¿Por qué el perímetro murió?
Durante décadas, la seguridad IT operó bajo un modelo simple: todo lo que está dentro de la red es de confianza. Firewalls en el borde, VPNs para el acceso remoto y la asunción de que los atacantes estaban siempre fuera.
Ese modelo tiene un problema fundamental: si el atacante consigue entrar, tiene acceso a todo.
Los ataques modernos explotan exactamente esta debilidad:
- Credenciales comprometidas mediante phishing
- Movimiento lateral por la red interna
- Exfiltración de datos durante semanas o meses sin detección
El principio "Never Trust, Always Verify"
Zero Trust, popularizado por John Kindervag en Forrester (2010) y adoptado masivamente tras el informe NIST SP 800-207 (2020), se basa en tres pilares:
- Verificar siempre — No asumir confianza basándose en la ubicación de red
- Mínimo privilegio — Dar solo el acceso necesario, en el momento necesario
- Asumir la brecha — Diseñar como si el atacante ya estuviera dentro
Componentes clave de una arquitectura Zero Trust
Identity Provider (IdP)
El IdP es el corazón de Zero Trust. Toda autenticación pasa por él. Soluciones populares: Okta, Azure AD, Keycloak (open source).
Policy Engine y Policy Enforcement Point
El Policy Engine evalúa si una solicitud debe ser concedida, basándose en:
- Identidad del usuario y del dispositivo
- Postura de seguridad del dispositivo (EDR, parches al día)
- Contexto: hora, ubicación, comportamiento histórico
- Clasificación del recurso solicitado
Microsegmentación
En lugar de una red plana, se crean segmentos con controles de acceso granulares. Un servidor web comprometido no puede comunicarse con la base de datos si no hay una regla explícita que lo permita.
Implementación gradual: el modelo de madurez CISA
CISA define 5 pilares para Zero Trust con 3 niveles de madurez (Tradicional → Avanzado → Óptimo):
| Pilar | Tradicional | Avanzado | Óptimo |
|---|---|---|---|
| Identidad | MFA básico | MFA adaptativo | Análisis continuo de riesgo |
| Dispositivos | Inventario | EDR | Confianza dinámica |
| Redes | VPN | Microsegmentación | ZTNA completo |
| Aplicaciones | SSO | RBAC granular | ABAC dinámico |
| Datos | Clasificación | DLP | Cifrado ubicuo |
Errores comunes al implementar Zero Trust
"Zero Trust es un producto, no una estrategia"
El mayor error es comprar una solución de un vendor y creer que ya tienes Zero Trust. Es un proceso continuo que requiere visibilidad completa, cambio cultural y una iteración gradual.
Conclusión
Zero Trust no es una moda ni un producto. Es un cambio de paradigma que reconoce la realidad de la seguridad moderna: la identidad es el nuevo perímetro. Empezar con MFA universal, mínimo privilegio y visibilidad completa ya supone una mejora enorme respecto al modelo tradicional.