SD-WAN a SASE en Chile 2026: cómo evoluciona la red

Q: ¿Qué proveedores SASE tienen presencia real en Chile en 2026?

Movistar Empresas Chile ofrece SASE basado en Cisco (Umbrella + SD-WAN + Secure Access). Entel Corporaciones combina SD-WAN con FortiSASE y Cisco. Cirion Technologies es operador local con managed SASE multi-vendor (premiado por Frost & Sullivan en 2023). GTD Chile entrega SD-WAN gestionado. Como vendors directos con presencia regional están Fortinet, Cisco, Palo Alto Networks (Prisma SASE), Cato Networks, Netskope y Zscaler. Todos los líderes del Magic Quadrant SASE 2025 de Gartner tienen distribución en Chile vía partners.

Q: ¿Cuándo conviene SSE-first antes de SASE completo?

SSE-first conviene cuando la prioridad inmediata es modernizar la seguridad de acceso (reemplazar VPN por ZTNA, agregar CASB para SaaS, SWG para navegación) sin tocar todavía el transporte WAN. Es típico cuando ya hay un SD-WAN reciente que no se quiere reemplazar, o cuando el equipo de seguridad va más adelantado que el de redes. SASE completo de un solo vendor entrega más simplicidad operativa, pero requiere apetito por consolidar contratos y procesos. Gartner llamó a esta segmentación 'SASE Platforms' en su Magic Quadrant 2025.

Q: ¿Qué penetración de 5G hay en Chile y cómo se relaciona con SASE?

Chile superó los 10 millones de conexiones 5G a enero 2026, equivalente al 45% del mercado móvil, según datos de Subtel. El crecimiento interanual fue de 62,3% respecto a enero 2025. Para SASE, el 5G habilita branch offices y sitios remotos con conectividad de baja latencia sin tendido de fibra, y facilita la inclusión de dispositivos IoT industriales bajo políticas de seguridad consistentes con la red corporativa. Empresas con plantas o sucursales fuera de zonas urbanas son las primeras beneficiadas.

Q: ¿Qué barreras frenan la adopción de SASE en empresas chilenas?

Las tres barreras más comunes son: fragmentación tecnológica (vendors distintos para SD-WAN, firewall, proxy y CASB que no integran), skill gap operativo (los equipos saben redes o seguridad por separado, no convergidas), y costo de migración desde MPLS legado o VPN tradicional. Gartner identifica además el lock-in single-vendor como trade-off por la simplicidad. La recomendación común para empresas medianas es empezar con SSE (capa de seguridad) y agregar SD-WAN una vez probado el modelo cloud-delivered.

En resumen: Gartner proyecta que 60% de las nuevas compras de SD-WAN en 2026 serán parte de una oferta SASE de un solo vendor, contra apenas 15% en 2022. En Chile, telcos como Movistar Empresas, Entel y Cirion ya entregan SASE gestionado, y los vendors líderes (Palo Alto, Fortinet, Cato y Netskope, según el Magic Quadrant 2025) están disponibles vía partners. La pregunta dejó de ser si migrar; es por dónde empezar.

La red empresarial chilena está pasando por su segundo cambio estructural en una década. El primero fue de MPLS a SD-WAN para ganar agilidad y reducir costos. El segundo, en marcha ahora, es de SD-WAN a SASE: convergir transporte y seguridad en un único plano de control entregado desde la nube. Gartner predice que para 2026, 60% de las nuevas compras de SD-WAN serán parte de una oferta SASE de un solo vendor, frente al 15% que era en 2022.

