Zero Trust.

Zero Trust es el modelo de seguridad en el que se deja de confiar en el perímetro de red. Cada decisión de acceso se autentica, autoriza y evalúa en contexto, en cada ocasión. La identidad se convierte en el perímetro. Nació en Forrester, lo popularizó BeyondCorp de Google y lo codificó NIST SP 800-207. Vaya más allá de los argumentarios de los fabricantes: es una arquitectura, no un producto.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La perspectiva de Cyber Academy

Zero Trust es el modelo de seguridad en el que se deja de confiar en el perímetro de red. Cada decisión de acceso se autentica, autoriza y evalúa en contexto, en cada ocasión. La identidad se convierte en el perímetro. Nació en Forrester, lo popularizó BeyondCorp de Google y lo codificó NIST SP 800-207. Vaya más allá de los argumentarios de los fabricantes: es una arquitectura, no un producto.

De la confianza perimetral a la verificación de cada solicitud

El modelo tradicional trataba la red corporativa como una zona de confianza. Una vez dentro del cortafuegos, a través de la VPN, detrás del perímetro, se te concedía implícitamente confianza para moverte lateralmente. El Zero Trust rechaza esa premisa. No existe un interior de confianza. Una solicitud desde un portátil conectado a la red local de la oficina se trata con la misma sospecha que una solicitud desde una cafetería, porque la ubicación ya no se gana la confianza. Cada decisión de acceso se toma de nuevo: quién pregunta, desde qué dispositivo, con qué postura, para qué recurso, en qué contexto, y si esa combinación está autorizada en este preciso momento.

Esto importa porque el perímetro se disolvió en la práctica hace años. El personal trabaja desde casa, las aplicaciones residen en el SaaS de un tercero, y una sola credencial robada mediante phishing solía significar libertad de movimiento por todo el parque. El Zero Trust reduce ese radio de impacto. El atacante que roba una contraseña todavía se enfrenta a comprobaciones de dispositivo, autorización continua y segmentación en cada salto, de modo que una sola vulneración ya no se convierte en una brecha completa.

Lo que los profesionales construyen realmente

Mira más allá de las presentaciones comerciales de los proveedores. El Zero Trust es una arquitectura y un modelo operativo, no una caja que se compra. NIST SP 800-207 lo describe en términos de un motor de políticas que toma las decisiones, un administrador de políticas que las aplica, y puntos de aplicación de políticas situados delante de los recursos. El trabajo práctico consiste en hacer de la identidad el plano de control y verificar cada solicitud frente a la política. Los bloques de construcción recurrentes son:

  • Identidad y autenticación sólidas, con MFA como base en lugar de como añadido, para que la identidad que origina una solicitud quede verificada de verdad.
  • Postura y estado de salud del dispositivo, porque un usuario verificado en un dispositivo comprometido o no gestionado sigue siendo un riesgo que merece evaluarse.
  • Mínimo privilegio y acceso justo a tiempo, concediendo los derechos más reducidos necesarios y eliminando el acceso permanente que los atacantes adoran heredar.
  • Microsegmentación, para que un punto de apoyo en una carga de trabajo no abra un camino plano hacia todo lo demás.
  • Evaluación y registro continuos, porque la confianza se reevalúa a medida que cambia el contexto, y no se concede una sola vez al iniciar sesión y se olvida.

En qué se diferencia de ideas vecinas

El Zero Trust es fácil de confundir con los principios sobre los que se construye. El mínimo privilegio es uno de sus ingredientes: limita lo que una identidad puede alcanzar, pero por sí solo todavía da por sentado que la red es de confianza. La defensa en profundidad es el instinto más antiguo y amplio de superponer controles independientes; el Zero Trust es una forma específica de eliminar ese interior blando y de confianza que las defensas en capas clásicas solían dejar en su sitio.

La gestión de identidades y accesos aporta la maquinaria, los directorios, la autenticación y la autorización, que el Zero Trust utiliza como base. En pocas palabras, el IAM, el MFA y el mínimo privilegio son componentes, mientras que el Zero Trust es la filosofía de diseño que los orquesta en una verificación continua y contextual.

En el panorama de normas y políticas, la idea es ya predominante. NIST SP 800-207 es la definición de referencia, y el NIST ha publicado guías complementarias de implementación. En Estados Unidos, los mandatos gubernamentales han impulsado a las agencias hacia arquitecturas Zero Trust, y organismos europeos como ENISA lo citan como una dirección de avance hacia una seguridad resiliente y centrada en la identidad. Los auditores esperan cada vez más ver los principios reflejados en el diseño de accesos, incluso cuando un marco no nombra el Zero Trust de forma explícita.

Frequently asked questions

01¿Es el Zero Trust un producto que puedo comprar?

No. El Zero Trust es una arquitectura y un modelo operativo, no un único producto. Los proveedores venden puntos de aplicación y herramientas que ayudan, pero el modelo consiste en hacer que cada decisión de acceso esté impulsada por la identidad, sea contextual y se verifique de forma continua en todo tu parque.

02¿Cuál es la diferencia entre Zero Trust y mínimo privilegio?

El mínimo privilegio limita lo que una identidad tiene permitido alcanzar y es uno de los ingredientes del Zero Trust. El Zero Trust es más amplio: elimina por completo la confianza implícita en la red y verifica cada solicitud de forma continua, combinando mínimo privilegio, identidad sólida y postura del dispositivo.

03¿Por dónde empiezo con el Zero Trust?

La mayoría de los programas empiezan por la identidad: autenticación sólida y MFA como base. A partir de ahí ajustas los privilegios, añades acceso justo a tiempo, segmentas la red y construyes una supervisión continua. Es un trayecto incremental, no un único interruptor.

04¿Qué norma define el Zero Trust?

NIST SP 800-207 es la referencia más citada. Define los componentes centrales, un motor de políticas, un administrador de políticas y puntos de aplicación de políticas, y plantea el Zero Trust como una arquitectura en lugar de como una tecnología específica.

05¿Sustituye el Zero Trust a las VPN y los cortafuegos?

No exactamente. Cambia su papel. La ubicación en la red ya no concede confianza, de modo que un túnel VPN por sí solo nunca es suficiente. Los cortafuegos y la segmentación siguen siendo puntos de aplicación útiles, pero se sitúan dentro de un modelo en el que cada solicitud sigue autenticándose y autorizándose.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.