Curso
Introducción a GCP
2 h
5.8K
Hoy en día, la gente trabaja desde cualquier lugar (casas, espacios de coworking, aeropuertos, cafeterías...) utilizando dispositivos personales, aplicaciones en la nube y herramientas SaaS compartidas que se encuentran fuera del perímetro de la empresa. Con la arquitectura de confianza cero (ZTA), asumimos que podría producirse una violación en cualquier momento, en lugar de confiar por defecto.
Descubrí el concepto de «confianza cero» hace unos años, cuando trabajaba con una startup que tenía ingenieros repartidos por tres continentes y cuyos datos de clientes circulaban por varios proveedores de nube. Llevar un control de quién podía acceder era todo un reto, por decirlo suavemente. Sin embargo, la implementación de algunos principios de ero-trustde zmarcó una diferencia inmediata. Tuvimos menos falsas alarmas, una responsabilidad más clara y mucho menos estrés para todos los involucrados.
En este artículo, veremos qué significa realmente el modelo «zero trust», cómo funciona en la práctica y cómo cualquier organización puede empezar a adoptarlo para garantizar su seguridad. Si eres nuevo en el mundo de la ciberseguridad o deseas refrescar rápidamente tus conocimientos sobre cómo funcionan las amenazas modernas, nuestro curso Introducción a la seguridad de los datos es un excelente punto de partida. Repasa principios básicos como la autenticación, el cifrado y el control de acceso.
¿Qué es la arquitectura Zero Trust?
ZTA es un modelo de seguridad basado en una idea clave: nunca confíes, siempre verifica. En lugar de dar por sentado que los usuarios o dispositivos dentro de tu red son seguros, Zero Trust trata cada solicitud como potencialmente maliciosa hasta que se demuestre lo contrario. Puede parecer estricto, pero reduce drásticamente la posibilidad de que alguien se cuele sin ser visto.
El modelo Zero Trust no es un producto o herramienta que se pueda comprar. Es un marco que combina políticas, gestión de identidades, supervisión y automatización para garantizar que todas las solicitudes de acceso sean legítimas y adecuadas al contexto. Analiza aspectos como:
- Quién realiza la solicitud (identidad del usuario)
- Qué dispositivo están utilizando (postura del dispositivo)
- Desde dónde se conectan (ubicación y nivel de riesgo)
- Lo que intentan hacer (accesocon privilegios mínimos)
Al verificar continuamente estos factores, el modelo Zero Trust ayuda a las organizaciones a protegerse contra amenazas modernas como el robo de credenciales, el uso indebido por parte de empleados y el movimiento lateral tras una brecha de seguridad.
Vale, pero ¿qué significa eso en la práctica? Bueno, todo el modelo se basa en tres principios sencillos pero poderosos:
1. Verificación continua
El modelo de confianza cero parte de la base de que la confianza debe caducar rápidamente. Cada inicio de sesión, cada solicitud de acceso y, en ocasiones, incluso cada acción, se verifica en tiempo real. La autenticación multifactorial, las comprobaciones del estado de los dispositivos y el análisis del comportamiento ayudan a confirmar que los usuarios son quienes dicen ser y que sus dispositivos son seguros para conectarse.
2. Acceso con privilegios mínimos
Incluso los usuarios de confianza no deberían tener acceso general a todo. La idea es daros a vosotros y a los sistemas just el acceso suficiente para hacer vuestro trabajo, y nada más. Técnicas como «just-in-time» (JIT) y «just-enough access» (JEA) ayudan a limitar la exposición, de modo que si una cuenta se ve comprometida, el daño queda contenido.
3. Suponer incumplimiento
El modelo «zero trust» parte de la premisa de que es posible que ya haya un atacante dentro. En lugar de basarse únicamente en la prevención, se centra en la contención, utilizando elementos como la microsegmentación, la detección de anomalías y la supervisión continua para detener las amenazas antes de que se propaguen.
