Zero Trust: la arquitectura de seguridad que toda empresa necesita

Durante décadas, el modelo de seguridad empresarial se basó en una premisa simple: todo lo que está dentro de la red corporativa es de confianza; todo lo que está fuera, no. Este enfoque de «castillo y foso» funcionó razonablemente bien cuando los empleados trabajaban en oficinas fijas, las aplicaciones vivían en servidores propios y los datos raramente salían del perímetro. Ese mundo ya no existe.

El teletrabajo masivo, la adopción de servicios en la nube, los accesos de terceros y proveedores, y la proliferación de dispositivos personales (BYOD) han disuelto el perímetro de red tradicional. Hoy, un atacante que compromete las credenciales de un empleado puede moverse lateralmente por la red durante semanas sin activar ninguna alarma, porque el sistema lo considera «de confianza». Zero Trust nació para resolver exactamente ese problema.

Zero Trust no es un producto, sino un modelo estratégico de seguridad cuya premisa es radicalmente diferente: nunca confíes, siempre verifica. Este artículo explora qué significa Zero Trust en la práctica, cómo se diferencia del modelo tradicional, qué componentes lo componen y cómo puede una empresa —independientemente de su tamaño— comenzar a implantarlo de forma ordenada.

El origen y evolución del modelo Zero Trust

El término Zero Trust fue acuñado por John Kindervag, analista de Forrester Research, en torno a 2010, aunque los principios conceptuales llevan más tiempo discutiéndose en la comunidad de seguridad. Google publicó en 2014 su artículo BeyondCorp, que describía cómo la empresa había eliminado el uso de VPN tradicional y basaba el acceso en la identidad y el estado del dispositivo, independientemente de la red desde la que se conectaba el usuario. Ese paper se convirtió en el caso de referencia más influyente de Zero Trust en entornos corporativos reales.

En 2020, el NIST publicó la Special Publication 800-207, que ofrece la definición técnica más completa y rigurosa del modelo Zero Trust Architecture (ZTA). Desde entonces, gobiernos como el de Estados Unidos —con la Orden Ejecutiva sobre Ciberseguridad de 2021— y marcos regulatorios europeos como NIS2 han incorporado los principios de Zero Trust como referencia para la modernización de la seguridad en organizaciones críticas.

Los tres principios fundamentales de Zero Trust

Zero Trust se construye sobre tres principios que, aplicados de forma consistente, reducen drásticamente la superficie de ataque de cualquier organización.

1. Verificar explícitamente siempre: toda solicitud de acceso —sea de un usuario, un dispositivo o una aplicación— debe autenticarse y autorizarse de forma explícita en cada interacción, sin asumir confianza por estar en la red corporativa o haber sido verificado anteriormente.
2. Aplicar el principio de mínimo privilegio: cada usuario, servicio o dispositivo debe tener acceso únicamente a los recursos estrictamente necesarios para realizar su función, durante el tiempo estrictamente necesario. El acceso amplio y permanente es el combustible de los movimientos laterales.
3. Asumir la brecha (Assume Breach): diseñar los controles de seguridad partiendo de la premisa de que el atacante ya está dentro. Esto lleva a segmentar la red, cifrar las comunicaciones internas y monitorizar el tráfico este-oeste (entre sistemas internos), no solo el norte-sur (entrada y salida del perímetro).

Qué no es Zero Trust

Antes de entrar en la implementación, conviene despejar algunos malentendidos que el marketing del sector ha generado. Zero Trust no es un firewall de nueva generación, no es una VPN mejorada, no es un producto específico que se compra e instala, y tampoco es algo que se consigue en semanas. Es un modelo de madurez que las organizaciones alcanzan de forma incremental, y ningún proveedor —por muy completo que sea su portfolio— puede proporcionar Zero Trust completo de forma aislada.

Los pilares tecnológicos de una arquitectura Zero Trust

El NIST y otros marcos de referencia identifican varios pilares o dominios sobre los que se construye una arquitectura Zero Trust. Cada pilar representa un área de capacidades que debe evolucionar desde el modelo tradicional hacia uno basado en verificación continua y mínimo privilegio.

