La forma en que las empresas conectan a sus empleados con los recursos corporativos ha cambiado radicalmente en los últimos años. Durante décadas, la VPN tradicional fue la columna vertebral del acceso remoto, creando un túnel cifrado que extendía la red corporativa hasta el hogar del empleado. Sin embargo, este modelo, basado en la confianza implícita una vez dentro de la red, ha mostrado sus limitaciones frente a las amenazas modernas y la migración a la nube. Hoy, el acceso a las aplicaciones debe ser granular, basado en la identidad y el contexto, no en la ubicación en una red. Es aquí donde nace la necesidad de combinar lo mejor de ambos mundos. FortiClient ha dado un paso adelante para integrar en un solo agente las capacidades de la VPN tradicional con las de ZTNA, ofreciendo a las empresas una transición suave hacia un modelo de seguridad de confianza cero sin renunciar a la funcionalidad establecida.
El cambio de paradigma: de la confianza de red a la confianza en la identidad
Para entender la magnitud de esta evolución, es necesario comprender la diferencia fundamental entre VPN y ZTNA. La VPN, en esencia, concede al usuario un pase de acceso a la red interna. Una vez dentro, el movimiento lateral es posible, y un dispositivo comprometido puede suponer una amenaza para toda la infraestructura. ZTNA, o acceso a la red de confianza cero, invierte esta lógica. Con ZTNA, el usuario no obtiene acceso a la red, sino únicamente a la aplicación específica para la que está autorizado. La conexión se establece de forma directa y encapsulada, haciendo que la aplicación sea invisible para el resto de la red y para posibles atacantes. FortiClient 2026 abraza esta filosofía, permitiendo a las organizaciones definir políticas de acceso basadas en quién es el usuario, desde qué dispositivo se conecta y cuál es su estado de seguridad, en lugar de basarse únicamente en su dirección IP de origen.
La convivencia inteligente: cuando VPN y ZTNA trabajan juntos
La gran novedad de FortiClient no es solo que soporte ZTNA, sino que lo hace conviviendo de manera inteligente con el cliente VPN tradicional. Muchas empresas no pueden migrar todas sus aplicaciones a un modelo ZTNA de la noche a la mañana. Aplicaciones legacy, recursos internos que no están preparados para exponerse de forma directa o necesidades de acceso administrativo a nivel de red requieren que la VPN siga operativa. FortiClient resuelve este dilema ofreciendo un cliente unificado que puede manejar ambos tipos de conexión de forma transparente para el usuario. El agente es capaz de determinar, según la política y el recurso solicitado, si debe establecer un túnel VPN tradicional o una conexión ZTNA. Esta flexibilidad permite una adopción gradual de la confianza cero, protegiendo la inversión existente mientras se evoluciona hacia una arquitectura más segura.
Visibilidad y control granular sobre el acceso a aplicaciones
Una de las ventajas más significativas de integrar ZTNA en FortiClient es el nivel de visibilidad que se obtiene. Con una VPN tradicional, el administrador ve un túnel y sabe qué usuario está conectado, pero tiene poca visibilidad de qué aplicaciones específicas está utilizando dentro de ese túnel. Con ZTNA, el control es mucho más granular. Las políticas se definen a nivel de aplicación, no de subred. Esto significa que se puede permitir el acceso a una aplicación de CRM a un usuario, pero denegarle el acceso a un servidor de archivos, incluso si ambos están en el mismo segmento de red. FortiClient, en comunicación con el controlador ZTNA de FortiGate, gestiona estas políticas de forma dinámica, asegurando que cada conexión sea verificada y autorizada individualmente, reduciendo drásticamente la superficie de ataque y el riesgo de movimiento lateral.
La verificación continua del endpoint como pilar de ZTNA
Para que ZTNA sea efectivo, la confianza no puede otorgarse solo en el momento inicial de la conexión. Debe ser evaluada de forma continua. Aquí es donde FortiClient demuestra su valor como agente unificado. No solo facilita la conexión, sino que actúa como un sensor de seguridad permanente en el endpoint. Antes de conceder acceso a una aplicación vía ZTNA, FortiClient verifica que el dispositivo cumple con la línea base de seguridad: antivirus activo y actualizado, firewall habilitado, sistema operativo sin vulnerabilidades críticas, ausencia de procesos sospechosos. Si durante la sesión el estado del dispositivo cambia, por ejemplo, si el antivirus se desactiva, FortiClient puede comunicar este cambio al controlador ZTNA para que la sesión sea terminada o se restrinja el acceso de forma automática. Esta verificación continua convierte a FortiClient en un pilar fundamental para una estrategia de confianza cero madura.
Conectividad simplificada para el usuario final
Desde la perspectiva del empleado, la complejidad subyacente debe ser invisible. Las novedades de FortiClient también apuntan a mejorar la experiencia de usuario. En lugar de tener que abrir una aplicación para la VPN y otra para accesos específicos, o lidiar con múltiples perfiles de conexión, el agente unificado simplifica el proceso. El usuario se autentica una vez, y FortiClient, junto con la infraestructura de Fortinet, se encarga de orquestar el tipo de conexión adecuado para cada recurso. Ya sea que necesite acceder a un archivo en un servidor interno mediante VPN o a una aplicación en la nube mediante ZTNA, la experiencia es coherente y fluida. Esta usabilidad es clave para evitar que los empleados busquen soluciones alternativas inseguras y para garantizar la adopción de las políticas de seguridad por parte de toda la organización.
Integración nativa con la infraestructura Fortinet existente
Otra novedad destacada es la profundización en la integración con el ecosistema Fortinet. Las capacidades ZTNA de FortiClient no operan de forma aislada; se integran nativamente con los firewalls FortiGate. Esto significa que las empresas que ya invierten en FortiGate pueden activar capacidades ZTNA sin necesidad de adquirir una plataforma separada. La consola de gestión sigue siendo la misma, las políticas se definen en el mismo lugar, y los logs de conexión se centralizan. Además, para entornos que requieren un alto rendimiento en el acceso remoto tradicional, la posibilidad de download netextender sigue estando disponible, garantizando que incluso las conexiones VPN más exigentes cuenten con un cliente optimizado y fiable. Esta integración reduce la complejidad y el coste operativo, permitiendo a los equipos de TI centrarse en la seguridad en lugar de en la integración de sistemas dispares.
Preparando la empresa para el futuro del trabajo híbrido
A medida que avanzamos hacia 2026, el modelo de trabajo híbrido no solo se ha consolidado, sino que ha evolucionado. Los empleados trabajan desde casa, desde oficinas, desde espacios de coworking y en movilidad. Las aplicaciones residen en centros de datos locales y en múltiples nubes. En este entorno disperso, tener un único cliente que unifique VPN y ZTNA no es una comodidad, sino una necesidad estratégica. FortiClient se posiciona como la herramienta que permite a las empresas afrontar esta diversidad con una postura de seguridad coherente. Permite aplicar la misma política de confianza cero independientemente de dónde esté el usuario o dónde esté alojada la aplicación. Esta capacidad de unificar el acceso y la seguridad en un solo agente es, sin duda, la novedad más relevante que FortiClient aporta al mercado, ofreciendo un camino claro y práctico hacia la madurez de la ciberseguridad empresarial.