El modelo de seguridad tradicional asume que todo lo que está dentro de la red es confiable. Zero Trust asume exactamente lo contrario. Le explicamos por qué este cambio de paradigma es hoy la única respuesta coherente al panorama de amenazas moderno.
Durante décadas, la arquitectura de seguridad empresarial se construyó sobre una premisa aparentemente lógica: "Construimos una muralla alrededor de nuestra red, y todo lo que está dentro de la muralla es confiable." Esta es la filosofía del modelo conocido como "castillo y foso" —o castle-and-moat en inglés— y durante los años 90 y principios de los 2000, funcionó razonablemente bien.
El problema es que ese mundo ya no existe.
Por qué el modelo tradicional colapsó
Tres cambios fundamentales destruyeron la premisa del perímetro confiable:
1. La nube disolvió el perímetro. Sus datos ya no están en un servidor físico en su oficina. Están en Microsoft 365, en Google Workspace, en un ERP en la nube, en una plataforma de pagos externa. No existe un "adentro" y un "afuera" claramente definidos cuando sus activos más críticos viven en docenas de servicios de terceros distribuidos por el planeta.
2. El trabajo remoto eliminó la ubicación como factor de confianza. Si un empleado se conecta desde casa, desde un aeropuerto, desde un café, o desde una VPN comprometida, ¿su dirección IP corporativa garantiza que es quien dice ser? No. La ubicación de red dejó de ser un indicador confiable de identidad.
3. Los ataques más devastadores provienen desde adentro. El 82% de las brechas de datos más costosas documentadas por Verizon en su Data Breach Investigations Report involucran credenciales comprometidas. Es decir, un atacante que ya está "adentro" de la red porque robó las credenciales de un usuario legítimo. Una arquitectura que confía en todo lo que está dentro del perímetro es ciega a esta amenaza.
El principio fundacional de Zero Trust: "Nunca confíes, siempre verifica"
Zero Trust no es un producto que se compra. Es un principio arquitectónico que dice: ningún usuario, dispositivo o sistema debe ser confiable por defecto, sin importar si está dentro o fuera de la red corporativa. Cada solicitud de acceso debe ser autenticada, autorizada y validada continuamente.
El término fue acuñado por el analista John Kindervag de Forrester Research en 2010, y desde entonces ha sido adoptado como marco oficial por el gobierno de los Estados Unidos (NIST SP 800-207), la Unión Europea y los principales estándares de la industria.
Los tres pilares de Zero Trust
Pilar 1: Verificar explícitamente la identidad
En un modelo Zero Trust, la identidad es el nuevo perímetro. Cada solicitud de acceso —un empleado que abre el CRM, una aplicación que consulta una base de datos, un dispositivo IoT que envía datos— debe pasar por una verificación de identidad robusta.
Esto implica:
- Autenticación Multifactor (MFA) universal: No solo para VPN o sistemas críticos. Para absolutamente todo. Un nombre de usuario y contraseña solos son insuficientes; deben complementarse con un segundo factor (app de autenticación, llave hardware, biometría).
- Identity Provider centralizado: Un sistema único que gestiona todas las identidades —empleados, contratistas, aplicaciones de servicio— y aplica políticas consistentes de acceso.
- Evaluación continua del riesgo de sesión: Si un empleado inicia sesión en Madrid a las 9am y un minuto después hay un intento de acceso desde Shanghái, eso es una señal de alerta que debe bloquear automáticamente la sesión, sin importar que la contraseña sea correcta.
Pilar 2: Privilegio mínimo y microsegmentación
El segundo pilar dice que incluso las identidades verificadas deben tener acceso únicamente a los recursos que necesitan para su función específica, y nada más. Esto se conoce como el Principio de Mínimo Privilegio.
La microsegmentación lleva este principio al nivel de la red: en lugar de una red corporativa plana donde cualquier dispositivo puede comunicarse con cualquier otro, la red se divide en segmentos pequeños con controles de acceso estrictos entre ellos. Si un atacante compromete una máquina en el área de contabilidad, la microsegmentación evita que pueda moverse lateralmente hacia los servidores de producción o los sistemas de RRHH.
