Navegadores para empresas vs. RBI: Pros, contras y mejor ajuste para la empresa

Por Tony Frum - Ingeniero distinguido

11 de septiembre de 2025 8 Minuto de lectura

TL;DR

I once believed Enterprise Browsers (EB) would revolutionize web security—quickly replacing Remote Browser Isolation (RBI), and possibly even Secure Web Gateways (SWG). After working with large enterprise customers and talking to analysts, I’ve changed my perspective. I still believe that EB may fill that role for small and medium businesses, but it may not fit as well in large enterprises.

La promesa de Enterprise Browser

I’ve had my eye on the Enterprise Browser (EB) market for a long time. Having worked with Secure Web Gateways (SWG) for the majority of my two decades in the security market, it’s impossible to ignore the novelty of the technology. If you’re not familiar, Enterprise Browsers generally come in two flavors – either browser extensions or entirely new browsers which are forks of the Chromium project. Both options aim to bring new security controls to the browsers in which users spend most of their workday. These controls can include secure remote access to internal applications, specialized anti-malware detection in the browser itself, encryption of locally stored browser data, and more. What intrigued me the most was the data security controls such as clipboard controls, data masking, watermarking pages, screenshot protection, and upload/download controls. In general, pushing controls down to the endpoint instead of trying to implement everything at the network level opens a lot of doors, so this is a powerful new tool in the web security world. If I’m being honest, I originally saw this as a direct threat to the SWG market as a whole.

Remote Browser Isolation

Hoy en día, la mayoría de los proveedores de SWG recurren Remote Browser Isolation (RBI) para implementar controles en el propio navegador. El RBI, como su nombre indica, pone en marcha una instancia del navegador en un entorno remoto y aislado y carga la página que ha solicitado el usuario. Entonces, el usuario puede ver e interactuar con el navegador de forma remota, pero ninguno de los contenidos de la página se carga en la máquina local del usuario. Dado que la solución RBI incluye su propia implementación del navegador, se pueden incorporar controles a la sesión RBI que reflejan en gran medida lo que hacen hoy en día las soluciones EB. Esto cierra muchas lagunas en los controles basados en la red, como el contenido ilegible, como las aplicaciones con certificado, los Websockets, las codificaciones ilegibles, el doble cifrado y los eventos que sólo se producen localmente, como copiar y pegar utilizando el portapapeles local.

 

Una perspectiva inesperada de un analista

Mi interés por la EB me llevó a sentarme con alguien de una firma de analistas con la que estamos asociados y preguntarle sobre esta nueva tecnología y algunos de los proveedores del mercado. En el transcurso de esta conversación me dijo dos cosas que realmente me sorprendieron. En primer lugar, dijo que EB era "un juego de SMB" más adecuado para pequeñas y medianas empresas que para grandes empresas. Yo trabajo casi exclusivamente con grandes empresas, y había estado pensando de forma muy optimista sobre lo que era posible en ese contexto, así que esto me chocó un poco. Cuando empezó a explicar este punto, mencionó otra cosa que me sorprendió: el precio. Al parecer, la compra media de EB cuesta incluso más que una solución RBI por asiento. Esto me pareció imposible, ya que ofrecer una solución RBI basada en la nube conlleva importantes costes de infraestructura para hacer funcionar todas las instancias del navegador y los costes de tránsito de pasar el tráfico a través de los centros de datos en la nube. EB, por otro lado, lo hace todo localmente en el punto final del usuario, lo que supone un coste operativo casi nulo para el proveedor. Por mucho que lo intentó, el analista no consiguió que ninguna de las dos cosas tuviera sentido para mí. Salí de la conversación pensando que debía de estar equivocado.

