele bastar.
Rendimiento y WiFi
Una VPN no arregla una línea de 10 Mb de subida en el local ni un WiFi horrible en casa. Si la videollamada va mal con la VPN, prueba sin ella: a veces el cuello de botella es la red, no el cifrado. Mide. Optimiza WiFi. Luego vuelve a la VPN.
Legal y privacidad (toque breve)
Si tus empleados teletrabajan con datos personales de clientes, la VPN es una medida técnica más — no la única. Sigue haciendo falta control de acceso, copias y sentido común. No sustituye políticas ni el RGPD. Tu documentación debe ser la tuya; la de este sitio está en privacidad.
Escenario ejemplo
Taller con un PC de almacén y un NAS. Dos personas teletrabajan un día a la semana. Solución típica: Tailscale o WireGuard en el NAS, MFA donde exista, shares solo con usuarios necesarios, sin RDP a internet. Coste bajo, mantenimiento razonable. Si mañana entran diez personas y tres sedes, se replantea con firewall y diseño — ahí entra un proyecto de infraestructura.
Checklist
- ¿Necesitas red interna o solo «IP distinta en el hotel»?
- ¿Hay RDP/NAS expuestos a internet hoy? (ciérralos)
- ¿Usuarios nominativos y revocables?
- ¿MFA o equivalente?
- ¿Split o full tunnel decidido a propósito?
- ¿Quién mantiene actualizaciones?
Portátil del trabajo vs portátil personal
Ideal: equipo de empresa con disco cifrado (BitLocker/FileVault), usuario estándar y VPN solo en ese equipo. Realidad de muchos autónomos: el mismo portátil para facturar y para Netflix. Si no hay presupuesto para dos máquinas, al menos: cuenta de Windows separada para trabajo, MFA en el correo, VPN desconectada fuera de horario y carpeta de clientes fuera del Escritorio sincronizado con el móvil de los niños.
Un perfil de navegador distinto para banca y administración reduce la probabilidad de que una extensión basura robe cookies de sesión. No es paranoia de película; es higiene barata.
WiFi de casa y de cafetería
En casa, cambia la clave por defecto del router y separa invitados si puedes — los mismos principios que en WiFi de oficina. En cafetería o hotel, asume la red hostil: usa la VPN comercial o la de acceso si vas a tocar datos sensibles, evita RDP en claro y no actualices el ERP crítico por primera vez desde una terraza con WiFi abierto.
Alternativa: no VPN, sino nube bien hecha
A veces la mejor «VPN» es dejar de depender de la red local: migrar el ERP a un SaaS serio, el file server a SharePoint/Google Drive con permisos, y el correo a un proveedor con MFA. Entonces el teletrabajo es un navegador y basta. Eso es decisión de consultoría, no de abrir puertos. La VPN brilla cuando aún hay un NAS o un software gordo en el local que no puedes o no quieres mover.
Límites
No diseño aquí arquitecturas zero-trust de multinacional. Si tienes requisitos de compliance fuertes (salud, defensa), necesitas un proyecto dedicado, no un artículo. Para el resto: deja de publicar escritorios en internet y monta un acceso cifrado con identidad. Es aburrido y funciona.
Tampoco vendo miedo: la mayoría de autónomos no necesitan un firewall de 2.000 € el primer día. Necesitan cerrar RDP público, una VPN o mesh sencilla, MFA en el correo y copias que restauren. Con eso ya estás por delante del 80 % de los incidentes que veo.
¿Montamos un acceso remoto limpio? Contacto · Infraestructura · Seguridad