Pilar 3: Asumir la brecha
El tercer pilar es el más incómodo pero el más honesto: asuma que su red ya ha sido comprometida. No como fatalismo, sino como disciplina de diseño.
Si parte de la premisa de que los atacantes ya están dentro, diseñará sus sistemas con controles que limiten el daño que pueden hacer: cifrado de datos en tránsito y en reposo, logs completos de todas las acciones, segmentación que limita el radio de daño de cualquier compromiso, y capacidades de detección que identifiquen movimiento lateral anómalo.
Zero Trust en la práctica para una empresa mediana
Cuando los directivos escuchan "Zero Trust", frecuentemente imaginan un proyecto de transformación de varios años y millones de dólares. La realidad es que la implementación puede y debe ser incremental, priorizando los controles de mayor impacto primero.
Fase 1: Identidad sólida (meses 1-3)
El punto de partida con mayor retorno sobre inversión: implementar MFA en todos los sistemas de acceso, centralizar las identidades en un proveedor de identidad (Azure AD / Entra ID, Google Workspace, Okta), y revisar los privilegios de todos los usuarios para eliminar accesos excesivos que se acumularon con los años.
Fase 2: Visibilidad total (meses 3-6)
No se puede proteger lo que no se ve. Implemente logging centralizado de todos los accesos y acciones en sistemas críticos. Establezca alertas para comportamientos anómalos: inicio de sesión en horarios inusuales, descargas masivas de datos, acceso a recursos no habituales para ese usuario.
Fase 3: Microsegmentación de red (meses 6-12)
Diseñe y aplique segmentación de red que separe por lo menos: red de usuarios, red de servidores de producción, red de desarrollo/QA, red de dispositivos IoT/impresoras, y red de visitantes/invitados. El tráfico entre segmentos debe ser explícitamente autorizado y registrado.
Fase 4: Madurez y automatización (año 2 en adelante)
Implementar acceso condicional que evalúe automáticamente el riesgo de cada solicitud en tiempo real, integrar señales de postura del dispositivo (¿el equipo tiene el antivirus actualizado? ¿tiene el disco cifrado?), y construir capacidades de respuesta automatizada ante incidentes.
Zero Trust y el cumplimiento normativo
Un beneficio poco discutido de Zero Trust es que sus controles se alinean naturalmente con los principales marcos normativos. Si su empresa necesita prepararse para ISO 27001, SOC 2, o la normativa de protección de datos de cualquier mercado en el que opera, la implementación de Zero Trust cubre una porción significativa de los controles requeridos.
Esto convierte la inversión en Zero Trust en un activo de doble retorno: mejora la seguridad operacional y facilita el cumplimiento normativo que habilita el acceso a mercados internacionales.
El error más común al implementar Zero Trust
El error más frecuente es tratar Zero Trust como un proyecto de tecnología en lugar de como un cambio de filosofía operacional. Las empresas compran herramientas Zero Trust pero mantienen procesos y actitudes que contradicen el principio: administradores que usan sus cuentas privilegiadas para navegar en internet, excepciones al MFA "para no molestar" a ciertos ejecutivos, o redes planas que no se segmentan porque "sería demasiado trabajo".
Zero Trust requiere compromiso ejecutivo. La seguridad no puede ser la responsabilidad exclusiva del equipo técnico cuando sus decisiones afectan cómo trabaja cada persona en la organización.
El comienzo del camino
Adoptar Zero Trust no es un destino que se alcanza en una fecha determinada: es un viaje continuo hacia una postura de seguridad más madura. Las organizaciones que hoy lo implementan de forma progresiva y consistente están construyendo la resiliencia que las preparará para las amenazas del mañana.
En Structa Defense, acompañamos a las organizaciones en cada fase de este viaje: desde el diagnóstico inicial hasta la implementación de controles avanzados, siempre con foco en el impacto de negocio y la viabilidad operacional. Su defensa, nuestra estructura.
Artículos relacionados
¿Te resultó útil este artículo? Consulta la guía completa de servicios de ciberseguridad para empresas o solicita una evaluación gratuita del estado de seguridad de tu empresa.