Los pilares del modelo Zero Trust
Los pilares de ZTA traducen la filosofía en áreas específicas de interés. Los distintos marcos definen estos pilares de forma ligeramente diferente (la CISA utiliza cinco, mientras que el Departamento de Defensa los amplía a siete), pero todos ellos tienen como objetivo responder a una pregunta: ¿Cómo verificamos, protegemos y contenemos el riesgo en toda la organización?
|
Pilar |
Qué cubre |
Ejemplos de tecnologías habilitadoras |
|
Identidad |
Verificar quién es el usuario y si debe acceder a lo que está solicitando. |
IAM, SSO, MFA |
|
Dispositivos |
Garantizar que todos los dispositivos conectados (ordenadores portátiles, teléfonos, sensores IoT) cumplan las normas de seguridad y cumplimiento antes de acceder. |
Detección y respuesta en los puntos finales (EDR), MDM, comprobaciones de postura |
|
Redes |
Segmentar las redes para que una brecha en un área no se propague. El acceso se controla dinámicamente en función del riesgo. |
ZTNA, perímetros definidos por software, microsegmentación |
|
Aplicaciones y cargas de trabajo |
Protección de aplicaciones y API contra el uso indebido o la explotación, tanto si se encuentran en las instalaciones como en la nube. |
Protección de cargas de trabajo en la nube (CWP), seguridad en tiempo de ejecución |
|
Datos |
Clasificar y proteger los datos confidenciales independientemente de dónde se encuentren o se trasladen, en lugar de solo donde se almacenan. |
Cifrado, DLP, políticas de control de acceso |
|
Visibilidad y análisis |
Supervisar continuamente los registros, los patrones de acceso y el comportamiento para detectar anomalías y posibles infracciones de forma temprana. |
SIEM, UEBA, registro centralizado |
|
Automatización y coordinación |
Uso de la automatización para aplicar las políticas de forma coherente y responder a los incidentes con mayor rapidez. |
SOAR, motores de políticas, corrección automatizada |
Sé que parece mucho, ¡pero no tienes que asegurarlo todo de una vez! De hecho, la mayoría de las organizaciones comienzan con proyectos pequeños (a menudo con identidad y dispositivos) y se expanden gradualmente a medida que sus sistemas y equipos maduran. Veamos eso más detenidamente.
Cómo implementar el modelo Zero Trust
No voy a mentir, implementar ZTA puede ser una tarea ardua. Sin embargo, como mencioné antes, no es necesario hacerlo todo de una sola vez. Las implementaciones más exitosas se producen de forma gradual, comenzando con la visibilidad y pequeños logros de gran impacto antes de expandirse a todos los sistemas y equipos.
Cuando ayudé a una startup a implementar sus primeros controles de confianza cero, no empezamos con sofisticadas automatizaciones ni segmentaciones de red. Simplemente hicimos un mapa de quién tenía acceso a qué, aplicamos la autenticación multifactorial (MFA) en todas partes y creamos unas cuantas políticas claras. Incluso ese pequeño paso redujo significativamente el riesgo y facilitó la identificación de las áreas en las que se necesitaban mejoras más importantes.
Aquí tienes una hoja de ruta práctica que funcionará para la mayoría de las organizaciones:
1. Mapea tus activos y flujos de datos.
No puedes proteger lo que no sabes que existe. Comienza por identificar a los usuarios, los dispositivos, las aplicaciones y los datos, así como la forma en que interactúan. Esto ayuda a descubrir rutas de acceso innecesarias o sistemas heredados que generan riesgos de forma silenciosa.
2. Verificar usuarios y dispositivos
Introducir una verificación sólida de la identidad y del dispositivo. Esto implica habilitar la autenticación multifactorial (MFA), comprobar el estado de los dispositivos e integrar sistemas de gestión de identidades (como IAM o SSO) para que la autenticación se realice de forma coherente en todas las herramientas.
3. Mapea los flujos de trabajo y las dependencias.
Documenta cómo se conectan los datos y las aplicaciones. Esto te ayuda a comprender qué sistemas son más críticos y cuáles pueden aislarse o limitarse sin interrumpir las operaciones diarias.
4. Definir y aplicar políticas
Redacta políticas de acceso basadas en el privilegio mínimo y el riesgo contextual. Por ejemplo, un contratista solo puede acceder a una aplicación específica durante el horario laboral y únicamente desde un dispositivo verificado.
