Zero Trust, o modelo de confianza cero, cambia el enfoque del acceso corporativo. Antes muchas empresas construían la protección alrededor de la red de la oficina. Quien entraba, recibía más confianza. Hoy ese enfoque falla con rapidez. Los empleados trabajan desde casa, los contratistas se conectan a servicios separados, los datos están en la nube, los administradores acceden a paneles de control desde distintas ciudades y los dispositivos de trabajo cambian continuamente de red.
Zero Trust elimina la confianza automática. El sistema verifica cada solicitud y determina quién ingresa, desde qué dispositivo, a qué servicio, con qué privilegios, desde dónde y con qué nivel de riesgo. Si la verificación no pasa, el acceso se limita, requiere confirmación adicional o se bloquea.
El enfoque no surgió como una moda que reemplaza términos antiguos, sino como respuesta a problemas reales como phishing, contraseñas robadas, ataques vía contratistas, portátiles comprometidos, servicios en la nube y permisos demasiado amplios dentro de las empresas. El analista John Kindervag promovió activamente el término Zero Trust, y luego NIST y CISA describieron el modelo en detalle. Hoy el enfoque funciona no como un producto aislado, sino como un conjunto de reglas, procesos y tecnologías.
Qué significa Zero Trust
Zero Trust no significa desconfiar de los empleados. El modelo verifica no las cualidades personales, sino las condiciones técnicas del acceso. Un usuario puede ser de buena fe, pero la contraseña pudo robarse, el portátil pudo infectarse, la sesión pudo caer en manos de un atacante o los permisos antiguos pueden permanecer tras un traslado de puesto.
La idea principal es sencilla. No se puede conceder acceso solo porque el usuario esté en la oficina, se conectó a la VPN o ya inició sesión antes. Para cada acción importante hay que verificar la identidad, el dispositivo, considerar el rol y entender a qué datos accede la persona.
- Verificar explícitamente. Se tienen en cuenta la contraseña, MFA, el dispositivo, la red, el rol, el grupo, la sensibilidad de los datos y las señales de riesgo.
- Conceder los mínimos permisos. El empleado accede solo a los sistemas y datos necesarios para su trabajo.
- Asumir que puede ocurrir una intrusión. Incluso tras un inicio de sesión exitoso, el sistema limita el movimiento entre servicios y registra acciones sospechosas.
En el esquema antiguo la VPN a menudo daba al usuario gran parte de los recursos internos. En Zero Trust el acceso se emite con mayor precisión. El usuario se conecta a una aplicación concreta, carpeta, base, panel o API. Un contable no necesita el repositorio de desarrolladores, un contratista no necesita todo el sistema de archivos y un administrador no requiere permisos máximos permanentes durante toda la jornada.
De qué partes se compone el modelo
Es más práctico analizar Zero Trust por áreas que por nombres de productos. CISA en su modelo de madurez identifica cinco áreas principales: identidad, dispositivos, red, aplicaciones y cargas de trabajo, y datos. Todas las partes deben funcionar en conjunto. Si se activa MFA pero se mantienen cuentas compartidas y antiguos privilegios administrativos, no se logrará un modelo de confianza cero completo.
| Área | Qué hay que hacer | Qué aporta el resultado |
|---|---|---|
| Identidad | Configurar SSO, MFA, roles, grupos, verificar administradores, desactivar rápidamente a los despedidos | La empresa entiende quién ingresa y por qué se permite el acceso |
| Dispositivos | Considerar portátiles y smartphones, desplegar EDR, cifrar discos, controlar actualizaciones | Es fácil limitar el acceso desde un dispositivo desconocido o infectado |
| Acceso a servicios | Implementar ZTNA, microsegmentación, renunciar al VPN amplio, controlar las conexiones | Al atacante le resulta más difícil moverse de un sistema a otro |
| Aplicaciones y API | Verificar secretos, cuentas de servicio, tokens, permisos entre sistemas | Las integraciones no obtienen permisos innecesarios |
| Datos | Clasificar la información, configurar DLP, cifrar archivos, controlar descargas y envíos | La protección se organiza alrededor del valor de la información |
A nivel de herramientas, en Zero Trust suelen participar IAM, SSO, MFA, EDR, ZTNA, PAM, DLP, SIEM y sistemas de gestión de dispositivos. Pero enumerar productos no sustituye el orden en los accesos. Primero hay que entender quién tiene permisos, por qué se necesitan y quién se encarga de revisarlos.