Identidad y gestión de accesos (IAM)

La identidad es el nuevo perímetro. En Zero Trust, la verificación de identidad es el primer y más crítico control. Esto implica implementar autenticación multifactor (MFA) para todos los usuarios y, especialmente, para las cuentas privilegiadas. Las soluciones de Identity and Access Management (IAM) como Microsoft Entra ID (antes Azure AD), Okta o Ping Identity permiten gestionar identidades de forma centralizada, aplicar políticas de acceso condicional y detectar comportamientos anómalos. El Privileged Access Management (PAM), con soluciones como CyberArk, BeyondTrust o Delinea, gestiona específicamente las cuentas de máximo privilegio con controles adicionales como bóvedas de credenciales y grabación de sesiones.

Dispositivos y salud del endpoint

No basta con verificar al usuario; también hay que verificar el dispositivo desde el que se conecta. Una cuenta legítima accediendo desde un dispositivo comprometido es un riesgo igualmente grave. Los sistemas de Mobile Device Management (MDM) y Unified Endpoint Management (UEM) como Microsoft Intune, Jamf o VMware Workspace ONE permiten evaluar el estado de salud del dispositivo (parches aplicados, antivirus activo, configuración conforme) como condición para conceder acceso. Este concepto se denomina device compliance o postura del dispositivo.

Red y microsegmentación

En el modelo tradicional, una vez dentro de la red el atacante puede moverse libremente. La microsegmentación divide la red en segmentos pequeños y aislados, de modo que el compromiso de un sistema no implica automáticamente el acceso al resto. Herramientas como VMware NSX, Illumio, Guardicore (Akamai) o las funcionalidades nativas de los cloud providers permiten aplicar políticas de segmentación granulares basadas en la identidad de la carga de trabajo, no solo en rangos de IP. Las soluciones de Software-Defined Perimeter (SDP) y ZTNA (Zero Trust Network Access) —como Cloudflare Access, Zscaler Private Access o Palo Alto Prisma Access— reemplazan la VPN tradicional por acceso basado en identidad y contexto.

Aplicaciones y datos

El acceso a las aplicaciones debe concederse de forma individual, aplicación por aplicación, y nunca en forma de acceso amplio a una red. Los brokers de acceso a aplicaciones en la nube (CASB) como Microsoft Defender for Cloud Apps, Netskope o Zscaler CASB proporcionan visibilidad y control sobre el uso de aplicaciones SaaS, detectan accesos anómalos y pueden aplicar políticas de prevención de pérdida de datos (DLP). La clasificación y etiquetado de datos —con herramientas como Microsoft Purview— es fundamental para saber qué datos requieren controles más estrictos.

Zero Trust Network Access versus VPN tradicional

La VPN tradicional crea un túnel que conecta el dispositivo del usuario a la red corporativa entera. Si ese dispositivo está comprometido, el atacante obtiene acceso a toda la red. ZTNA invierte ese modelo: en lugar de conectar al usuario a la red, conecta al usuario a la aplicación específica que necesita usar, verificando identidad y postura del dispositivo en cada solicitud. El usuario nunca tiene visibilidad ni acceso a otros sistemas de la red. El resultado es una reducción radical de la superficie de ataque y una experiencia de usuario generalmente más fluida que la VPN, sin los problemas de rendimiento que esta suele generar.

En Zero Trust, la confianza nunca se asume; se gana en cada transacción, se verifica con datos y se revoca en cuanto el contexto cambia.

Cómo implementar Zero Trust: una hoja de ruta práctica

La implementación de Zero Trust es un proceso gradual que puede llevar entre uno y tres años dependiendo de la madurez inicial de la organización. Intentar hacerlo todo a la vez es el camino más rápido al fracaso. La siguiente hoja de ruta está ordenada por impacto y viabilidad para la mayoría de las empresas.

Fase 1: Visibilidad e inventario

No se puede proteger lo que no se conoce. El punto de partida es construir un inventario completo de identidades (usuarios, cuentas de servicio, cuentas privilegiadas), dispositivos (gestionados y no gestionados), aplicaciones y datos críticos. Esta fase también implica mapear los flujos de acceso actuales: quién accede a qué, desde dónde y con qué frecuencia. Herramientas de descubrimiento de activos, soluciones CMDB y revisiones manuales de permisos en Active Directory son el pan de cada día en esta fase.

Fase 2: Fortalecer la identidad

Una vez completado el inventario, la segunda fase se centra en la identidad. El primer paso concreto es activar MFA para todos los usuarios, empezando por los administradores y los usuarios con acceso a sistemas críticos. El segundo paso es revisar y depurar los permisos: eliminar cuentas inactivas, revisar grupos de seguridad, aplicar el principio de mínimo privilegio. El acceso condicional —que permite o deniega el acceso según el estado del dispositivo, la ubicación, el riesgo de inicio de sesión y otros factores— debe configurarse en el directorio de identidades.