Esta guía cubre qué es SASE en términos prácticos, en qué se diferencia de SD-WAN, qué proveedores con presencia real en Chile entregan el stack completo, qué dicen las cifras de adopción del mercado local y cómo evaluar si el camino correcto es SSE-first o SASE completo desde el inicio.

arquitectura Zero Trust con Fortinet y Cisco

Key Takeaways:

Gartner proyecta 60% de nuevas compras SD-WAN dentro de oferta SASE single-vendor en 2026 (vs 15% en 2022)

Stack SASE = SD-WAN + ZTNA + SWG + CASB + FWaaS en plano de control unificado

Chile superó 10,16 millones de conexiones 5G a enero 2026 (+62,3% YoY, Subtel)

Líderes Magic Quadrant SASE 2025: Palo Alto Networks, Fortinet, Cato Networks y Netskope

Movistar Empresas, Entel Corporaciones, Cirion y GTD entregan SD-WAN o SASE en Chile

¿Qué es SASE y cómo se distingue de SD-WAN?

SASE (Secure Access Service Edge) es una arquitectura propuesta originalmente por Gartner que converge funciones de red y seguridad en un servicio cloud-delivered, con políticas aplicadas según identidad y contexto, no según ubicación. SD-WAN es uno de los componentes de SASE: aporta el transporte inteligente entre sitios, internet y nubes públicas. Pero SASE suma encima cuatro capas de seguridad que tradicionalmente vivían en appliances separados: ZTNA, SWG, CASB y FWaaS.

La diferencia práctica se ve en la operación. Con SD-WAN clásico, la empresa tiene un controlador para el transporte, otro firewall en cada sucursal, un proxy de navegación en otra consola y una VPN para los usuarios remotos. Con SASE, todo se administra desde un único plano de control en la nube, con una sola política de identidad. Cuando un usuario se conecta desde una cafetería en Santiago, la política que se aplica es la misma que cuando está en la oficina, porque depende de quién es y qué quiere hacer, no de dónde se conecta.

Gartner reorganizó su Magic Quadrant en 2025 bajo el nombre “SASE Platforms” precisamente para reflejar este shift de mercado: la mayoría de los nuevos despliegues son single-vendor, donde el mismo proveedor entrega SD-WAN y las cinco funciones de seguridad. Palo Alto Networks, Fortinet, Cato Networks y Netskope quedaron como líderes en esa categoría en 2025.

Dato clave: Gartner proyecta que para 2026, 60% de las nuevas compras de SD-WAN serán parte de una oferta SASE single-vendor, contra apenas 15% en 2022 (Gartner vía Fierce Network). El cambio estructural ya no es opcional para empresas que renovarán contratos en los próximos 24 meses.

¿Qué componentes incluye el stack SASE en 2026?

El stack SASE 2026 está compuesto por seis capas funcionales operando bajo un único plano de control. Cada capa cubre un dominio que tradicionalmente vivía en appliances o consolas separadas. Conocer la función exacta de cada componente es necesario para evaluar ofertas de vendor o de telco gestionado.

SD-WAN — Transporte WAN inteligente. Selecciona dinámicamente la mejor ruta entre MPLS, internet, fibra, LTE y 5G según condiciones de red, prioriza aplicaciones críticas (ERP, voz, video) y reduce el costo del enlace al usar internet para tráfico no crítico. Es la base sobre la que se construye SASE.

ZTNA — Zero Trust Network Access. Reemplaza la VPN tradicional. En lugar de dar acceso a toda la red corporativa al autenticarse, ZTNA entrega acceso solo a aplicaciones específicas según identidad, dispositivo y contexto. NIST SP 800-207 define el principio: “no implicit trust based on network location”. Gartner proyecta que hasta 70% de los nuevos despliegues de acceso remoto usarán ZTNA en lugar de VPN para 2025.

SWG — Secure Web Gateway. Inspecciona y filtra el tráfico web, bloquea sitios maliciosos, aplica políticas de uso aceptable y descifra TLS para análisis. En SASE, el SWG vive en la nube del proveedor, no en un appliance en la sucursal.

CASB — Cloud Access Security Broker. Protege el uso de SaaS como Microsoft 365, Google Workspace, Salesforce y Slack. Aplica políticas de DLP, detecta shadow IT, controla qué datos pueden subirse o compartirse.

FWaaS — Firewall-as-a-Service. Entrega capacidad de firewall desde la nube en vez de un appliance físico en cada sitio. Permite escalar la inspección sin agregar hardware y aplica las mismas reglas para usuarios remotos, sucursales y datacenter.

