Durante años, enrutar el tráfico a través de servidores proxy en la nube fue suficiente. Luego, el trabajo se trasladó al navegador, la IA entró en el flujo de trabajo y el modelo de inspección dejó de seguir el ritmo.
Los flujos de trabajo empresariales ahora se encuentran en aplicaciones SaaS, navegadores y un ecosistema en expansión de herramientas de inteligencia artificial generativa, extensiones de navegador no autorizadas y agentes autónomos. Los empleados rutinariamente pegan propiedad intelectual en LLM públicos para optimizar el código, mientras que los agentes automatizados consultan la documentación interna y mueven datos entre sistemas a la velocidad de la máquina. El desafío no es que SASE haya fallado, sino que las interacciones de datos se han trasladado a la capa de presentación, un área para la cual las arquitecturas centradas en la red nunca fueron diseñadas. Este cambio de paradigma estructural se explora en detalle en La guía para la arquitectura SASE moderna.
¿Por qué las luchas tradicionales por la aplicación de la ley?
El SASE tradicional se basa en el retorno del tráfico a servidores proxy en la nube para su descifrado, inspección y aplicación de políticas. Sin embargo, los protocolos de Internet modernos, específicamente TLS 1.3, HTTP/3 y la fijación de certificados, fueron diseñados explícitamente para bloquear este tipo de intercepción de intermediario.
Cuando un proxy en la nube intenta forzar el descifrado en una sesión TLS 1.3 con fijación de certificado, la aplicación cliente interrumpe la conexión de forma rutinaria. Para evitar el tiempo de inactividad de los servicios críticos para el negocio, los equipos de red se ven obligados a escribir excepciones de omisión. Esto crea un problema estructural: las organizaciones terminan manteniendo listas de exenciones masivas, reduciendo silenciosamente su perímetro de seguridad, una aplicación a la vez, solo para mantener las herramientas en funcionamiento.
Más allá de la brecha de seguridad, este modelo introduce una fuerte penalización en el desempeño de la fuerza laboral. Forzar las sesiones a través de rutas de inspección distantes en la nube crea un “impuesto de desvío” de latencia de las aplicaciones y videollamadas entrecortadas. Cuando la infraestructura de seguridad hace que las herramientas críticas sean lentas o inestables, los usuarios buscan activamente soluciones alternativas para mantenerse productivos, ampliando la misma superficie de ataque que TI está tratando de proteger.
La IA y el “momento de intención”
La IA y los flujos de trabajo agentes han hecho que esta brecha arquitectónica sea imposible de ignorar. Un proxy de red tradicional ve una conexión HTTPS cifrada y válida con un proveedor de LLM. No puede ver la intención de la carga útil, como un agente de IA autónomo que utiliza llamadas a herramientas de protocolo de contexto modelo (MCP) para extraer código propietario o documentación interna.
Cuando los datos llegan a un punto de inspección de la red, la interacción ya se ha producido. El momento de la intención ha pasado. Esto deja a los equipos de seguridad atrapados en un dilema binario: bloquear la IA por completo y llevar a los usuarios hacia la TI en la sombra, o permitirla sin restricciones y aceptar la opacidad total de los datos. El Guía para la arquitectura SASE moderna cubre en detalle los marcos de evaluación para esto.
El cambio de arquitectura
Para gobernar la IA y el SaaS moderno, la aplicación debe ocurrir en el punto de interacción, en el dispositivo: el navegador y el terminal. Cuando se requiere seguridad o enrutamiento a nivel de red, el tráfico debe dirigirse dinámicamente a la infraestructura de borde disponible más cercana, eliminando saltos redundantes y desvíos que afectan el rendimiento.
La evaluación de la política en el último kilómetro cambia por completo el modelo de aplicación de la ley:
- Protección de datos contextuales: Copiar, pegar y solicitar contenido se inspecciona localmente antes de que los datos salgan del dispositivo.
- Alineación nativa del protocolo: Los protocolos de cifrado modernos funcionan de forma nativa sin flujos de trabajo de descifrado invasivos.
- Rendimiento de ruta directa: Hasta el 90% del tráfico confiable toma la ruta directa a su destino, eliminando el “impuesto de desvío” del proxy y restaurando la velocidad de la aplicación nativa para el usuario final.
Este cambio está impulsando la adopción de la arquitectura “Perfect Packet”, un modelo que evalúa el contexto en el punto final antes del enrutamiento, invocando la inspección de la nube solo cuando una sesión requiere verificación adicional.
Más información
La aplicación de medidas centradas en la red no puede regir lo que sucede dentro de una pestaña de una aplicación o un flujo de trabajo de IA. Para ver cómo las arquitecturas modernas están cerrando la brecha de visibilidad del proxy al mismo tiempo que restauran el rendimiento de las aplicaciones nativas, descargue El paquete perfecto: una guía para la arquitectura SASE moderna.