5. Automatizar y supervisar continuamente
Una vez establecidas tus reglas, la automatización garantiza su coherencia. Las herramientas de supervisión continua pueden señalar inicios de sesión inusuales, escaladas de privilegios o transferencias de datos en tiempo real antes de que se conviertan en incidentes graves.
6. Prueba, aprende y repite.
Si recuerdas algo de este artículo, que sea esto: ¡El modelo Zero Trust no es algo que se activa con solo marcar una casilla! Es un sistema en constante evolución. Es necesario que compruebes los controles, revises las alertas y ajustes las políticas con regularidad, especialmente a medida que tu organización crece.
Dado que gran parte del modelo Zero Trust se basa en comprender tu entorno de nube, nuestro curso «Comprender la computación en la nube » es un complemento ideal para «». Explica cómo funcionan los servicios de nube y cómo pensar en la propiedad de los datos, las cargas de trabajo y la arquitectura en un mundo de nube.
Ventajas y retos del modelo Zero Trust
Cuando la ZTA se hace correctamente, crea una base clara y coherente para el control de acceso y la visibilidad en toda la organización. Pero, como cualquier gran cambio, también conlleva sus retos.
Esto es lo que puedes esperar de ambas partes:
|
Categoría |
Beneficios |
Retos |
|
Seguridad |
Mayor protección contra el robo de credenciales, el ransomware y las amenazas internas. Los atacantes no pueden moverse libremente una vez dentro. |
Planificación compleja y una curva de aprendizaje pronunciada para los equipos que no están familiarizados con este enfoque. |
|
Operaciones |
Visibilidad clara de los usuarios, los dispositivos y los flujos de datos. Solución de problemas más sencilla y respuesta más rápida ante incidentes. |
La integración de múltiples herramientas y políticas puede generar confusión al principio. |
|
Cumplimiento |
Mejores registros de auditoría, cifrado y control de acceso facilitan el cumplimiento de marcos normativos como el RGPD o la HIPAA. |
Requiere una gestión y documentación disciplinadas de las políticas. |
|
Productividad |
El inicio de sesión único (SSO) sin interrupciones y la autenticación adaptativa agilizan el acceso seguro, sin complicarlo. |
Las políticas mal ajustadas pueden frustrar a los usuarios si bloquean el trabajo legítimo. |
|
Coste y escala |
Con el tiempo, la automatización y el control centralizado reducen los gastos generales y simplifican la gestión. |
Los costes iniciales de configuración y la necesidad de adquirir nuevas habilidades pueden suponer un obstáculo para los equipos más pequeños. |
Hay algo más que vale la pena mencionar aquí. Cuandotrabajé por primera vezen la implementaciónde un sistema de confianza erógenaz, el mayor obstáculo no fue la tecnología ni las herramientas, sino la mentalidad general de la empresa. La gente está acostumbrada a confiar una vez y seguir adelante. El modelo de confianza cero les pide que verifiquen cada vez. Al principio parece un trabajo extra, pero una vez que se pone en marcha la automatización, pasa a ser casi invisible para el usuario final. ¡Todos deben confiar en el proceso!
Una cosa que puedes hacer para mitigar eso es adoptar la medida de forma gradual. Empieza poco a poco (quizás solo con la identidad y la autenticación multifactorial), demuestra el valor y amplía gradualmente. Con el tiempo, encontrarás el equilibrio entre la seguridad y una experiencia de usuario fluida.
Confianza cero en la vida real
Algunas de las organizaciones más grandes del mundo aplican el modelo de confianza cero para proteger sus sistemas, datos y personas. Lo interesante es que cada lanzamiento exitoso es un poco diferente. Algunos comenzaron tras una infracción, otros como parte de una iniciativa de modernización.A continuación se muestran algunos ejemplos que ilustran cómo funciona en la práctica y qué podemos aprender de ellos:
Google: De las VPN a BeyondCorp
En 2009, Google sufrió un importante ciberataque conocido como Operación Aurora. En lugar de parchear los sistemas antiguos, la empresa replanteó por completo la forma en que los empleados accedían a los recursos. El resultado fue BeyondCorp, uno de los primeros modelos de confianza cero que eliminó por completo la necesidad de utilizar VPN.