DEM/DEX — Digital Experience Monitoring. Capability emergente en el Magic Quadrant 2025. Mide la experiencia real del usuario final con telemetría desde el endpoint hasta la aplicación, lo que permite diagnosticar lentitud sin culpar al ISP por defecto.

acceso ZTNA reemplazando VPN tradicional

¿Cuál es el ritmo de adopción SASE en Chile en 2026?

Chile tiene tres condiciones que aceleran la adopción de SASE en 2026: penetración alta de fibra en el segmento corporativo, expansión madura de 5G y un ecosistema telco con ofertas locales de SD-WAN y SASE gestionado ya disponibles. A enero 2026, el país superó los 10,16 millones de conexiones 5G, equivalente al 45% del mercado móvil total, según datos de Subtel reportados por TeleSemana. El crecimiento interanual fue de 62,3% respecto a enero 2025.

En el segmento residencial y SME, el 84,1% de los hogares conectados usa fibra óptica (4,05 millones de accesos, +18,9% en 12 meses), lo que se proyecta al segmento corporativo con alta penetración para sucursales urbanas. Chile tiene además el internet fijo más barato de Latinoamérica según el informe JP Morgan citado por Subtel: USD 3,12 por 100 Mbps, lo que reduce el costo del transporte como variable de la ecuación SASE.

A nivel de mercado total, Gartner proyecta que el segmento SASE crecerá a CAGR de 26% hasta alcanzar USD 28.500 millones en 2028. La penetración real en empresas chilenas está siendo liderada por sectores con muchas sucursales o sitios remotos: retail, banca, salud, minería y logística son los que más se benefician del modelo cloud-delivered.

Dato clave: Chile superó los 10,16 millones de conexiones 5G a enero 2026, con un crecimiento interanual de 62,3% según Subtel. Esto convierte al país en uno de los mercados más maduros de Latinoamérica para incorporar 5G como uplink de sucursales bajo arquitectura SASE, sin depender exclusivamente de fibra dedicada.

¿Quiénes ofrecen SASE en Chile en 2026?

El ecosistema SASE chileno combina dos capas: telcos locales que entregan el servicio gestionado y vendors globales que aportan la tecnología. Conocer ambas capas evita evaluar mal una propuesta.

Telcos chilenas con oferta SD-WAN o SASE

Movistar Empresas Chile entrega SASE basado en Cisco, integrando Umbrella (SWG/CASB), SD-WAN de Meraki y Secure Access. Movistar fue reconocida como Cisco Partner of the Year 2024 en Chile. Entel Corporaciones opera el servicio “SDWAN Red Inteligente” con complemento SASE multi-vendor, soportando Fortinet y Cisco según el cliente, y publica análisis técnico sobre SASE como complemento de SD-WAN. GTD Chile ofrece SD-WAN gestionado administrado multi-vendor. Cirion Technologies (ex-Lumen) opera datacenters locales SAN1 y SAN2 en Quilicura y entrega SASE managed multi-vendor; recibió el premio Frost & Sullivan 2023 como Company of the Year en Managed SD-WAN LATAM.

Vendors globales líderes con presencia regional

Los cuatro líderes del Magic Quadrant SASE Platforms 2025 están disponibles en Chile vía partners certificados: Palo Alto Networks (Prisma SASE), Fortinet (FortiSASE), Cato Networks (Cato SASE Cloud) y Netskope (Netskope One). A estos se suman Cisco (Umbrella + Meraki + Secure Access) y Zscaler (Zscaler Internet/Private Access, modelo SSE-first). Cada vendor tiene un trade-off distinto: single-vendor consolidados como Palo Alto y Fortinet entregan máxima simplicidad operativa; players nativos cloud como Cato y Netskope priorizan time-to-value y experiencia de usuario; Zscaler permite empezar por seguridad y agregar SD-WAN después.

