Todo lo que sabías sobre seguridad ya no es relevante: llega la arquitectura Zero Trust

Los modelos tradicionales de protección de redes corporativas ya no responden a la realidad. Antes bastaba con asegurar el perímetro: ubicar todos los servidores en un mismo centro de datos, restringir el acceso externo y controlar el tráfico entrante. Pero los tiempos en que todos los activos digitales se almacenaban en una infraestructura local única están quedando atrás. Hoy los empleados trabajan desde diferentes ciudades, conectándose desde cafeterías, apartamentos o espacios de coworking, mientras que los servicios críticos se ejecutan en entornos en la nube.

En reemplazo del antiguo enfoque llega la arquitectura de confianza cero (Zero Trust Architecture, ZTA). Su idea central es no confiar en la ubicación, la dirección IP ni la autorización previa. Cualquier solicitud —sin importar su origen— debe considerarse potencialmente insegura. Para quienes se enfrentan por primera vez a este concepto, surge una pregunta lógica: ¿por dónde empezar y cómo construir un sistema así en condiciones reales de negocio?

El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) intentó responder a esa pregunta publicando la guía práctica Implementing a Zero Trust Architecture (SP 1800-35). El documento es el resultado de un proyecto de varios años realizado en el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del NIST, y contiene 19 escenarios completos de implementación de ZTA. Cada uno de ellos se basa en tecnologías disponibles públicamente e incluye resultados de pruebas, así como recomendaciones de 24 socios de la industria que participaron en el proyecto.

A diferencia del documento anterior NIST SP 800-207, publicado en 2020, este nuevo trabajo pone el foco no en la teoría, sino en la aplicación. Mientras la publicación anterior describía modelos conceptuales, componentes lógicos y una comprensión general de la arquitectura Zero Trust, la actual detalla cómo implementar concretamente estas soluciones utilizando productos existentes. Se trata de una especie de manual metodológico que cubre una amplia variedad de condiciones y tareas propias de los entornos TI modernos.

Durante mucho tiempo, la seguridad se basó en el principio: si ya estás dentro de la red, se puede confiar en ti.

Zero Trust cambia completamente ese paradigma. En lugar de la protección perimetral, se aplica un modelo dinámico en el que cada solicitud se analiza en tiempo real, teniendo en cuenta múltiples parámetros: desde el contexto del usuario hasta las características del dispositivo. Incluso si un atacante logra ingresar, no podrá desplazarse libremente por la red ni causar daños. Todas las acciones requieren autorización específica, y cada una de ellas está bajo control. Esta estrategia protege tanto contra ataques externos como contra incidentes internos relacionados con la compromisión de cuentas o dispositivos.

Sin embargo, pasar a esta arquitectura requiere no solo configurar nuevas herramientas, sino una reevaluación completa de los principios de gestión de acceso. Es necesario comprender quién accede a qué recursos, con qué propósito, desde qué lugar y en qué momento. Y cada organización tiene su propio conjunto de servicios, vulnerabilidades, limitaciones y procesos de negocio.

Entre los escenarios descritos se encuentran redes con múltiples plataformas en la nube, oficinas con infraestructura local y empleados que se conectan a Internet desde puntos de acceso públicos. Todos los ejemplos fueron rigurosamente probados: el equipo del NCCoE, junto con socios industriales, pasó cuatro años instalando software, configurando parámetros, resolviendo conflictos y supervisando el rendimiento de cada implementación.

Los autores destacan que las tecnologías mencionadas son soluciones comerciales disponibles y ampliamente utilizadas, pero su inclusión en el texto no implica respaldo ni recomendación oficial por parte del NIST. El objetivo no era promocionar marcas específicas, sino demostrar que incluso con herramientas del mercado abierto es posible construir un entorno ZTA confiable.

La publicación presta especial atención a la aplicación práctica: qué problemas surgen al construir ZTA, cómo resolver las tareas de autenticación, segmentación, monitoreo y gestión de políticas.

Un valor añadido del documento es su utilidad para distintos roles dentro de la organización. La información será útil no solo para especialistas técnicos, sino también para arquitectos, gestores de seguridad, administradores e incluso directivos de departamentos TI responsables del desarrollo estratégico de la infraestructura. Puede usarse como guía de implementación, como plan de trabajo o, si se desea, como fuente de inspiración para diseñar soluciones propias.

Los desarrolladores no ofrecen una única respuesta universal, pero sí brindan herramientas que permiten adaptar la arquitectura a los requisitos y riesgos particulares. Para las organizaciones que enfrentan la transición hacia la confianza cero, esta es probablemente la guía más completa y útil publicada en los últimos años.