¿Por qué el perímetro murió?

Durante décadas, la seguridad IT operó bajo un modelo simple: todo lo que está dentro de la red es de confianza. Firewalls en el borde, VPNs para el acceso remoto y la asunción de que los atacantes estaban siempre fuera.

Ese modelo tiene un problema fundamental: si el atacante consigue entrar, tiene acceso a todo. Los ataques modernos explotan exactamente esta debilidad:

  • Credenciales comprometidas mediante phishing
  • Movimiento lateral por la red interna
  • Exfiltración de datos durante semanas o meses sin detección

El principio "Never Trust, Always Verify"

Zero Trust se basa en tres pilares:

  1. Verificar siempre — No asumir confianza por ubicación de red
  2. Mínimo privilegio — Solo el acceso necesario, en el momento necesario
  3. Asumir la brecha — Diseñar como si el atacante ya estuviera dentro

Componentes clave

Identity Provider (IdP)

El IdP es el corazón de Zero Trust. Toda autenticación pasa por él. Soluciones: Okta, Azure AD, Keycloak (open source).

Microsegmentación

En lugar de red plana, segmentos con controles granulares. Un servidor web comprometido no puede comunicarse con la base de datos sin una regla explícita.

Modelo de madurez CISA

PilarTradicionalAvanzadoÓptimo
IdentidadMFA básicoMFA adaptativoAnálisis continuo
DispositivosInventarioEDRConfianza dinámica
RedesVPNMicrosegmentaciónZTNA completo
DatosClasificaciónDLPCifrado ubicuo

Conclusión

Zero Trust no es un producto. Es un cambio de paradigma: la identidad es el nuevo perímetro. Empieza por MFA universal y mínimo privilegio para obtener el mayor impacto.