Los cinco pilares habituales: identidad, dispositivo, red, aplicaciones y workloads, y datos. En cada uno se exige verificación previa, telemetría durante el uso y capacidad de retirar el acceso en caliente si el contexto cambia.
Qué es zero trust
Zero Trust es un modelo de seguridad que parte de una idea incómoda: ningún usuario, dispositivo o servicio merece confianza implícita por el mero hecho de estar dentro de la red. Cada petición se evalúa: identidad verificada, estado del dispositivo, contexto (hora, ubicación, sensibilidad del recurso) y riesgo calculado en el momento. Es la respuesta al perímetro clásico, donde una vez que una credencial cruzaba la VPN tenía barra libre. El principio operativo es simple de enunciar y duro de ejecutar: "never trust, always verify", acceso mínimo necesario, verificación continua.
Por qué importa
El perímetro tal como lo entendíamos hace una década ya no existe: la plantilla trabaja desde casa, aeropuertos y coworkings; los datos viven en SaaS e infraestructura cloud; los proveedores acceden a sistemas internos desde equipos que no controlamos. Los atacantes lo saben y su táctica recurrente es entrar por la puerta abierta —credencial de VPN filtrada, token OAuth robado, servicio expuesto mal configurado— y, una vez dentro, moverse lateralmente con tranquilidad. Zero Trust rompe ese patrón porque cada movimiento lateral vuelve a pedir autenticación contra la política vigente: el acceso al servidor de nóminas no se concede por estar en la red, se concede por ser Ana, con un portátil corporativo al día, en horario laboral y con MFA resistente a phishing. Los marcos regulatorios europeos (NIS2, DORA) y referencias como NIST SP 800-207 y el modelo de madurez Zero Trust de CISA empujan en esta dirección, y para el CISO la ganancia real no está en comprar producto, está en acortar el tiempo en el que un atacante opera sin ser visto.
Puntos clave
Identidad como nuevo perímetro: MFA resistente a phishing (FIDO2, passkeys) para todo acceso relevante, políticas de acceso condicional y revisión continua de permisos. Si la identidad es débil, el resto del modelo se tambalea.
Microsegmentación y acceso por aplicación: en lugar de exponer una red entera a través de VPN, se publica cada aplicación con su propio proxy o broker (ZTNA) que valida identidad, dispositivo y sesión. La segmentación de red deja de ser un dibujo en Visio para convertirse en política enforzable.
Postura del dispositivo verificada: un endpoint sin parches, con EDR desactivado o fuera del inventario no debería acceder a datos sensibles aunque el usuario sea legítimo. MDM, señales de EDR y control de acceso basado en salud del equipo son obligatorios.
Telemetría y detección siguen siendo imprescindibles: Zero Trust reduce la superficie, no la elimina. El SIEM, la capa de XDR y el SOC siguen siendo donde se detecta y responde cuando algo se cuela.
Viaje por fases, no big bang: empezar por identidad (MFA fuerte, SSO, acceso condicional), después dispositivos y aplicaciones críticas, y luego microsegmentación y datos. Intentar hacerlo todo a la vez suele acabar en resistencia interna y reversión.
Ejemplo: Transformación a Zero Trust en una aseguradora mediana
Una aseguradora con plantilla distribuida entre oficinas, teletrabajo y contratistas opera con el modelo clásico: VPN hacia la red corporativa y, a partir de ahí, visibilidad amplia sobre servidores, comparticiones de ficheros y aplicaciones internas. Tras un incidente en el que una credencial de contratista cae por phishing y el atacante se pasea por ficheros de negocio antes de que nadie lo note, la dirección pide un plan realista de Zero Trust.