El dilema de un cliente en el mundo real

Un año después, más o menos, me pidieron que me reuniera con un gran cliente nuestro que lleva muchos años utilizando nuestra solución SWG. Estaban considerando invertir en añadir RBI a su despliegue de SWG o en adquirir una solución EB. A pesar de lo que el analista me había dicho muchos meses antes, no era optimista en cuanto a que nuestra solución RBI fuera la mejor opción. Mantuve una conversación inicial con el cliente para aclarar sus casos de uso y requisitos, y no había nada especialmente singular o sorprendente. Querían tener la capacidad de conceder acceso a las aplicaciones de "TI en la sombra" y, al mismo tiempo, mantener el control sobre los datos mediante la aplicación de controles de carga/descarga, controles del portapapeles, hacer que las páginas fueran de sólo lectura y algunos otros controles matizados.

Otro caso de uso clave que tenía este cliente, y que es muy común, era tratar con sitios no categorizados. Todas las empresas tienen que lidiar con este clásico catch-22 de determinar cómo manejar los sitios que no están categorizados. Si los bloquea, acabará con un aumento de las solicitudes de ayuda porque la categorización de ningún proveedor es perfecta, por lo que inevitablemente bloqueará algunos sitios legítimos. Por otro lado, si los permite, entonces se está abriendo a un gran riesgo porque la mayoría de las amenazas que existen provendrán de sitios no categorizados. Las empresas casi siempre necesitan una forma de permitir los sitios no categorizados manteniendo la seguridad, y eso es lo que necesitaba este cliente.

A lo largo de mi compromiso con este gran cliente empresarial, me vi obligado a sopesar los pros y los contras de estas dos tecnologías desde su perspectiva. Por el contrario, debido a los comentarios del analista, yo consideraba continuamente las cosas desde la perspectiva de una pequeña empresa. Al final, ¡me di cuenta de que estaba equivocado y de que el analista tenía toda la razón!

La perspectiva de una pequeña empresa

Put yourself in the shoes of a small business of 50-100 employees and consider the challenge of deploying a SWG solution. Such an organization is most likely looking for some very basic controls and a basic level of security. They may have an “IT guy” with some basic knowledge but no serious networking or security expertise. Their infrastructure may lack some key components that are necessary for a successful SWG deployment as well. Now, contrast that with EB. It would be pretty straightforward to push out a new browser app to 100 endpoints, and it could not only eliminate your need to deploy SWG and RBI but also a Zero-Trust Network Access (ZTNA), or “Private Access”, solution. This represents a simple, effective alternative to SWG and, possibly, RBI and ZTNA which might justify such a high price point for a relatively small user base.

La realidad de una gran empresa

Now consider this from the perspective of an enterprise with hundreds of thousands of endpoints, a team of networking experts, a team of security experts, and all the infrastructure that goes along with being a huge enterprise. This changes things entirely. First, let’s assume that such an organization did deploy an EB solution. Deploying to, potentially, hundreds of thousands of endpoints is no small task and hundreds of thousands of users would have to be educated to use this new browser. Additional controls may also have to be in place to prevent them from using non-enterprise browsers for sites where EB controls need to be applied.

Another thing you might not consider is that large enterprises tend to standardize on a single browser such as Google Chrome, and part of their procurement process is to ensure that all the tools they acquire support their chosen browser. How are they to do this with an obscure EB solution? Does Jira officially support my EB of choice? What about the hundreds of other tools our organization uses? This quickly becomes untenable. What’s worse,a large enterprise can’t simply ignore non-browser based HTTP traffic such as requests from a thick client like Microsoft Teams, Google Drive, Slack, and others. This means that even if the EB solution did solve a lot of their use cases, they cannot use it as a SWG replacement.