Observación de campo: En las evaluaciones SASE que hemos acompañado para empresas medianas chilenas durante 2025-2026, el factor que más decide la elección del proveedor no es el precio del licenciamiento, sino la calidad del soporte local en español, la cobertura de los puntos de presencia (PoP) en LATAM y la capacidad real de migrar desde el stack legado existente sin reemplazar todo el día uno. La oferta de telco gestionado típicamente reduce el riesgo operacional pero limita la capacidad de personalización.

¿SSE-first o SASE completo? Cómo decidir el camino

La elección entre SSE-first o SASE completo depende del estado actual del stack de redes y seguridad de la empresa. SSE (Security Service Edge) cubre solo la mitad de seguridad de SASE: ZTNA, SWG, CASB y FWaaS, sin tocar el SD-WAN. Es el camino recomendado cuando el equipo necesita modernizar acceso remoto y protección de SaaS sin reemplazar un SD-WAN reciente o un MPLS aún en contrato.

Cuándo conviene SSE-first

SSE-first es la elección razonable en cuatro escenarios concretos. Primero, cuando el SD-WAN actual es reciente y funciona bien, no tiene sentido reemplazarlo solo para llegar a SASE. Segundo, cuando el contrato MPLS aún tiene 18-24 meses por delante y romperlo cuesta más que esperar. Tercero, cuando el equipo de seguridad va más adelantado que el de redes y necesita resolver primero la deuda técnica de VPN, proxies y CASB sueltos. Cuarto, cuando la empresa quiere validar el modelo cloud-delivered con menor riesgo antes de mover el transporte.

Cuándo conviene SASE completo single-vendor

SASE completo single-vendor conviene cuando se está renovando el contrato WAN, hay apetito por consolidar vendors, el equipo ya tiene capacidad de operar la convergencia y se valoran simplicidad y un solo SLA por sobre la flexibilidad. Es la apuesta a largo plazo del mercado: Gartner predice que será mayoritario en 2026.

continuidad operacional con red moderna

Tendencias 2026 a tener en cuenta

Tres tendencias del mercado SASE en 2026 deben influir la decisión: la consolidación single-vendor se acelera (refleja el cambio de Gartner al MQ “SASE Platforms”), la GenAI embebida se vuelve estándar para configuración inicial y troubleshooting (Gartner proyecta 20% de configuración inicial generada por IA en 2026), y el Universal ZTNA supera 40% de adopción para 2027 según Gartner, expandiendo el modelo Zero Trust desde acceso remoto a todo tipo de tráfico.

Dato clave: El crecimiento de ZTNA fue de 87% YoY entre 2021 y 2022, y siguió en 51% YoY entre 2022 y 2023, según Gartner Reprint. Para 2025, hasta 70% de los nuevos despliegues de acceso remoto reemplazarán VPN por ZTNA, lo que convierte a ZTNA en la primera capa SASE que toda empresa debería evaluar implementar.

¿Qué barreras frenan la adopción SASE en empresas chilenas?

Las tres barreras más reportadas son fragmentación tecnológica, skill gap operativo y costo de migración. Cada una requiere abordaje distinto y ninguna es razón para postergar indefinidamente la modernización.

Fragmentación tecnológica. Es común tener Cisco para core de red, Fortinet o Palo Alto para firewall perimetral, Zscaler o Symantec para proxy, Microsoft Defender for Cloud Apps para CASB y Pulse o Cisco AnyConnect para VPN. Llevar todo eso a un solo vendor SASE significa abandonar inversiones existentes y curvas de aprendizaje. La mitigación común es ir gradualmente: empezar con SSE para reemplazar VPN y proxy, mantener SD-WAN actual, y consolidar al renovar contratos.

Skill gap. Los equipos de redes y de seguridad típicamente operaban en silos. SASE exige convergencia: una persona o equipo debe entender enrutamiento, políticas Zero Trust, identidad, DLP y operación cloud-delivered. La mitigación es entrenamiento formal y elegir telco gestionado mientras se desarrolla capacidad interna.

