Instalar un cliente distinto para cada tipo de acceso no es sostenible. Un software para la VPN, otro cliente para VDI, una herramienta aparte para RDP, una terminal para SSH, kubeconfig para Kubernetes, tablas de contraseñas compartidas para los sistemas antiguos… Este modelo no responde a la necesidad de seguridad moderna, sino que arrastra los hábitos del pasado.
Con el tiempo, cada portátil se convierte en un pequeño caos de acceso. Se acumulan agentes, las actualizaciones se retrasan, los equipos de soporte lidian con problemas de instalación, las contraseñas privilegiadas se acercan a los dispositivos de los usuarios. La organización cree que está concediendo acceso; en realidad está distribuyendo el control.
Además, no todos los dispositivos pueden soportar esta carga. Un Chromebook, un kiosco, un dispositivo móvil o el ordenador de un contratista a menudo no pueden ejecutar los clientes necesarios. Para que el trabajo no se detenga, se abren excepciones y las soluciones temporales se vuelven permanentes.
El punto más débil de esta arquitectura es la auditoría. La grabación de sesión, la marca de agua en pantalla, el DLP del portapapeles, el control de transferencia de archivos y la evaluación de riesgo intrasesión no son parte natural del acceso. Se parchean con productos añadidos después.
El acceso remoto no debe ser la suma de herramientas separadas. Debe ser una sola identidad, un solo portal, una sola capa de auditoría y una sola ruta de acceso segura.
Cinco protocolos se renderizan en el navegador a través de un único endpoint HTTPS; la capa de auditoría y política corporativa está incorporada directamente dentro del gateway.
RDP, VNC, SSH, Kubernetes exec y Telnet se renderizan en un canvas HTML5 y una terminal dentro del navegador existente del usuario. Chromebook, estación de trabajo restringida, dispositivo móvil, portátil de contratista — cualquier dispositivo con un navegador moderno se convierte en una estación de trabajo con plenas capacidades.
El gateway termina los cinco protocolos detrás de un único endpoint WebSocket protegido por TLS. Las reglas de firewall se reducen a una sola línea, la exposición a nivel de red baja a un solo puerto, y los equipos remotos ya no persiguen UDP, el puerto 3389 ni excepciones de split-tunnel.
Las credenciales del sistema de destino se guardan en una bóveda y se inyectan en el momento de iniciar la sesión. El usuario entra al portal con su propia identidad y MFA; el gateway extrae la credencial privilegiada en el momento del lanzamiento y la entrega directamente al motor de protocolo. La rotación, el retiro y la gestión de contraseñas por sesión se vuelven automáticos.
Cada sesión puede grabarse como MP4 estándar, cada fotograma lleva marca de agua con la identidad del operador y se evalúa continuamente contra la política. Las pulsaciones de teclas y los eventos de portapapeles se registran con enmascaramiento basado en regex para patrones de contraseñas y PII. El gateway que renderiza la sesión es también el dueño del rastro de auditoría.
Cinco protocolos, más la capa corporativa que construimos sobre ellos.
Network Level Authentication, sesión protegida por TLS, redirección de unidades, soporte de audio y portapapeles, resolución dinámica y redirección de impresora están totalmente integrados. La función RemoteApp publica una sola aplicación de Windows (un cliente ERP, AutoCAD, un viejo software de contabilidad) como ventana en el navegador del usuario — sin escritorio completo, sin exposición de la barra de tareas, sin aplicaciones laterales visibles. Modernización de aplicaciones legacy sin la carga de VDI.
Funciona con TightVNC, RealVNC, UltraVNC, x11vnc y todos los servidores compatibles con RFB. Cuenta con varios esquemas de autenticación (contraseña, ARD, VeNCrypt con TLS), portapapeles bidireccional, modos de renderizado de cursor y ajuste de profundidad de color para ancho de banda bajo. Los escritorios Mac y Linux con uso compartido de pantalla integrado se convierten en destinos de portal de primera clase.
Terminal totalmente compatible con xterm; se establece con autenticación por clave, agente, contraseña y certificado. SFTP funciona sobre la misma conexión SSH — un panel de archivos integrado permite al usuario arrastrar y soltar para subir archivos, o seleccionar y descargar, sin salir del navegador. Las configuraciones regionales y las distribuciones de teclado se procesan de forma natural, y el texto de la sesión se puede buscar y copiar como cualquier página web.
Los operadores obtienen un shell interactivo en cualquier pod con alcance de namespace y contenedor a través del endpoint exec de la API de Kubernetes. No hay kubectl que instalar, ningún archivo kubeconfig que distribuir, ni service-account que filtrar al portátil. El RBAC se configura una vez en el portal, la auditoría ocurre en el gateway, y los SRE acceden al clúster desde cualquier navegador.
Algunos activos todavía esperan Telnet — Cisco IOS anterior a SSH, HMI de OT/SCADA, gateways de mainframe. El portal los gestiona con la misma capa de renderizado, auditoría y marca de agua aplicada al resto de los protocolos. Telnet se habilita de forma opcional según política; el operador ve una advertencia clara cuando inicia un protocolo en texto plano.