La primera fase ataca la identidad: SSO corporativo, MFA resistente a phishing para todos, políticas de acceso condicional que exigen dispositivo corporativo, sistema al día y geografía coherente. La segunda fase sustituye la VPN por un acceso por aplicación (ZTNA): el contratista deja de ver la red, solo ve la aplicación para la que ha sido autorizado, durante la ventana acordada, desde un navegador controlado. La tercera fase introduce microsegmentación entre entornos (finanzas, clientes, desarrollo, administración) y conecta las señales de EDR, IdP y broker ZTNA al SIEM. El resultado no es que nunca caiga una credencial —eso seguirá pasando— sino que un intento de moverse lateralmente genera fricción y eventos visibles en lugar de silencio, y el equipo detecta el patrón en horas en vez de semanas.
Errores habituales
- Tratar Zero Trust como un producto que se instala. No es un fabricante ni un appliance; es un conjunto de principios que se realizan con identidad, dispositivos, red, aplicaciones y datos, y que casi siempre cruza varios equipos y varias líneas de presupuesto.
- Implantarlo sin apoyo ejecutivo. Si el comité de dirección firma 'MFA obligatorio' pero los mismos ejecutivos piden excepciones por comodidad, el modelo se rompe por donde se rompen siempre los modelos: por arriba. Las excepciones deben estar tasadas, registradas y con caducidad.
- Confundir Zero Trust con 'denegar todo'. El objetivo es acceso con verificación, no fricción gratuita. Si el empleado medio pierde treinta minutos al día autenticándose, alguien va a buscar atajos y los va a encontrar.
- Abandonar la detección creyendo que con Zero Trust no hacen falta SOC ni SIEM. Zero Trust reduce la superficie útil para el atacante, pero los adversarios buscarán el eslabón débil —una integración SaaS mal gobernada, un token de API sin rotar— y lo encontrarán.
- Intentar hacerlo todo a la vez. Los proyectos Zero Trust que se entregan en una sola fase suelen acabar rodando atrás; los que se ejecutan por olas (identidad → dispositivos y aplicaciones críticas → microsegmentación → datos) avanzan despacio pero quedan.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Zero Trust es compatible con el teletrabajo y con contratistas externos?
Está hecho justamente para ese escenario. En el modelo clásico el teletrabajador o el contratista obtenía una ruta abierta hacia la red por VPN; en Zero Trust obtiene acceso por aplicación, condicionado a identidad verificada, dispositivo sano y sesión auditada. De hecho, es para contratistas y terceros donde la ganancia es más visible: dejan de 'ver la red entera' y solo ven lo que se les ha autorizado explícitamente.
¿Cuánto cuesta implantar Zero Trust?
Depende del punto de partida. Muchas organizaciones ya tienen parte del puzzle (IdP moderno, MFA, EDR, SIEM) y lo que falta es orquestación y políticas; otras parten de una VPN plana y necesitan inversión real en acceso por aplicación, microsegmentación y gobernanza de identidades. El cálculo honesto compara ese coste con el coste esperado de un incidente serio: tiempo de respuesta a incidentes, impacto operativo, multas regulatorias y primas de ciberseguro. La decisión se toma por riesgo, no por catálogo.
¿Cómo se mide si una implantación Zero Trust está funcionando?
Con indicadores concretos: tiempo medio de detección de movimiento lateral (debería caer de semanas a horas), número de accesos bloqueados por política de acceso condicional (un cero sostenido suele significar política laxa, no tranquilidad), porcentaje de aplicaciones críticas detrás de ZTNA en lugar de VPN, y reducción de privilegios efectivos tras certificaciones periódicas. El SIEM es la fuente natural de estas métricas.
¿Zero Trust previene todos los ataques?
No. Un atacante que compromete credenciales legítimas en un dispositivo legítimo dentro del horario habitual puede pasar la primera barrera. Lo que Zero Trust garantiza es que ese acceso está acotado a una aplicación concreta, que cualquier movimiento fuera de ese alcance vuelve a pedir verificación y que cada paso deja telemetría. Sigue siendo imprescindible la defensa en profundidad: detección, respuesta, backups y un plan de continuidad.