Todas las solicitudes a aplicaciones internas se verifican mediante la identidad, el estado del dispositivo y el contexto (como la ubicación o la red). Esto significa que, tanto si un ingeniero trabaja desde Mountain View como desde una cafetería en Tokio, el acceso se concede de la misma manera: de forma dinámica, basándose en señales de confianza.
Ahora Google cuenta con una plantilla global que puede trabajar de forma segura desde cualquier lugar sin las constantes fricciones que supone el acceso basado en la red. BeyondCorp demostró que el modelo de confianza cero podía ampliarse, mucho antes de que el teletrabajo se convirtiera en algo habitual.
Capital One: Contener infracciones con segmentación
En 2019, un firewall mal configurado provocó una filtración masiva de datos en Capital One, dejando al descubierto millones de registros de clientes. La recuperación de la empresa se centró en la adopción de principios de confianza cero en toda su infraestructura en la nube.
Implementaron roles IAM detallados, microsegmentación y supervisión continua en miles de cuentas de AWS. En lugar de una gran red interna «de confianza», cada aplicación se convirtió en su propio entorno independiente.
Ahora, incluso si un atacante compromete un componente, el movimiento lateral es limitado y la brecha se detiene en el origen.
Los Estados Unidos Departamento de Defensa: Protección a gran escala
Con millones de usuarios y una de las huellas digitales más grandes del mundo, Estados Unidos... El Departamento de Defensa se enfrentó a la tarea imposible de modernizar su modelo de seguridad. En 2022, lanzaron una estrategia Zero Trust de cinco años basada en siete pilares: identidad, dispositivos, redes, aplicaciones, datos, visibilidad y automatización.
Sus primeras áreas de interés fueron la identidad y la visibilidad: garantizar que todos los usuarios y dispositivos, en todas las sucursales, se autenticaran bajo el mismo conjunto de políticas contextuales. Con el tiempo, estos controles se extendieron a la automatización y a las respuestas adaptativas al riesgo.
Esta implementación masiva y por fases demostró que incluso las organizaciones más complejas pueden realizar la transición al modelo de confianza cero.
Atención sanitaria: Proteger los datos de los pacientes sin ralentizar la atención médica
En el ámbito sanitario, el tiempo y la precisión salvan vidas, por lo que los modelos de seguridad tradicionales basados en «bloquearlo todo» no funcionan. Hospitales como la Clínica Mayo han adoptado el modelo de confianza cero para proteger los registros de los pacientes sin obstaculizar los flujos de trabajo clínicos.
Cada función del personal tiene niveles de acceso claramente definidos: Los médicos pueden acceder a registros médicos electrónicos confidenciales desde dispositivos móviles seguros, mientras que las enfermeras y el personal administrativo tienen acceso restringido y limitado en el tiempo a los datos que realmente necesitan.
Estas decisiones de acceso se refuerzan mediante la microsegmentación y la supervisión continua, lo que garantiza que, incluso si se roba una credencial, no se pueda abrir todas las puertas de la red del hospital. ZTA no es solo para las grandes empresas tecnológicas.
El papel de la IA y la automatización en el modelo Zero Trust
Una vez sentadas las bases del modelo Zero Trust, el siguiente paso es hacer que todo funcione a gran escala. Por suerte, hoy en día contamos con la inteligencia artificial y la automatización para ayudarnos con eso.
El modelo «zero trust» genera una gran cantidad de datos: registros, patrones de acceso, señales de dispositivos y métricas de comportamiento. Revisar todo manualmente no es realista. La automatización convierte ese ruido en acción, y la IA ayuda a detectar las señales débiles que los humanos podrían pasar por alto.
Detección más inteligente gracias a machine learning
Los sistemas de seguridad tradicionales se basan en reglas fijas. Por ejemplo, «bloquear los inicios de sesión desde fuera del Reino Unido». Pero los sistemas de IA pueden aprender qué es lo «normal» para cada usuario o dispositivo y señalar las desviaciones sutiles:
- Un desarrollador accede a un nuevo repositorio a las 3 de la madrugada.
- Un dispositivo que de repente falla en la comprobación de estado después de una actualización.
- Un usuario que descarga más datos de lo habitual.
