Seguridad Zero Trust - Nunca confíes, siempre verifica
Lectura de 2 min aprox.
La confianza cero (zero trust) es un modelo de seguridad que no confía en ningún acceso y lo verifica todo, sin importar si proviene del interior o del exterior de la red. Mientras que la seguridad perimetral tradicional partía de la premisa de que «la red interna es segura», la confianza cero adopta como principio fundamental «no confiar en nada, verificar siempre (Never Trust, Always Verify)». Con la difusión del teletrabajo y la expansión de los servicios en la nube, su relevancia ha crecido rápidamente. En su previsión de 2024, Gartner estima que para 2026 el 10 % de las grandes empresas habrá completado una implementación madura de la confianza cero.
Antecedentes históricos
El concepto de confianza cero fue propuesto en 2010 por John Kindervag, analista de Forrester Research. En aquel entonces predominaba la seguridad perimetral (el modelo de castillo y foso), pero una serie de brechas del perímetro causadas por ataques internos y APT (amenazas persistentes avanzadas, Advanced Persistent Threat) dejó al descubierto los límites de la premisa de que «el interior es seguro». Cuando el teletrabajo se expandió rápidamente durante la pandemia de COVID-19 de 2020, el propio límite de la red corporativa se difuminó, acelerando la adopción de la confianza cero. En 2021, el gobierno de EE. UU. emitió una orden ejecutiva que obliga a las agencias federales a adoptar la confianza cero.
Principios básicos
La esencia de la confianza cero radica en tres principios. Primero, el acceso a cualquier recurso requiere autenticación y autorización, independientemente de la ubicación o la red. Segundo, según el principio de mínimo privilegio, a los usuarios y dispositivos se les conceden únicamente los permisos de acceso mínimos necesarios. Tercero, todo el tráfico se inspecciona y registra para detectar comportamientos anómalos. Gracias a estos principios, se pueden prevenir eficazmente las amenazas internas y el movimiento lateral (lateral movement).
La filosofía de diseño de la confianza cero se puede estudiar de forma sistemática con libros sobre arquitectura de confianza cero (Amazon).
Casos de uso reales
«Estamos avanzando en la migración a una arquitectura de confianza cero con un plan a dos años. Primero retiraremos la VPN y cambiaremos a ZTNA (Zero Trust Network Access), y luego planeamos introducir la microsegmentación.»
Diagrama conceptual de la arquitectura
Práctica y errores comunes en el campo
Un error común al adoptar la confianza cero es la idea de que «basta con comprar un producto para lograrla». La confianza cero no es un producto concreto, sino una filosofía de diseño de seguridad que se materializa combinando múltiples tecnologías, como la autenticación multifactor, la microsegmentación y la supervisión continua. La mentalidad de la confianza cero también puede aplicarse a nivel individual. Establecer una contraseña única y robusta para cada servicio y habilitar la autenticación de dos factores es la versión personal del principio de «verificar siempre». Al generar una contraseña aleatoria distinta para cada servicio y usar una VPN para cifrar tus comunicaciones, puedes construir una postura de seguridad de estilo confianza cero incluso a nivel individual.guías de ciberseguridad personal (Amazon) también son una referencia práctica.
¿Te resultó útil este artículo?