Bien, ¿y si este cliente desplegara RBI en lugar de EB para lograr sus casos de uso? La implantación sería sin duda más sencilla porque RBI es básicamente una función de SWG que ya tienen. Si utiliza cualquier solución SWG que se precie, la implantación de RBI debería ser un simple proceso de compra de una licencia y habilitación de la función. Sus puntos finales ya están enviando su tráfico web al SWG, por lo que no hay necesidad de tocar sus muchos miles de puntos finales. Sus usuarios no necesitarán mucha formación, si es que necesitan alguna, para su solución RBI, ya que normalmente están diseñadas para ser muy transparentes para el usuario. Incluso si desea que el usuario sepa lo que está ocurriendo, suele ser una opción presentarle una ventana emergente personalizada en la que se le explica que está utilizando una sesión aislada y los controles que podrían aplicarse. Si su solución de SWG utiliza RBI basado en la nube, como hacen muchos, no es necesario realizar cambios en la infraestructura. Dado que la RBI se utiliza generalmente de forma selectiva, es probable que no la aplique a las aplicaciones de confianza utilizadas por su organización, lo que probablemente le exima de la necesidad de probar estas herramientas en su solución de RBI.

Protección antimalware a prueba de balas

One last thing to consider is the catch-22 uncategorized website problem that most large enterprises need to solve. Enterprise Browsers bring improvements to web security by looking for web threats within the browser DOM itself. This allows them to find obfuscated threats after they’ve been delivered and deobfuscated within the DOM. This definitely provides an elevated level of protection for all content loaded in the EB. However, RBI fully isolates the endpoint from the website content. It’s not elevated protection. It’s basically bulletproof protection against malware. Sure, the user can still be tricked by social engineering, but that can be addressed by coaching the user that a page is risky, making the page read-only, preventing uploads or logins, and other similar controls. However, there’s basically no way the endpoint can be compromised by malware via RBI. This empowers customers to allow, but isolate, uncategorized websites without increasing their risk of compromise.

Contratistas y acceso de terceros

Llegados a este punto, puede que piense: "Este tipo está ignorando el escenario del contratista externo", que es un caso de uso común para EB. El caso de uso del contratista externo es cuando usted quiere conceder a un usuario de fuera de su empresa la capacidad de acceder a sus aplicaciones internas y privadas desde un dispositivo que no está gestionado por su empresa. Usted quiere conceder este acceso al tiempo que es capaz de asegurar sus datos y restringir su acceso sólo a lo que necesitan. Sí, es una consideración adicional, pero este mismo paradigma EB vs. RBI también existe en esa situación. La mayoría de las soluciones de ZTNA con todas las funciones, como la nuestra, ofrecen acceso "sin cliente" a aplicaciones privadas, y también pueden aplicar RBI a estas sesiones sin cliente para trasladar los controles de acceso a los datos también a un punto final no gestionado. Esto resulta más sencillo y fluido que pedir a un tercero que instale una aplicación o extensión adicional del navegador para acceder a los datos.

Clasificación y conocimiento de los datos

Una última consideración es la de la clasificación y el conocimiento de los datos. Las soluciones EB siguen siendo una tecnología algo incipiente y, por lo general, los proveedores no disponen de capacidades avanzadas de clasificación de datos. La mayoría utiliza un enfoque relativamente rudimentario basado en expresiones regulares para la clasificación de datos. Los proveedores maduros de SSE que ofrecen SWG y RBI, sin embargo, suelen disponer de tecnologías mucho más robustas como Exact Data Match (EDM), Coincidencia de documentos indexados (IDM), el reconocimiento óptico de caracteres (OCR)clasificación basada en inteligencia artificial, etc.

Customers tend to be heavily invested in these classification mechanisms and have already implemented mature processes around data classification and incident management in these solutions.  This data awareness is often available within isolated sessions which is why the native RBI capability of an incumbent SSE solution might be more attractive than a disjoint EB solution.

Conclusión

Al final, como suele ocurrir, al verme obligado a ver nuestra tecnología a través de la lente del cliente aprendí cosas que de otro modo no habría aprendido. Los Navegadores Empresariales son una tecnología realmente innovadora y muy prometedora, y me entusiasma ver hacia dónde va la tecnología. Sin embargo, para la gran empresa está bastante claro que RBI va a ser a menudo la mejor opción, al menos de momento. 

Volver a Blogs