¿Qué es zero trust? ¿Palabra de moda o nuevo stack de seguridad? Una explicación clara de zero trust.

Introducción

Llevamos años escuchando el término “zero trust”. Acrónimos como SASE, ZTNA o el refuerzo de IAM se promocionan como si fueran varitas mágicas de una nueva era. Sin embargo, muchos ingenieros de campo lo miran con escepticismo: «¿No es solo endurecer la autenticación?».

¿Es zero trust un nuevo paradigma de seguridad o mera palabrería? En este artículo examino con espíritu crítico qué significa realmente.

El supuesto de la seguridad perimetral

Primero conviene repasar el modelo tradicional. En la era de IPv4, los espacios de direcciones privadas y el NAT protegían las LAN del exterior. Los firewalls bloqueaban el tráfico “de fuera hacia dentro”, lo que sostenía el supuesto de que si el perímetro se mantiene, el interior está seguro.

El modelo fue muy eficaz: desde los noventa hasta bien entrada la década de 2010 sostuvo la seguridad del uso corporativo de Internet. «Si entras por VPN, ya tienes pase libre» era el ejemplo clásico de seguridad perimetral.

Por qué zero trust ganó protagonismo

El paisaje cambió.

Adopción de la nube y los dispositivos móviles

Las personas acceden a SaaS desde casa o desde un café, y el perímetro se difumina.

Amenazas internas y movimiento lateral de malware

Si alguien logra entrar, la LAN interna —la “isla de confianza”— queda desprotegida.

La influencia de Google BeyondCorp

El enfoque BeyondCorp de Google puso de moda la idea de “romper el perímetro” como nueva dirección de seguridad.

Así nació la bandera de “zero trust”. El lema «no confíes en nadie» impactó de lleno en los comités de dirección.

Malentendidos alrededor de zero trust

Ni NIST ni CISA han defendido jamás «abolir por completo el perímetro». Su mensaje es realista: «la transición es gradual y la mayoría de organizaciones operarán en modo híbrido, combinando defensa perimetral con zero trust».

Entonces, ¿por qué prosperó la percepción de una panacea universal?

• Los proveedores querían vender sus suites como «indispensables para implantar zero trust».
• El caso de Google se leyó como si cualquiera pudiera copiar un modelo total.
• Tras cada incidente se popularizó el «con zero trust no habría pasado», usando el término como explicación a posteriori.

Zero trust tiene coherencia como idea, pero la moda lo exageró.

La trampa del “sin perímetro”: mientras haya rich clients el perímetro sigue importando

Aquí está la cuestión clave. Si todo el mundo usara thin clients sin dejar datos en el terminal, el diseño zero trust encajaría a la perfección. Pero en la realidad empresarial seguimos dependiendo de rich clients, PC con todas las funciones.

Un rich client guarda aplicaciones y datos localmente. Si se compromete, el atacante puede pasar autenticaciones legítimas y desplazarse dentro de la red. Evitar ese movimiento lateral exige, en última instancia, controles de estilo perimetral como firewalls y segmentación.

Por lo tanto, igualar “zero trust” con “sin perímetro” es un error. El problema de diseño real es optimizar el grosor del perímetro según tu entorno.

Entonces, ¿qué es zero trust en realidad?

Podemos destilarlo así:

• El mito

  • «Una tecnología mágica»
  • «Una revolución que elimina el perímetro»
  • «Una solución universal»

• El contenido real

  • Abandonar la suposición «dentro de la LAN = seguro por defecto»
  • Combinar autenticación, autorización, verificación de dispositivos y monitoreo de logs —tecnologías ya existentes— para construir una operación de seguridad que elimina la confianza implícita dentro del perímetro

Las piezas tecnológicas no son nuevas.

• MFA (autenticación de múltiples factores)
• Integración de identidad con SAML u OAuth
• MDM (gestión de dispositivos móviles)
• EDR (detección y respuesta en endpoints)
• CASB (control de acceso a la nube)
• SASE (plataforma integrada de red y seguridad en la nube)

Zero trust simplemente las agrupó bajo un mismo estandarte.

Conclusión: el verdadero valor de zero trust

¿Es zero trust una moda o una tecnología? La respuesta es: «es una palabra de moda que empaqueta una idea, pero tiene valor porque obliga a cuestionar los supuestos».

A la pregunta «¿qué es zero trust?» quiero responder así:

Dejar de asumir que el interior de la seguridad perimetral (por ejemplo una LAN) es seguro por defecto, y desplegar una operación que elimina la confianza implícita combinando tecnologías existentes. Sin ello, la realidad operativa se desmorona.

No es una magia ni un catálogo nuevo de productos. Pero si le quitamos las capas de marketing, queda un valor real como filosofía de diseño.

Preguntas frecuentes (FAQ)

P: ¿En qué se diferencia zero trust de una VPN? R: La VPN es «la llave para entrar en el perímetro»; una vez dentro, se confía en el usuario. Zero trust mantiene la autenticación y la vigilancia de forma continua incluso después de acceder.

P: ¿Zero trust vuelve inútiles los firewalls tradicionales? R: No. Los controles perimetrales siguen siendo cruciales para evitar infecciones en los terminales (sobre todo en los rich clients) y contener el movimiento lateral.

P: ¿Puede una pyme adoptar zero trust? R: Sí, de forma gradual. Se puede empezar por introducir MFA o reforzar el monitoreo de logs y avanzar por etapas.

P: ¿Zero trust es una tecnología completamente nueva? R: No. Se basa en recombinar tecnologías existentes y redefinirlas como una filosofía operativa.

Enlaces relacionados

• NIST Zero Trust Architecture
• CISA Zero Trust Maturity Model
• Google BeyondCorp