Cifrar el tráfico de red significa convertir los datos que viajan por internet en un código ilegible para cualquier persona que los intercepte.
El problema que nadie ve hasta que es tarde
Imagina que el equipo de ventas de Liverpool envía reportes de clientes desde una cafetería en Polanco. La red WiFi parece normal. Nadie sospecha nada. Pero un atacante en la misma red puede capturar cada paquete de datos que sale de esa laptop. Sin cifrado, los reportes llegan completos al atacante antes de llegar al servidor.
Este escenario ocurre todos los días en México. En oficinas, sucursales y home office. El cifrado es la barrera que hace que esos datos robados sean inútiles.
El Sistema de Dos Capas: VPN y TLS
Existen dos herramientas principales para cifrar el tráfico en tránsito. No son rivales — son complementarias. Piénsalas como dos cerraduras en una misma puerta.
TLS (Transport Layer Security) protege una conexión específica entre dos puntos. Por ejemplo, entre el navegador de un empleado y el servidor web de tu empresa. TLS es el protocolo detrás del candado verde en tu navegador.
VPN (Virtual Private Network) crea un túnel cifrado para todo el tráfico de una red. No importa si usas el navegador, el correo o una app interna — todo pasa por el túnel. Es como mover a todos tus empleados a una oficina privada invisible dentro de internet.
Usas TLS cuando proteges aplicaciones web y APIs. Usas VPN cuando conectas sucursales, empleados remotos o redes completas.
Cómo funciona TLS en la práctica
Cuando un empleado de FEMSA accede al sistema ERP desde su navegador, TLS hace tres cosas en milisegundos:
- Verifica la identidad del servidor usando un certificado digital. El navegador confirma que está hablando con el servidor real, no con un impostor.
- Negocia las claves de cifrado usando un proceso llamado "handshake". Ambos lados acuerdan un método de cifrado sin enviarlo en texto plano.
- Cifra todos los datos de la sesión usando esas claves. Solo el servidor y el navegador pueden descifrar el contenido.
La versión actual y segura es TLS 1.3. Si tu empresa todavía usa TLS 1.0 o 1.1, estás usando protocolos con vulnerabilidades conocidas. Debes desactivarlos.
Cómo verificar la versión TLS de tu servidor
Desde una terminal Linux puedes ejecutar este comando para revisar qué versiones acepta tu servidor:
openssl s_client -connect tudominio.com.mx:443 -tls1_2
Si el servidor responde con una conexión exitosa, acepta TLS 1.2. Repite el comando con -tls1_3 para verificar TLS 1.3. Si responde con -tls1 (versión 1.0), debes configurar tu servidor web para rechazarla.
En un servidor Nginx, la configuración correcta se ve así:
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
Esta configuración le dice al servidor que solo acepte TLS 1.2 y 1.3, y que rechace algoritmos débiles como MD5.
Cómo funciona una VPN empresarial
Una VPN crea un túnel cifrado entre dos puntos. Todo el tráfico entra al túnel, viaja cifrado por internet, y sale en el otro extremo ya dentro de la red privada.
Hay dos tipos de VPN que debes conocer:
VPN de acceso remoto: Un empleado instala un cliente VPN en su laptop. Cuando se conecta, su tráfico parece originarse desde la red de la empresa. Así trabaja home office de forma segura. Soluciones comunes: OpenVPN, WireGuard, Cisco AnyConnect.
VPN sitio a sitio: Conecta dos redes completas. Por ejemplo, la oficina central de Bimbo en Ciudad de México con una planta en Monterrey. Ningún empleado instala nada — el router de cada sede maneja el túnel automáticamente.
Ejemplo práctico con WireGuard
WireGuard es una VPN moderna, rápida y con menos de 4,000 líneas de código — mucho más fácil de auditar que OpenVPN. Para instalarla en un servidor Ubuntu:
sudo apt update && sudo apt install wireguard -y
Generas las claves del servidor:
wg genkey | tee privatekey | wg pubkey > publickey
Luego configuras el archivo /etc/wireguard/wg0.conf:
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = CLAVE_PRIVADA_DEL_SERVIDOR
[Peer]
PublicKey = CLAVE_PUBLICA_DEL_EMPLEADO
AllowedIPs = 10.0.0.2/32
Cada empleado tiene su propio bloque [Peer] con su clave pública y su IP asignada dentro del túnel. El tráfico entre 10.0.0.1 y 10.0.0.2 viaja completamente cifrado, aunque pasen por redes públicas.