Por qué las empresas necesitan Zero Trust
Zero Trust es necesario cuando ya no se puede verificar accesos solo por la localización de la conexión. Un empleado puede abrir el correo en la oficina, luego entrar en el CRM desde casa y por la noche conectarse al almacenamiento en la nube desde una tablet personal. En ese caso es más seguro verificar no la red en sí, sino el usuario, el dispositivo, la acción y los datos.
- Reduce el riesgo tras el robo de una contraseña. Si las credenciales cayeron en manos de un atacante, un usuario y contraseña no bastan. Las verificaciones adicionales incluyen MFA, el estado del dispositivo, el rol del usuario, el lugar de acceso, la hora, el tipo de recurso solicitado y el comportamiento en la sesión.
- Limita el acceso de contratistas y personal temporal. Al equipo externo a menudo le hace falta un servicio, carpeta, repositorio o panel concreto, no el conjunto completo de recursos internos. El acceso se puede dar por la duración del contrato y revocar sin buscar manualmente cuentas en varios sistemas.
- Reduce el daño en caso de cuenta comprometida. Si un atacante obtiene la cuenta de un empleado, no podrá pasar fácilmente a sistemas vecinos, carpetas compartidas, bases de datos o paneles administrativos. Los permisos sobrantes se retiran, las acciones se verifican y los intentos sospechosos quedan registrados.
- Ordena los permisos. La empresa ve quién accede a datos importantes, quién concedió permisos y por qué son necesarios. El orden es crítico al despedir, cambiar de puesto, tratar datos personales o acceder a sistemas financieros.
- Ayuda a proteger servicios en la nube. Correo, documentos, CRM, almacenamientos y analítica pueden estar con diferentes proveedores. Zero Trust traslada la atención desde la dirección del servidor hacia el usuario, el dispositivo, la acción y el valor de los datos.
Las primeras mejoras suelen comenzar con acciones básicas. Hay que activar MFA, eliminar cuentas compartidas, cerrar permisos innecesarios, verificar dispositivos y configurar registros de acceso. Si no, las discusiones sobre Zero Trust rápidamente se convierten en un esquema que queda bien en una presentación pero no ayuda a investigar un incidente.
Cómo implantar Zero Trust sin cambios bruscos
Es mejor implementar Zero Trust por etapas. Intentar reorganizar todos los accesos de golpe suele provocar quejas de usuarios, excepciones urgentes y un retorno temporal a reglas antiguas. Conviene empezar por un inventario. Hay que saber quién trabaja en la empresa, qué servicios se usan, dónde están los datos importantes, qué dispositivos se conectan, quién tiene permisos administrativos y qué integraciones funcionan con claves API.
- Depuren las cuentas. Eliminar ex empleados, inicios compartidos, administradores innecesarios y cuentas sin propietario.
- Activen MFA. Empezar por correo, VPN, paneles de administración, nubes, Git, sistemas financieros y servicios con datos personales.
- Verifiquen los dispositivos. Portátiles y smartphones deben inventariarse, actualizarse, cifrarse y protegerse con EDR u otra solución similar.
- Reducir permisos innecesarios. Revisar grupos, roles, accesos a carpetas, bases, repositorios y funciones administrativas.
- Restringir acceso a servicios internos. Donde sea posible, sustituir el VPN amplio por acceso a aplicaciones concretas.
- Configurar registros. Debe verse quién inicia sesión, fallos de MFA, cambios de permisos, descargas grandes y acciones de administradores.
Para la primera fase es mejor elegir un área clara. Pueden servir los accesos administrativos, el correo y MFA, el trabajo de contratistas, la protección de datos personales o la eliminación del VPN amplio. Cuando la parte elegida funcione sin excepciones constantes, el enfoque se puede ampliar a otros sistemas.
