El programa Zero Trust conquista rápidamente terreno

Zero Trust se consolida en el entorno empresarial y gana progresivamente importancia: nuevos hallazgos de Okta sobre las medidas preferidas en distintos sectores.

En resumen

• Zero Trust en auge: Empresas de todo el mundo implementan estrategias Zero Trust como nuevo estándar de seguridad.
• MFA como base: La autenticación multifactor es la medida Zero Trust más frecuentemente implementada.
• Transversal a todos los sectores: Desde servicios financieros hasta la industria manufacturera, todos adoptan Zero Trust.
• Estudio de Okta: Datos sobre tasas de adopción y medidas preferidas por sector.
• Principio: «No confíes en nadie, verifica todo» – acceso únicamente tras una verificación continua.

En la carrera contra ciberatacantes cada vez más sofisticados, las empresas de todo el mundo intensifican su apuesta por la implementación de iniciativas Zero Trust. Este es el resultado central del informe «State of Zero Trust Security 2023», elaborado por el proveedor de identidad Okta y basado en entrevistas con 860 responsables de seguridad y altos directivos.

Concretamente, el 61 % de los encuestados afirma ya haber implementado una estrategia Zero Trust. Otro 28 % planea hacerlo dentro de los próximos 6-12 meses. Dicho de otro modo, actualmente seis de cada diez empresas están avanzando hacia una implementación más exhaustiva de Zero Trust, frente al 24 % del año anterior.

La gestión de identidades gana importancia

Sin sorpresa alguna: el 51 % de todos los decisores encuestados considera la gestión de identidades «muy importante» para su estrategia empresarial. En comparación, este porcentaje ascendía tan solo al 27 % aproximadamente el año pasado. Además, la mitad de estos responsables coincide en que la responsabilidad de Zero Trust y de la gestión de identidades debe recaer en los equipos de seguridad. Este desarrollo podría deberse probablemente al hecho de que los ataques basados en identidades, como el phishing, siguen siendo una de las amenazas más extendidas. Los equipos de seguridad disponen, en comparación con los departamentos de TI, de competencias más específicas en este ámbito.

No resulta, pues, sorprendente que se hayan asignado presupuestos específicos para llevar a cabo estas iniciativas. Un total del 80 % de los participantes indicó que sus presupuestos para Zero Trust han aumentado respecto al año anterior. Más concretamente, el 60 % reporta incrementos presupuestarios de hasta el 25 %, mientras que otro quinto registra aumentos aún mayores. Este crecimiento de las inversiones se atribuye, entre otros factores, al aumento de los modelos de trabajo híbridos, al acceso ilimitado a entornos en la nube y al incremento generalizado del número de ataques contra redes corporativas.

Los empleados siguen siendo el mayor riesgo de seguridad

No obstante, los autores del estudio subrayan que Zero Trust dista mucho de ser una solución automática, ya que aún persisten numerosos factores de incertidumbre que deben abordarse. En primer lugar siguen figurando los empleados, que ahora desean acceder desde cualquier dispositivo y de forma ubicua, independientemente de su ubicación física. A esto se suman carencias de conocimientos especializados derivadas de plantillas reducidas en el área de seguridad, así como lagunas en la modernización de la infraestructura de TI. Los retos de Zero Trust son, por tanto, más complejos y estructurales.

Para contrarrestar de la mejor manera posible el factor de incertidumbre «humano», el 34 % de todos los responsables de TI y seguridad encuestados apuesta por la autenticación multifactor (MFA), tanto para socios externos como para proveedores. El 33 % prefiere esta medida de seguridad para sus propios empleados. A diferencia del informe del año pasado, donde la usabilidad ocupaba un lugar destacado debido a los numerosos modelos de trabajo híbridos, actualmente dos de cada tres empresas tienden a centrar su atención de forma más acusada en la seguridad dentro del marco del enfoque Zero Trust.