Cuándo usar VPN y cuándo usar TLS
Esta es la pregunta que más confunde a los equipos de TI en México. Aquí tienes una guía directa:
| Situación | Solución recomendada |
|---|---|
| Empleados en home office accediendo a sistemas internos | VPN de acceso remoto |
| Sucursales de Liverpool conectadas a oficina central | VPN sitio a sitio |
| Aplicación web o API expuesta a internet | TLS 1.3 con certificado válido |
| Pagos en línea y datos del SAT o IMSS | TLS 1.3 obligatorio |
| Tráfico entre microservicios internos | TLS mutuo (mTLS) |
| Red WiFi pública o de cliente | VPN + TLS (las dos capas) |
La regla práctica: TLS protege aplicaciones, VPN protege redes. Cuando tienes dudas, aplica las dos.
Errores comunes que debes evitar
Error 1: Usar certificados autofirmados en producción. Un certificado autofirmado no tiene validación de una autoridad externa. Los navegadores lo marcan como inseguro. Peor aún, tus empleados aprenderán a ignorar las advertencias de seguridad — un hábito peligroso. Usa certificados de Let's Encrypt (gratuitos) o de una CA comercial.
Error 2: No renovar los certificados TLS a tiempo.
Un certificado vencido hace que tu sitio muestre errores de seguridad. En México, varias empresas pierden transacciones cada mes por esto. Configura una alerta automática 30 días antes del vencimiento. Con Let's Encrypt puedes automatizar la renovación con el comando certbot renew.
Error 3: Confiar en la VPN como única protección. La VPN cifra el tráfico, pero no filtra el contenido malicioso. Un empleado puede conectarse por VPN y descargar malware igual. La VPN complementa al firewall y al antivirus — no los reemplaza.
Error 4: Usar protocolos VPN obsoletos como PPTP. PPTP tiene vulnerabilidades conocidas desde hace más de 15 años. Si tu empresa todavía lo usa, es urgente migrar a WireGuard o OpenVPN. Muchos routers empresariales en México todavía ofrecen PPTP como opción predeterminada — no la uses.
Error 5: No segmentar el acceso VPN. Un error grave es dar acceso VPN completo a todos los empleados. El contador de Bimbo no necesita acceso a los servidores de producción. Usa reglas de firewall para limitar qué recursos puede alcanzar cada usuario dentro del túnel.
Cómo implementarlo en tu empresa paso a paso
Sigue este orden para no saltarte pasos críticos:
- Audita tu estado actual. Revisa qué aplicaciones usan HTTP (sin cifrado) y cuáles usan HTTPS. Herramientas como
nmappueden escanear tus servidores. - Migra todo a HTTPS con TLS 1.3. Empieza por las aplicaciones que manejan datos sensibles: nómina, CRM, ERP, portales de proveedores.
- Instala y configura tu servidor VPN. WireGuard es la opción más simple para empezar. Un servidor con 2 vCPU y $300 al mes en cualquier proveedor de nube mexicano es suficiente para 20 usuarios.
- Crea políticas de acceso. Define qué empleado accede a qué recurso dentro de la VPN. Documenta esto en una tabla.
- Capacita a tu equipo. Un empleado que no sabe activar la VPN antes de conectarse a un WiFi público anuló toda tu inversión. La capacitación vale más que cualquier herramienta.
El cifrado no es opcional
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) en México exige medidas de seguridad para proteger datos personales. El cifrado en tránsito es una de esas medidas. Si tu empresa maneja datos de clientes y no cifra el tráfico, estás en riesgo legal además del técnico.
Cifrar el tráfico con VPN y TLS no es un lujo técnico — es la diferencia entre una empresa que puede demostrar que protege sus datos y una que descubre sus vulnerabilidades después de una filtración.