Dónde las empresas cometen errores
Zero Trust no funcionará si se plantea como un proyecto solo del departamento de seguridad. Se necesitan administradores, propietarios de sistemas empresariales, RR. HH. y responsables de unidades. RR. HH. sabe quién fue contratado, trasladado o despedido. Los propietarios de sistemas entienden quién necesita acceso. Los administradores conocen las limitaciones técnicas. Seguridad transforma la información recibida en reglas y controles.
- Imponen restricciones estrictas sin explicar. Si a los empleados se les prohíbe de repente un acceso habitual y no se explica la razón, empezarán a buscar soluciones alternativas como correo personal, mensajería, cuentas compartidas y pedir a colegas que descarguen documentos.
- Olvidan las cuentas técnicas. Los scripts, integraciones, robots, CI/CD, copias de seguridad y monitorización suelen operar con permisos amplios. Hay que gestionar esos sistemas por separado.
- Mantienen métodos de acceso antiguos. La empresa despliega SSO y MFA, pero una aplicación sigue aceptando contraseña local. Es fácil pasar por alto una vía alternativa en la verificación.
- No revisan los permisos. Los accesos se acumulan con el tiempo. Un empleado cambia de puesto, participa en proyectos, obtiene permisos temporales y luego esos permisos permanecen abiertos.
Otro problema es confiar excesivamente en un solo producto. SSO, MFA o ZTNA son útiles, pero cada herramienta cubre solo una parte de la tarea. Sin tener en cuenta usuarios, dispositivos, datos y registros, Zero Trust queda en un conjunto de configuraciones aisladas.
Qué herramientas pertenecen a Zero Trust
El modelo de confianza cero no se ata a una sola clase de software. En grandes empresas el sistema se construye con varios niveles de protección. Una parte se encarga del acceso, otras controlan dispositivos, permisos, datos e investigaciones.
| Herramienta | Tarea | Qué es importante verificar |
|---|---|---|
| IAM y SSO | Configurar acceso único, roles, grupos, bloqueo de cuentas | MFA, propietarios de grupos, registros de acceso |
| PAM | Controlar cuentas con privilegios | Permisos temporales, registro de sesiones, prohibición de contraseñas administrativas compartidas |
| EDR y MDM | Verificar y proteger los dispositivos de trabajo | Actualizaciones, cifrado, inventario, respuesta a infecciones |
| ZTNA | Abrir acceso a aplicaciones concretas en lugar de usar un VPN amplio | Reglas de acceso, soporte para sistemas antiguos, registros de conexión |
| DLP y cifrado | Proteger documentos, datos personales e información comercial | Clasificación de datos, control de envío y descarga |
| SIEM | Recoger eventos e investigar incidentes | Fuentes de registros, periodos de retención, reglas de correlación |
Para orientarse se pueden usar NIST SP 800-207, el modelo de madurez de CISA y los principios Zero Trust de Microsoft. Al elegir soluciones habrá que considerar requisitos sobre la ubicación de los datos, disponibilidad de productos, compatibilidad con directorios de usuarios existentes y soporte de sistemas ya implantados.
FAQ: cinco preguntas sobre Zero Trust
¿Zero Trust significa que no se puede confiar en los empleados?
No. El modelo verifica las condiciones técnicas del acceso. Comprueba la cuenta, el dispositivo, el rol, la acción y el nivel de riesgo. El enfoque no juzga a la persona, sino que evita conceder permisos excesivos de forma automática.
¿Se puede implantar Zero Trust sin SSO?
En parte sí, pero sin un acceso centralizado el proyecto se complica rápidamente. SSO, MFA y una gestión correcta de las cuentas suelen ofrecer el primer resultado más claro.
¿En qué se diferencia Zero Trust del VPN?
El VPN suele dar acceso a la red o a segmentos. Zero Trust busca conceder acceso a una aplicación o recurso concreto tras verificar usuario, dispositivo y reglas.
¿Necesita Zero Trust una empresa pequeña?
Sí, pero se puede empezar con pasos básicos. Sirve MFA para correo y administradores, control de dispositivos, prohibición de cuentas compartidas, revisión de permisos y registro de accesos.
¿Qué hacer primero?
Hacer un inventario de usuarios, servicios, administradores, dispositivos y datos importantes. Luego activar MFA en sistemas críticos y quitar permisos innecesarios.