Fase 3: Proteger los dispositivos

La tercera fase implica asegurarse de que todos los dispositivos que acceden a los recursos corporativos cumplen unos requisitos mínimos de seguridad. Esto significa enrolar los endpoints en una solución MDM/UEM, desplegar EDR en todos los equipos, garantizar que los parches de seguridad se aplican de forma sistemática y establecer políticas de acceso condicional que bloqueen el acceso desde dispositivos no conformes.

Fase 4: Segmentar la red y migrar hacia ZTNA

En paralelo o tras completar las fases anteriores, la organización puede empezar a segmentar la red y a evaluar la sustitución progresiva de la VPN por una solución ZTNA. Esta fase suele ser la más técnicamente compleja y la que mayor impacto tiene en la infraestructura existente. Una estrategia de migración gradual —empezando por los usuarios remotos o las aplicaciones menos críticas— permite aprender sin interrumpir el negocio.

Zero Trust en entornos multi-nube e híbridos

La mayoría de las empresas operan hoy en entornos híbridos que combinan infraestructura on-premise con uno o varios proveedores de nube (Azure, AWS, GCP). Aplicar Zero Trust en estos entornos requiere una estrategia de identidad unificada que abarque todos los entornos, una política de acceso consistente independientemente de dónde esté la aplicación, y herramientas de visibilidad que correlacionen eventos de múltiples nubes. Los Cloud Security Posture Management (CSPM) y los Cloud Native Application Protection Platforms (CNAPP) son cada vez más relevantes en este contexto.

Casos de uso empresariales donde Zero Trust marca la diferencia

• Acceso de terceros y proveedores: en lugar de dar a un proveedor externo acceso VPN a toda la red, ZTNA le concede acceso únicamente al sistema específico que necesita, con registro completo de la sesión.
• Fusiones y adquisiciones: durante la integración de una empresa adquirida, Zero Trust permite gestionar el acceso de los nuevos empleados sin necesidad de integrar previamente sus redes.
• Trabajo remoto e híbrido: los empleados en remoto acceden a las aplicaciones con el mismo nivel de seguridad que en la oficina, sin depender de una VPN corporativa.
• Protección de activos de alto valor: bases de datos financieras, sistemas de ERP o repositorios de propiedad intelectual pueden aislarse mediante microsegmentación y acceso de just-in-time (JIT).
• Cumplimiento regulatorio: la granularidad de los controles de Zero Trust facilita la auditoría y la demostración de cumplimiento frente a normativas como el RGPD, PCI-DSS o el ENS.

Errores habituales en la adopción de Zero Trust

• Tratar Zero Trust como un proyecto con fecha de fin en lugar de un modelo de madurez continuo.
• Empezar por la tecnología en lugar de por la estrategia: sin un mapa claro de activos y flujos de acceso, cualquier inversión tecnológica es ineficiente.
• Ignorar la experiencia del usuario: controles de seguridad que dificultan el trabajo diario generan resistencia y workarounds que socavan la seguridad.
• Descuidar las cuentas de servicio y las identidades no humanas: los procesos automatizados y las integraciones entre sistemas también son vectores de ataque.
• Pensar que un único proveedor cubre todo el modelo Zero Trust: la realidad es que una arquitectura ZTA madura requiere integrar capacidades de múltiples herramientas.

Medición de la madurez Zero Trust

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha publicado el Zero Trust Maturity Model, que define cinco pilares (identidad, dispositivos, redes, aplicaciones/cargas de trabajo y datos) con tres niveles de madurez para cada uno (tradicional, avanzado y óptimo). Es un marco útil para que las organizaciones evalúen su posición actual y tracen una hoja de ruta de mejora. En España, el CCN ha publicado guías técnicas alineadas con estos principios en el marco del Esquema Nacional de Seguridad.

Conclusión

Zero Trust no es una moda ni una promesa de marketing: es la respuesta arquitectural más sólida al panorama de amenazas actual, donde el perímetro de red ya no existe como concepto relevante. Adoptarlo requiere un compromiso a largo plazo, una planificación cuidadosa y la colaboración entre equipos de IT, seguridad y negocio. Pero las organizaciones que avanzan por este camino —aunque sea de forma incremental— consiguen una postura de seguridad radicalmente más resistente frente a los ataques más sofisticados. El mejor momento para empezar fue hace un año; el segundo mejor momento es hoy.