¿Qué es Zero Trust? Definición, principio y componentes
¿Qué es Zero Trust? Zero Trust es un modelo de seguridad que no otorga confianza implícita a ningún usuario, dispositivo o ubicación de red. Cada solicitud de acceso se autentica, autoriza y revisa de forma individual, según el principio never trust, always verify. Zero Trust es una arquitectura de seguridad y no una categoría de producto. La referencia central es la publicación NIST SP 800-207.
Lo más importante en resumen
- Principio: No hay confianza implícita. Cada solicitud se verifica, independientemente de que provenga de la red corporativa o del exterior.
- Componentes: Identidades sólidas, estado del dispositivo comprobado, segmentación micro, privilegios mínimos y verificación continua.
- Enfoque: Zero Trust es una arquitectura. Los productos individuales implementan partes de ella; ninguna compra sustituye las decisiones de arquitectura.
Qué significa Zero Trust en la práctica
El modelo clásico de seguridad dibuja un perímetro alrededor de la red corporativa y confía en todo lo que está dentro. Justamente ese supuesto de confianza implícita es lo que explotan los atacantes una vez que logran atravesar el perímetro. Zero Trust rompe con esta premisa: cada solicitud de acceso se evalúa sin confianza implícita, tomando en cuenta identidad, dispositivo y contexto.
La arquitectura de referencia de Zero Trust de NIST, publicada en agosto de 2020
Fuente: NIST
La referencia de NIST formula principios claros al respecto. Todas las fuentes de datos y servicios se consideran recursos. Cada comunicación se protege independientemente del lugar donde se produzca. El acceso se concede por sesión, nunca de forma permanente. Las decisiones se toman mediante una política dinámica basada en varios atributos, como la identidad, el estado del dispositivo y el comportamiento. El estado de todos los sistemas se supervisa de forma continua.
Los componentes reales
En la práctica, todo comienza con la identidad. Una gestión centralizada de identidades y accesos con MFA continua (autenticación multifactor) constituye la base, ya que sin identidades confiables no se puede aplicar ninguna política. Junto a ello está el estado del dispositivo: nivel de parche, protección del endpoint y cumplimiento influyen en cada decisión de acceso.
A esto se suma la microsegmentación, que aísla de forma granular aplicaciones y áreas de red. El principio de mínimo privilegio la complementa con derechos mínimos por sesión y recurso. El quinto componente es la verificación continua: identidad y contexto se revisan durante toda la sesión, no solo una vez al iniciar sesión. Estos cinco elementos forman el núcleo de cualquier arquitectura Zero-Trust.
Qué deben revisar las empresas ahora
El punto de partida es realizar un inventario. Quien no sabe qué identidades, dispositivos y aplicaciones existen, no puede controlar el acceso. A continuación, vienen los componentes con mayor impacto: asegurar identidades y proteger primero los recursos críticos.
COMPROBAR AHORA
- ✓Crear inventario de todas las identidades, dispositivos, aplicaciones y recursos de datos
- ✓Implementar gestión centralizada de identidades con MFA continua para todos los accesos
- ✓Establecer controles de postura de dispositivos antes y durante el acceso
- ✓Aislar aplicaciones críticas y flujos de datos mediante microsegmentación
- ✓Implementar registro y motor de políticas para decisiones basadas en sesión y atributos
Distinción con conceptos relacionados
La diferencia más importante se centra en la Red Privada Virtual (VPN). Una VPN extiende el perímetro: quien está conectado suele obtener acceso amplio a toda la red segmentada. Zero Trust invierte la lógica y concede acceso solo al recurso concreto, solo para la sesión actual y solo tras la verificación. Las soluciones Zero Trust Network Access (ZTNA) implementan precisamente este acceso a aplicaciones; son un componente de implementación y aún no constituyen una arquitectura completa de Zero Trust.
Igualmente claro es diferenciarlo de la promesa de producto. Ningún dispositivo único crea Zero Trust, aunque el marketing de muchos proveedores genere esa impresión. La arquitectura surge de decisiones sobre identidades, derechos, segmentos y políticas. Los instrumentos siguen esas decisiones.
Preguntas frecuentes
Cada pregunta está bloqueada. Al tocarla se desbloquea la respuesta.
¿Zero Trust (confianza cero) es un producto?
No. Zero Trust es un modelo de arquitectura. Proveedor de identidad, protección de endpoints, microsegmentación y ZTNA (acceso a red de confianza cero) ayudan en la implementación, pero las decisiones de arquitectura no las toma ningún producto.
¿Zero Trust (confianza cero) reemplaza al VPN?
No necesariamente y no de inmediato. El objetivo es desprenderse de amplios accesos a redes y sustituirlos por conexiones verificadas a recursos individuales. Un VPN puede seguir funcionando de manera transicional en algunas áreas.
¿Qué es ZTNA (acceso a red de confianza cero)?
Zero Trust Network Access es un enfoque concreto de implementación para el acceso a aplicaciones. El acceso solo se concede tras la verificación de identidad, dispositivo y contexto, sin que el cliente deba estar en la misma red.
¿En qué se comienza mejor?
Con el inventario y las identidades: IAM centralizado, MFA continua y protección de cuentas privilegiadas. Después se abordan las aplicaciones más críticas. La migración completa se lleva a cabo de forma escalonada durante años.
¿Qué dice NIST sobre Zero Trust (confianza cero)?
NIST describe en SP 800-207 la arquitectura de referencia con sus principios: ninguna confianza implícita, acceso basado en sesión, políticas dinámicas y supervisión continua.
Selección de la redacción
RecomendadoMicrosegmentación: por qué la segmentación de red por sí sola ya no es suficienteRecomendadoPasskeys en la empresa: El fin de las contraseñas
Más de la red MBF Media
cloudmagazinProhibir la IA oscura es el reflejo más costoso en la ciberseguridadMyBusinessFutureHigiene de herramientas en la pyme: 5 lecciones duras aprendidasDigital ChiefsServicios de Ciberseguridad Gestionados: El CISO no asume la responsabilidad exclusiva