Líderes en Zero Trust: sector financiero y software

Un análisis de las iniciativas Zero Trust según sector revela que, dependiendo de si y en qué grado los sectores están sujetos a regulaciones legales, también varían las medidas de seguridad que aplican para garantizar una conformidad fiable. Si examinamos, por ejemplo, los sectores financiero y sanitario, el sector público y la industria del software, llama la atención que, aunque todas estas ramas han logrado los avances más significativos en materia de Zero Trust, aún queda mucho camino por recorrer. Los servicios financieros lideran con un 71 % el campo de las iniciativas Zero Trust, seguidos muy de cerca por la industria del software con un 69 %. La administración pública (58 %) y el sector sanitario (47 %) ocupan el tercer y cuarto puesto, respectivamente.

Los servicios financieros se centran en proteger sus servidores y bases de datos

Escasamente ningún otro sector sufrió el año pasado tantos ataques de seguridad como el financiero. En los años 2021, 2022 y también en el actual, este sector ha figurado regularmente entre aquellos que debieron enfrentarse a las violaciones de protección de datos más graves – con frecuencia afectando a millones de datos de consumidores – . Por ello, Zero Trust se implementó aquí de forma especialmente temprana. Ya en 2022, la mitad de todos los responsables consultados a nivel mundial aplicaban Zero Trust. Este año, dicha cifra ha aumentado un 21 % adicional. Más del 90 % de los encuestados otorga, además, un papel clave a la gestión de identidades.

En cuanto a la protección de recursos, los servicios financieros centran su atención especialmente en sus servidores, bases de datos y aplicaciones SaaS. El 62 % indica haber ya adoptado medidas para proteger estos recursos, mientras que el 51 % tiene previsto hacerlo. En relación con la protección del acceso, el 43 % aplica el inicio de sesión único (SSO) o la autenticación multifactor (MFA). Además, el 36 % utiliza la gestión de accesos privilegiados (Privileged Access Management) para la nube.

Tres principales iniciativas Zero Trust en el sector financiero

1. Autenticación multifactor para empleados (43 % implementado / 42 % planificado)
2. Gestión de accesos privilegiados para infraestructuras en la nube (36 % implementado / 45 % planificado)
3. Acceso seguro a APIs (33 % implementado / 47 % planificado)

Zero Trust en la industria del software: de cero a setenta en dos años

Con una regulación mucho menos estricta, la industria del software no queda atrás del sector financiero en cuanto a Zero Trust. De casi ninguna empresa en 2021, la tasa de implantación de una estrategia Zero Trust alcanza hoy casi el 70 %. Este rápido ascenso se debe seguramente también al hecho de que los desarrolladores de software saben perfectamente por qué la seguridad basada en identidades constituye un valor elevado que debe cuidarse. El 61 % prioriza la protección de sus servidores, el 58 % se centra en las bases de datos y, respectivamente, el 48 % pone énfasis en las aplicaciones internas y SaaS.

Tres principales iniciativas Zero Trust en la industria del software

1. Autenticación multifactor para empleados (34 % implementado / 43 % planificado)
2. Acceso seguro a APIs (34 % implementado / 42 % planificado)
3. Gestión de accesos privilegiados para infraestructuras en la nube (27 % implementado / 44 % planificado)

Sector público: Zero Trust desafía la burocracia

El sector público también se encuentra bajo una fuerte presión en materia de conceptos de seguridad. A pesar de una regulación rigurosa y obstáculos burocráticos, el 58 % ya ha implementado una estrategia Zero Trust. Casi un tercio planea hacerlo dentro de los próximos 6-12 meses. Los servidores y las bases de datos fueron identificados como los recursos más críticos desde el punto de vista de la protección. Así, más de la mitad de los encuestados indicaron proteger sus servidores mediante conexiones de inicio de sesión único (SSO) y autenticación multifactor (MFA). Al menos el 43 % tiene ya implementada una de estas dos medidas.

