Tailscale — Nuestra arma secreta para una infraestructura limpia y segura en Cubiq.lat

No nos andemos con rodeos: las formas clásicas de dar acceso a los desarrolladores a los servidores son una tortura especial.

¿Abrir SSH a internet? Felicitaciones, ahora alojas el objetivo de fuerza bruta más popular del mundo.
¿Montar una VPN tradicional? Prepárate para sesiones eternas de onboarding, plegarias por traversal de NAT y el inevitable ticket de “se conecta pero no funciona nada”.

En Cubiq.lat decidimos que preferimos gastar nuestra energía construyendo en lugar de cuidar configuraciones de red. Así que trajimos a Tailscale… y silenciosamente cambió todo.

Nuestros servidores ahora viven en una malla privada y encriptada que es completamente invisible desde afuera. Los miembros autorizados del equipo se conectan desde cualquier lugar (cafés de Montevideo, espacios de coworking random, playas reales) como si todo estuviera en localhost. Sin dramas, solo fluidez.

Por qué realmente nos gusta Tailscale (y lo mantenemos)

Buscábamos tres cosas irrenunciables: seguridad real, cero fricción en el onboarding y libertad para entregar rápido sin rituales de pedir reglas de firewall.

Tailscale cumple con las tres mientras hace que las soluciones legacy parezcan piezas de museo.

Seguridad que no requiere vigilancia constante

Los puertos expuestos públicamente son la forma en que las empresas terminan en titulares que preferimos evitar.

Tailscale construye una superposición Zero Trust propiamente dicha (con WireGuard debajo, naturalmente). Cada conexión está encriptada de extremo a extremo y controlada por identidad —no por direcciones IP que se pueden falsificar, compartir o rotar en un café.

Sin endpoints públicos. Sin hosts bastión acumulando polvo y vulnerabilidades. Solo “estás en el tailnet → aquí tienes tu servidor”. La superficie de ataque se reduce drásticamente. Las funciones de 2026 como peer-relay y workload identity lo hacen aún más limpio para pipelines y cargas de trabajo en el edge.

Felicidad para desarrolladores que ni sabíamos que era posible

¿Te acordás de pasar medio día explicándole a un nuevo compañero perfiles de VPN, archivos de configuración y por qué su ISP lo odia?

Ya no hacemos eso.

Un solo binario, un solo login (Google, GitHub, lo que funcione), unirse al tailnet… y de repente los nombres amigables simplemente funcionan: db-primary, staging-api, rabbitmq-nightmare. Sin toggle de VPN. Sin ruleta de split-tunnel. Sin diplomacia de reglas de firewall.

El traversal de NAT es automático. Multi-cloud es trivial. ¿Dev en 4G irregular en el campo? Sigue funcionando.

El onboarding pasó de “por favor sobreviví esta tarde” a “bienvenido, ya estás conectado”. La gente entrega más rápido porque no está peleando con la red.

Control que realmente se mantiene manejable

Las reglas de acceso viven como código (fans de GitOps, regocíjense). ¿Necesitás limitar al pasante solo a staging? Una política. ¿Alguien deja la empresa? Revocás en segundos desde el dashboard.

Logs de auditoría centralizados, permisos basados en roles y un único panel de vidrio significan que realmente sabemos quién tocó qué… sin más sesiones SSH misteriosas.

La parte donde nos jactamos (porque nos lo ganamos)

Tailscale nos permitió:

• Eliminar prácticamente nuestra superficie de ataque pública
• Convertir la conectividad de desarrolladores en algo que no es un problema
• Obtener control de nivel enterprise sin la burocracia de nivel enterprise

En un mar de herramientas “seguras porque son complicadas”, Tailscale destaca por ser seguro y simple. No estamos patrocinados —solo somos fans de todo lo que deja de hacernos perder tiempo.

Si tu infraestructura todavía se siente como si estuviera corriendo con lógica de red de 2010, probá Tailscale. Unite al tailnet, mirá cómo desaparece el sinsentido y volvé a construir.

¿Preguntas? Escribinos —nos encanta demasiado este tema.

Mantente atento, mantente invisible.
— El equipo de Cubiq.lat