Costo de migración. Romper contratos MPLS o reemplazar appliances no amortizados es contable doloroso. La mitigación es planificar la transición a 18-24 meses, alineando vencimientos contractuales con cutover técnico, y construir el caso de negocio sobre ahorro recurrente más reducción de incidentes, no solo CAPEX.

Conclusión: la convergencia es el camino, decide la cadencia

La pregunta “¿migrar a SASE?” dejó de ser estratégica para volverse operativa: la mayoría de las empresas chilenas medianas y grandes terminarán en una arquitectura convergente en los próximos 36 meses. La pregunta real es la cadencia: SSE primero como puente o SASE completo single-vendor en una sola apuesta.

Para 2026, las condiciones del mercado chileno son las correctas: 5G maduro con 10 millones de conexiones, fibra accesible y barata, telcos locales con oferta gestionada y todos los vendors líderes disponibles vía partners. La mejor decisión depende del estado del contrato WAN actual, la capacidad operativa interna y el apetito por consolidación versus best-of-breed.

El error caro a evitar es seguir agregando capas (otro firewall, otro CASB, otra VPN nueva) sin un plan convergente de 24 meses. Cada nueva capa añade complejidad operativa que SASE precisamente está diseñada para eliminar. La evaluación correcta empieza por mapear el stack actual, identificar contratos y appliances con vencimiento próximo, y diseñar el camino de menor disrupción hacia la convergencia.

Preguntas frecuentes sobre SASE en empresas chilenas 2026

¿Cuál es la diferencia entre SD-WAN y SASE en términos prácticos?

SD-WAN gestiona el transporte WAN: elige la mejor ruta entre MPLS, internet o LTE/5G según condiciones, prioriza tráfico crítico y reduce costo. SASE incluye SD-WAN pero suma seguridad cloud-delivered: ZTNA reemplaza VPN, SWG filtra navegación, CASB protege SaaS como Microsoft 365 y FWaaS entrega firewall desde la nube. SD-WAN es transporte; SASE es transporte más seguridad convergente en un solo plano de control.

¿Qué proveedores SASE tienen presencia real en Chile en 2026?

Movistar Empresas (Cisco), Entel Corporaciones (Fortinet/Cisco), Cirion (multi-vendor managed) y GTD (SD-WAN gestionado). Como vendors directos vía partners están Fortinet, Cisco, Palo Alto Networks, Cato Networks, Netskope y Zscaler. Los cuatro primeros fueron líderes del Magic Quadrant SASE 2025 de Gartner. Todos los líderes globales tienen distribución en Chile vía partners certificados.

¿Cuándo conviene SSE-first antes de SASE completo?

SSE-first conviene cuando se necesita modernizar la seguridad de acceso (reemplazar VPN por ZTNA, agregar CASB para SaaS) sin tocar todavía el transporte WAN. Es típico cuando ya hay un SD-WAN reciente o cuando el equipo de seguridad va más adelantado que el de redes. SASE completo single-vendor entrega más simplicidad operativa pero requiere consolidar contratos y procesos. Gartner llamó “SASE Platforms” al MQ 2025 para reflejar esta segmentación.

¿Qué penetración de 5G hay en Chile y cómo se relaciona con SASE?

Chile superó los 10,16 millones de conexiones 5G a enero 2026 (45% del mercado móvil), con +62,3% YoY según Subtel vía TeleSemana. Para SASE, el 5G habilita branch offices y sitios remotos con baja latencia sin tendido de fibra y facilita incluir IoT industrial bajo políticas consistentes. Empresas con plantas o sucursales fuera de zonas urbanas son las primeras beneficiadas.

¿Qué barreras frenan la adopción de SASE en empresas chilenas?

Las tres barreras más comunes son fragmentación tecnológica (vendors distintos que no integran), skill gap operativo (equipos saben redes o seguridad por separado, no convergidas) y costo de migración desde MPLS legado o VPN tradicional. Gartner identifica además el lock-in single-vendor como trade-off por la simplicidad. Para empresas medianas, la recomendación común es empezar con SSE (capa de seguridad) y agregar SD-WAN una vez probado el modelo cloud-delivered.