Tres principales iniciativas Zero Trust en el sector público

1. Autenticación multifactor para empleados (33 % implementado / 34 % planificado)
2. Acceso seguro a APIs (30 % implementado / 35 % planificado)
3. Inicio de sesión único para empleados (27 % implementado / 36 % planificado)

Zero Trust se implementa incluso bajo fuerte presión presupuestaria

Aunque en muchas instituciones sanitarias las infraestructuras de TI aún no se han modernizado y los departamentos de TI han tenido que hacer frente a recortes, muchos son plenamente conscientes de la importancia de conceptos de seguridad como Zero Trust. Al preguntarles sobre la protección de recursos prioritarios, los encuestados indicaron que utilizan la autenticación multifactor (MFA) para empleados y usuarios externos, seguida de la integración de directorios de empleados con aplicaciones en la nube.

Tres principales iniciativas Zero Trust en el sector sanitario

1. Autenticación multifactor para empleados (34 % implementado / 52 % planificado)
2. MFA para usuarios externos (proveedores, socios) (40 % implementado / 38 % planificado)
3. Integración de directorios de empleados con aplicaciones en la nube (38 % implementado / 40 % planificado)

Datos clave de un vistazo

Principio: «Nunca confíes, verifica siempre» – ningún acceso sin verificación previa

Medida principal: MFA (autenticación multifactor) es la más frecuentemente implementada

Otras medidas: Microsegmentación, principio de mínimo privilegio (Least Privilege), monitorización continua

Impulsores: Trabajo remoto, migración a la nube, aumento de los ciberataques

Fuente: Informe Okta State of Zero Trust

Dato: Según IDC, tan solo el 22 % de las empresas alemanas ha implementado ya una estrategia Zero Trust.

Dato: Según IBM, las empresas con arquitectura Zero Trust ahorran, de media, 1,76 millones de dólares en incidentes de seguridad.

Preguntas frecuentes

¿Qué significa Zero Trust?

Zero Trust es un concepto de seguridad que, por principio, no confía en ningún usuario ni en ningún dispositivo – ya sea dentro o fuera de la red corporativa – . Todo acceso se verifica, autentica y autoriza de forma continua.

¿Por qué es necesario Zero Trust hoy en día?

La seguridad perimetral tradicional (firewall alrededor de la red corporativa) ya no funciona: el trabajo remoto, los servicios en la nube y los dispositivos móviles disuelven los límites fijos de la red. Zero Trust protege también en entornos distribuidos e híbridos.

¿Qué medidas forman parte de Zero Trust?

Autenticación multifactor (MFA), microsegmentación de la red, principio de mínimo privilegio (Least Privilege) (derechos de acceso mínimos), monitorización continua, gestión de identidades y aplicación automatizada de políticas.

¿Es Zero Trust relevante únicamente para grandes empresas?

No. El principio puede implementarse de forma escalonada. Ya la aplicación de MFA y controles de acceso basados en el principio de mínimo privilegio mejora considerablemente la seguridad. Las soluciones de identidad basadas en la nube hacen que Zero Trust sea accesible y asequible también para pymes.

¿Cuánto tiempo lleva implementar Zero Trust?

Zero Trust no es un proyecto puntual, sino una estrategia continua. Las primeras medidas, como MFA y la segmentación de la red, pueden implementarse en cuestión de semanas. Una arquitectura Zero Trust completa es un proceso plurianual que requiere ajustes continuos.

Lectura complementaria en la red

Zero Trust en la planificación mediática: Zero Trust in der Mediaplanung (Security Today)

Identidad y gestión de accesos en la nube: cloudmagazin.com

Estrategias para directivos (C-Level) en arquitecturas de seguridad TI: digital-chiefs.de

Artículos relacionados

• Cómo prevenir ciberamenazas durante las fiestas
• CNAPP y CSPM 2025: construir correctamente la seguridad nativa en la nube
• Passkeys 2025: la guía práctica para su implantación empresarial

Fuente de imagen: Pexels

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow