Tunelizacion dividida (split tunneling)
¿Qué es Tunelizacion dividida (split tunneling)?
Tunelizacion dividida (split tunneling)Configuracion de VPN que enruta solo cierto trafico (por ejemplo, las subredes corporativas) por el tunel cifrado y deja salir el resto directamente a internet.
El split tunneling se configura en los clientes VPN (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, agentes ZTNA) para que solo ciertos destinos, normalmente rangos IP internos, sufijos DNS o aplicaciones, viajen por el tunel cifrado. El resto del trafico usa el enlace local a internet. Esto reduce la carga del concentrador VPN, baja la latencia hacia SaaS y evita doble NAT en servicios cloud. Las desventajas son reales: el endpoint esta simultaneamente en la red de confianza y en internet, lo que debilita el perimetro, complica el DLP y la inspeccion, y puede filtrar DNS por el resolutor local. Los disenos modernos lo mitigan con tunel completo para dispositivos gestionados, politicas ZTNA por aplicacion, DNS seguro al resolutor corporativo y EDR en todo endpoint.
● Ejemplos
- 01
Un cliente WireGuard enruta solo 10.0.0.0/8 por el tunel corporativo y envia el trafico de Zoom directamente a internet.
- 02
Las guias de split-tunnel de Microsoft 365 excluyen del VPN corporativo los endpoints optimizados de Exchange, SharePoint y Teams.
● Preguntas frecuentes
¿Qué es Tunelizacion dividida (split tunneling)?
Configuracion de VPN que enruta solo cierto trafico (por ejemplo, las subredes corporativas) por el tunel cifrado y deja salir el resto directamente a internet. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa Tunelizacion dividida (split tunneling)?
Configuracion de VPN que enruta solo cierto trafico (por ejemplo, las subredes corporativas) por el tunel cifrado y deja salir el resto directamente a internet.
¿Cómo funciona Tunelizacion dividida (split tunneling)?
El split tunneling se configura en los clientes VPN (OpenVPN, WireGuard, IKEv2, Cisco AnyConnect, Windows Always On VPN, agentes ZTNA) para que solo ciertos destinos, normalmente rangos IP internos, sufijos DNS o aplicaciones, viajen por el tunel cifrado. El resto del trafico usa el enlace local a internet. Esto reduce la carga del concentrador VPN, baja la latencia hacia SaaS y evita doble NAT en servicios cloud. Las desventajas son reales: el endpoint esta simultaneamente en la red de confianza y en internet, lo que debilita el perimetro, complica el DLP y la inspeccion, y puede filtrar DNS por el resolutor local. Los disenos modernos lo mitigan con tunel completo para dispositivos gestionados, politicas ZTNA por aplicacion, DNS seguro al resolutor corporativo y EDR en todo endpoint.
¿Cómo defenderse de Tunelizacion dividida (split tunneling)?
Las defensas contra Tunelizacion dividida (split tunneling) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Tunelizacion dividida (split tunneling)?
Nombres alternativos comunes: Split tunnel, Enrutamiento VPN selectivo.
● Términos relacionados
- network-security№ 1213
Kill switch de VPN
Salvaguarda que bloquea automaticamente todo el trafico de red del host cuando se cae el tunel VPN, evitando fugas accidentales por una conexion sin cifrar.
- network-security№ 042
VPN siempre activa (Always-On VPN)
Politica a nivel de dispositivo que establece el tunel VPN en cuanto hay red y rechaza el trafico sin tunelizar; la imponen perfiles de Windows, Apple y Android.
- privacy№ 339
Fuga de DNS
Fallo de privacidad en el que las consultas DNS escapan del túnel VPN o Tor y se envían en claro al proveedor del usuario o al resolver por defecto.
- network-security№ 556
IPsec
Conjunto de protocolos de IETF que autentica y cifra paquetes IP para proporcionar comunicaciones seguras a nivel de red.
- network-security№ 1244
WireGuard
Protocolo VPN moderno y minimalista que usa un conjunto fijo de primitivas criptográficas actuales y se integra en el kernel de Linux.