Zero Trust: por qué el perímetro de red ya no es suficiente
El modelo de seguridad perimetral asume que todo lo que está dentro de la red es confiable. En 2025, esa suposición es una vulnerabilidad crítica. Te explicamos cómo implementar Zero Trust de forma práctica.
El modelo de seguridad tradicional funciona como un castillo medieval: construyes muros alrededor de tu red y asumes que todo lo que está dentro es seguro. El problema es que en 2025, ese castillo no tiene muros claros. Los empleados trabajan desde casa, los datos viven en múltiples clouds, y los atacantes ya aprendieron a entrar por la puerta principal con credenciales robadas.
El problema con el modelo perimetral
Cuando un atacante compromete una credencial válida en un entorno perimetral clásico, tiene acceso lateral casi ilimitado. El incidente de SolarWinds en 2020 y los ataques a cadenas de suministro que le siguieron demostraron exactamente esto: una vez dentro, moverse lateralmente era trivial.
Las estadísticas son contundentes:
- 82% de los brechas involucran credenciales comprometidas o robadas (Verizon DBIR 2024)
- El tiempo promedio de permanencia de un atacante antes de ser detectado es de 207 días
- El 43% de los ataques internos provienen de acceso excesivamente permisivo
Qué es Zero Trust realmente
Zero Trust no es un producto que compras. Es un modelo arquitectónico basado en tres principios:
- Nunca confiar, siempre verificar — cada solicitud de acceso se autentica y autoriza, sin importar si proviene de dentro o fuera de la red
- Acceso de mínimo privilegio — los usuarios y sistemas solo acceden a lo estrictamente necesario para su función
- Asumir brecha — diseña tus sistemas asumiendo que el atacante ya está dentro
Los seis pilares de implementación
CISA (Agencia de Ciberseguridad de EE.UU.) define seis pilares para una arquitectura Zero Trust madura:
1. Identidad El punto de partida es siempre la identidad. Implementa MFA robusto (preferiblemente FIDO2/passkeys, no SMS), gestión de acceso privilegiado (PAM) y revisiones periódicas de permisos. Herramientas clave: Entra ID (Azure AD), Okta, CyberArk.
2. Dispositivos Antes de autorizar acceso, verifica el estado del dispositivo: ¿tiene parches actualizados? ¿Cumple con la política de endpoint? Plataformas como Microsoft Intune o Jamf te permiten aplicar políticas de salud del dispositivo como condición de acceso.
3. Red Segmenta tu red de forma agresiva. Microsegmentación con SDN (Software-Defined Networking) te permite aislar cargas de trabajo. Si un servidor de base de datos es comprometido, no debe poder iniciar conexiones hacia otros sistemas.
4. Aplicaciones y workloads Aplica inspección de tráfico en capa 7 y controles de acceso a nivel de aplicación. Usa un API Gateway con autenticación estricta y controla el acceso a aplicaciones legacy con proxies de acceso seguro.
5. Datos Clasifica tu información y aplica controles acordes a la sensibilidad. Data Loss Prevention (DLP), cifrado en reposo y en tránsito, y gestión de derechos de información (IRM) son componentes esenciales.
6. Visibilidad y analítica Sin logs, no hay Zero Trust. Implementa SIEM centralizado, correlaciona eventos de identidad, dispositivo y red. Herramientas como Microsoft Sentinel, Splunk o Elastic SIEM te dan la visibilidad necesaria.
Hoja de ruta práctica para empresas medianas
Implementar Zero Trust no es un proyecto de 3 meses. Es una transformación de 2-3 años. Esta es la secuencia recomendada:
Fase 1: Fundaciones de identidad (meses 1-6)
# Prioridades
1. MFA para todos los usuarios (empezar con administradores)
2. Inventario completo de cuentas de servicio y privilegiadas
3. Implementar Conditional Access básico
4. Revisar y revocar accesos inactivosFase 2: Visibilidad y segmentación (meses 6-18)
- Centralizar logs en SIEM
- Implementar EDR en todos los endpoints
- Microsegmentar red interna por función de negocio
- Inventario de todas las aplicaciones y sus dependencias
Fase 3: Madurez y automatización (meses 18-36)
- Respuesta automatizada a incidentes (SOAR)
- Zero Trust Network Access (ZTNA) para reemplazar VPN tradicional
- Evaluación continua de postura de seguridad
- Integración de threat intelligence
Métricas para medir progreso
No puedes mejorar lo que no mides. Estas son las métricas clave:
| Métrica | Objetivo |
|---|---|
| Cobertura MFA | >98% de usuarios |
| Tiempo medio de detección (MTTD) | <24 horas |
| Accesos con mínimo privilegio | >80% de cuentas |
| Cobertura EDR | 100% de endpoints |
| Segmentos de red aislados | >60% de workloads críticos |
Errores comunes al implementar Zero Trust
Error 1: Comprar el producto en lugar del principio. Muchos vendors venden "soluciones Zero Trust" que en realidad son solo un componente. Zero Trust requiere cambios en procesos, cultura y múltiples tecnologías.
Error 2: Ignorar las aplicaciones legacy. Las aplicaciones más críticas suelen ser las más antiguas y las menos preparadas para Zero Trust. Planifica proxies de acceso seguro para estas.
Error 3: No incluir a los usuarios en el proceso. Controles de seguridad que friccionan demasiado el trabajo diario serán evadidos. Diseña para la experiencia del usuario.
Error 4: Creer que es un proyecto de TI solamente. Zero Trust requiere alineación con negocio, legal, RRHH y liderazgo ejecutivo.
Conclusión
Zero Trust no es opcional en 2025. La superficie de ataque ya no tiene bordes claros, y los atacantes lo saben. La buena noticia es que no tienes que implementarlo todo a la vez: empieza por la identidad, gana visibilidad, y avanza gradualmente hacia una postura de seguridad madura.
La pregunta no es si implementar Zero Trust, sino cuándo empezar a hacerlo de forma sistemática.