Estas anomalías no siempre significan un ataque. Son advertencias, y la IA ayuda a separar lo inofensivo de lo peligroso mucho más rápido que la revisión manual. Se utiliza cada vez con más frecuencia, y empresas como CrowdStrike y Microsoft Defender utilizan análisis basados en el aprendizaje automático para detectar movimientos laterales y el uso indebido de credenciales en cuestión de segundos.
Aplicación automatizada de políticas
Una vez que puedas ver lo que está sucediendo, la automatización puede ayudarte a responder. Si un dispositivo deja de cumplir con los requisitos o un inicio de sesión parece sospechoso, las herramientas de confianza cero pueden:
- Forzar una reautenticación inmediata.
- Aísla el dispositivo de la red.
- Revoca automáticamente los tokens de acceso.
Así es como funcionan plataformas como Zscaler Zero Trust Exchange u Okta's Risk Engine. El ajuste dinámico en tiempo real es más rápido que la respuesta humana y, por lo general, implica una aplicación coherente y sin sesgos en todos los ámbitos.
Mejora continua y autoajuste
La IA también ayuda a mantener las políticas actualizadas. A medida que cambian los patrones de trabajo (piensa en nuevas aplicaciones, nuevas ubicaciones, nuevos comportamientos), los modelos de aprendizaje automático pueden recomendar cambios o ajustar automáticamente los umbrales. De esta forma, la seguridad sigue siendo sólida sin necesidad de realizar ajustes manuales constantemente ni correr el riesgo de aplicar configuraciones demasiado restrictivas que frustran a los usuarios.
¿Recuerdas cuando dije que ZTA no era un trabajo «de una sola vez»? Pues bien, la combinación de la inteligencia artificial y la automatización puede ayudarte a convertir el modelo de confianza cero en un sistema dinámico. Reacciona ante nuevas amenazas, se adapta al comportamiento de los usuarios y mantiene la seguridad invisible hasta que algo parece estar mal.
Cumplimiento normativo y confianza cero
Además de mejorar la seguridad, el modelo «zero trust» también facilita mucho el cumplimiento normativo en un mundo en el que las leyes de protección de datos son cada vez más estrictas. Normativas como el RGPD, la HIPAA, la PCI-DSS y la Estrategia Federal Zero Trust de EE. UU. (EO 14028) hacen hincapié en tres aspectos comunes: saber quién accede a los datos, protegerlos tanto en tránsito como en reposo y mantener registros de auditoría detallados.
El modelo Zero Trust respalda de forma natural todos estos objetivos, ya que se basa en la verificación de identidades, el acceso con privilegios mínimos y el cifrado por defecto. ¡El cumplimiento normativo se convierte en un subproducto de la propia arquitectura!
Conclusión
La ciberseguridad solía consistir en mantener alejados a los malos actores. Hoy en día, se trata de mantener la resiliencia cuando (¡no si!) encuentren la manera de entrar. Como hemos visto, el modelo Zero Trust no es un gran cambio que se activa de golpe, sino una transformación gradual en la forma de pensar sobre el acceso, el riesgo y la responsabilidad. Empieza por la visibilidad. Añade controles de identidad rigurosos. Automatiza lo que puedas. Con el tiempo, pasarás de reaccionar ante los incidentes a prevenirlos antes de que ocurran.
Lo mejor de todo es que el modelo Zero Trust no solo protege la tecnología, sino también la forma de trabajar de las personas. Si se hace bien, debería ayudarte a incorporar la seguridad en las operaciones diarias sin ralentizar a nadie.
Y aunque el viaje nunca termina realmente, cada paso te acerca a un sistema que aprende, se adapta y te mantiene un paso por delante, incluso cuando el panorama de amenazas sigue cambiando.
Author
Marie Fayard
Soy un líder tecnológico con mentalidad de producto, especializado en el crecimiento de startups en fase inicial, desde el primer prototipo hasta la adaptación del producto al mercado y más allá. Siento una curiosidad infinita por saber cómo utiliza la gente la tecnología, y me encanta trabajar estrechamente con fundadores y equipos multifuncionales para dar vida a ideas audaces. Cuando no estoy creando productos, busco inspiración en nuevos rincones del mundo o me desahogo en el estudio de yoga.
Temas
