¿Por qué el perímetro murió?
Durante décadas, la seguridad IT operó bajo un modelo simple: todo lo que está dentro de la red es de confianza. Firewalls en el borde, VPNs para el acceso remoto y la asunción de que los atacantes estaban siempre fuera.
Ese modelo tiene un problema fundamental: si el atacante consigue entrar, tiene acceso a todo. Los ataques modernos explotan exactamente esta debilidad:
- Credenciales comprometidas mediante phishing
- Movimiento lateral por la red interna
- Exfiltración de datos durante semanas o meses sin detección
El principio "Never Trust, Always Verify"
Zero Trust se basa en tres pilares:
- Verificar siempre — No asumir confianza por ubicación de red
- Mínimo privilegio — Solo el acceso necesario, en el momento necesario
- Asumir la brecha — Diseñar como si el atacante ya estuviera dentro
Componentes clave
Identity Provider (IdP)
El IdP es el corazón de Zero Trust. Toda autenticación pasa por él. Soluciones: Okta, Azure AD, Keycloak (open source).
Microsegmentación
En lugar de red plana, segmentos con controles granulares. Un servidor web comprometido no puede comunicarse con la base de datos sin una regla explícita.
Modelo de madurez CISA
| Pilar | Tradicional | Avanzado | Óptimo |
|---|---|---|---|
| Identidad | MFA básico | MFA adaptativo | Análisis continuo |
| Dispositivos | Inventario | EDR | Confianza dinámica |
| Redes | VPN | Microsegmentación | ZTNA completo |
| Datos | Clasificación | DLP | Cifrado ubicuo |
Conclusión
Zero Trust no es un producto. Es un cambio de paradigma: la identidad es el nuevo perímetro. Empieza por MFA universal y mínimo privilegio para obtener el mayor impacto.