Las credenciales privilegiadas del sistema de destino permanecen en la bóveda de la plataforma y nunca residen en el dispositivo del usuario. Cuando se inicia una sesión, el gateway extrae la credencial de la bóveda, la entrega al motor de protocolo; el usuario abre la sesión sin ver ni escribir la contraseña. La rotación funciona según el calendario que defina el operador — incluso tras cada sesión si el activo lo requiere.
La grabación se configura por activo, por grupo de usuario o por sesión — los administradores deciden dónde es obligatoria (sistemas dentro del alcance de cumplimiento, contratistas externos) y dónde es opcional. La salida se escribe como MP4 H.264 estándar en el almacenamiento local del gateway, con controles de retención. Las grabaciones se buscan por usuario, activo y marca de tiempo; los auditores pueden reproducir cada sesión directamente en el navegador.
Cada fotograma renderizado lleva una marca de agua que toma sus componentes del contexto en vivo de la sesión (identidad del operador, IP de origen, nombre del activo, marca de tiempo). La plantilla la define el administrador. La marca de agua se procesa en el flujo del lado del servidor; ningún bloqueador de anuncios ni manipulación del DOM del lado del cliente puede eliminarla. Disuade de fotografiar la pantalla, hace rastreables las capturas filtradas y recuerda que cada acción está siendo observada.
La capa de auditoría y política que convierte el acceso sin cliente en un control de acceso privilegiado de nivel corporativo.
Cada sesión activa se reevalúa continuamente contra la política de acceso condicional aplicada al iniciarse. Si la IP del operador cambia de país, si el score de confianza del endpoint baja, si el dispositivo sale de la postura gestionada o si el comportamiento se vuelve anómalo, el gateway puede cortar la sesión, solicitar MFA adicional, degradar la sesión a modo solo lectura o alertar al equipo de seguridad — sin esperar al siguiente inicio de sesión.
Cada pulsación de tecla, cada evento de portapapeles y cada transferencia de archivos se registra con el contexto de sesión, activo y marca de tiempo. Los patrones sensibles — heurísticas de complejidad de contraseñas, números de tarjeta de crédito, números de identificación nacional y regex personalizados — se enmascaran automáticamente antes de llegar al log. El rastro de auditoría se completa sin lagunas, sin convertirse en una fuente secundaria de fuga.
El contenido del portapapeles que fluye entre el navegador del usuario y el activo remoto se inspecciona contra la política. Los administradores permiten solo copiar hacia dentro en activos regulados, cierran el portapapeles por completo o enmascaran en línea los patrones coincidentes — por ejemplo, redactan los números de tarjeta de crédito en el texto pegado hacia fuera sin dañar el resto del texto.
La subida y la descarga son permisos independientes, configurados por activo y rol. Límites de tamaño, lista de tipos MIME permitidos, análisis antivirus a través del motor de inspección WAAP de la plataforma y registro de auditoría por transferencia — convierten el canal de exportación, normalmente invisible, en un canal controlado y observable.
Los activos de alta sensibilidad pueden exigir un score de confianza mínimo del componente endpoint trust manager (ETM) de la plataforma para que el botón de lanzamiento se active. El portátil de un contratista sin cifrado de disco, un dispositivo personal con parches pendientes o una estación de trabajo marcada por malware ni siquiera llegan a la página de lanzamiento de esos activos — sin que el operador tenga que recordar reglas aparte.
Los operadores autorizados pueden unirse a una sesión en curso como segundo espectador — para observar en silencio o para guiar de forma interactiva. Los administradores junior reciben formación junto al experimentado, los equipos de seguridad revisan actividad sospechosa en tiempo real, y los equipos de respuesta a incidentes acceden a la pantalla en vivo, no después desde la grabación.
Los sistemas dentro del alcance de PCI DSS, HIPAA, GDPR e ISO 27001 exigen que cada sesión privilegiada se grabe, lleve marca de agua y sea rastreable hasta un operador con nombre. El portal hace de esto el valor por defecto para los activos que importan al auditor; en el resto de los activos se aparta del camino.
Los contratistas reciben acceso acotado y con ventana de tiempo a activos específicos — nunca a la red, nunca a una contraseña de administrador compartida, nunca a una cuenta VPN de larga duración. Cada sesión se graba, lleva marca de agua con la identidad del contratista y aparece en la cola de soporte para auditoría en vivo.
Los SRE llegan a cualquier pod de cualquier clúster desde cualquier navegador — sin instalar kubectl, sin distribuir kubeconfig ni tokens de service-account por clúster circulando en los portátiles. El RBAC, la auditoría y la política viven en el portal; no se dispersan por las herramientas de línea de comandos.
Un viejo cliente ERP de Windows se publica mediante RDP RemoteApp; un dispositivo Cisco anterior a SSH se abre por Telnet con grabación obligatoria; un HMI en una red OT segmentada solo es accesible a través del portal auditado. Los activos antiguos siguen funcionando mientras el acceso a su alrededor se moderniza.
Acceso desde el navegador a sistemas RDP, VNC, SSH, Kubernetes y legacy — grabación, marca de agua, bóveda y política integradas. Le hacemos un recorrido en una instalación en vivo sobre sus propios activos.