Zero Trust: más que una simple palabra de moda – Mejores prácticas sobre límites, madurez y evolución, y la arquitectura ZTNA

Una arquitectura Zero Trust Network Access (ZTNA) se construye sobre varias mejores prácticas interconectadas para garantizar un acceso seguro y granular a los recursos. En el núcleo de este modelo se encuentran la autenticación y autorización continuas, donde cada solicitud de acceso es precedida por una verificación dinámica de la identidad del usuario—a menudo utilizando autenticación multifactor (MFA) o biometría—y de la postura de seguridad del dispositivo. Este enfoque elimina la visibilidad de la red para el usuario mediante la implementación de una segmentación a nivel de aplicación que expone solo los recursos autorizados. Esto reduce drásticamente la superficie de ataque y, gracias a la microsegmentación, limita el movimiento lateral en caso de una brecha.

Estas reglas son gestionadas por un motor de políticas avanzado y distribuido, capaz de realizar evaluaciones contextuales en tiempo real basadas en la identidad, el rol, el dispositivo y el comportamiento. Todo el tráfico se dirige a través de intermediarios y túneles cifrados que inspeccionan y aseguran los datos intercambiados entre el usuario y la aplicación, evitando así el acceso directo a los activos del back-end. Paralelamente, la telemetría y analíticas continuas, alimentadas por registros detallados, permiten la Analítica de Comportamiento de Usuarios y Entidades (UEBA) y la optimización dinámica de políticas. Este sistema culmina con un monitoreo continuo y una respuesta adaptativa: cualquier cambio en el perfil de riesgo, como una alteración en la postura del dispositivo o un comportamiento anómalo, desencadena una reacción inmediata y automatizada. Dicha respuesta puede variar desde requerir una verificación adicional (autenticación escalada) hasta revocar inmediatamente la sesión.

Desafíos operativos: donde se esconde la complejidad

Ahora, hablemos de los verdaderos obstáculos. Al profundizar en los detalles, la gestión de identidades federadas en entornos SaaS, locales y OT pone de relieve limitaciones que la teoría Zero Trust no soluciona fácilmente. Aunque la seguridad en teoría se basa en definir reglas de acceso estructuradas (RBAC/ABAC), el negocio exige fluidez, rapidez, colaboración externa con socios (federación), permisos temporales (gestión de privilegios) y respuesta a riesgos en tiempo real. Estas necesidades en competencia generan fricción; si las reglas—por muy seguras que sean—se vuelven demasiado dinámicas y complejas de implementar, ralentizan el trabajo y los usuarios siempre encontrarán una solución de atajo. Esto conduce a IT en la sombra y a soluciones alternativas de productividad que, en última instancia, socavan la seguridad.

Al observar los entornos heredados, la situación se complica aún más: la microsegmentación teórica choca con máquinas virtuales obsoletas, hardware incompatible y APIs no estandarizadas. Con frecuencia surgen brechas entre la orquestación declarada y su aplicación real, sobre todo en arquitecturas multicloud e híbridas.

Y no olvidemos la gestión del cambio: las personas siguen siendo el factor crítico de éxito. Gartner y Forrester lo han afirmado durante años: la resistencia interna, los hábitos arraigados y las soluciones alternativas silenciosas siguen siendo las verdaderas barreras para escalar eficazmente un modelo ZTNA.

Modelo de madurez: midiendo el progreso de verdad

Es aquí donde entra en juego una herramienta fundamental: el modelo de madurez. Hoy en día, la referencia más autorizada es el Zero Trust Maturity Model (ZTMM) de la CISA, que se alinea con la norma NIST SP 800-207. Este modelo proporciona un camino y una escala que permiten a las organizaciones comprender el panorama general, el trayecto a seguir y su nivel actual en una escala de madurez — Tradicional, Inicial, Avanzado y Óptimo.

Si consideramos los cinco pilares:

1. Identidad: Gestión minuciosa del ciclo de vida y de los privilegios.
2. Dispositivos: Evaluación continua de la postura, aislamiento y cumplimiento.
3. Redes: Segmentación, control del tráfico este-oeste e inspecciones detalladas.
4. Aplicaciones y cargas de trabajo: Acceso contextualizado, control de APIs y de las cargas de trabajo.
5. Datos: Clasificación, políticas centradas en los datos y cifrado en uso.

Ninguna empresa en el mundo sobresale de igual manera en todos los pilares a cada nivel de madurez. La hoja de ruta Zero Trust es un viaje, y cada nueva auditoría puede reordenar las prioridades operativas.

Evolución y oportunidades

El camino a seguir es claro. En un futuro próximo veremos:

1. Políticas adaptativas basadas en IA que se actualicen en tiempo real según comportamientos anómalos detectados en las cargas de trabajo o entre los usuarios, mediante líneas base dinámicas.
2. Paneles y métricas impulsados por datos, integrados con modelos de madurez, que aporten decisiones no solo técnicas, sino también relativas a inversiones, auditorías y gestión de riesgos directamente a los comités de gobernanza.
3. Seguridad centrada en los datos y computación confidencial, que extiendan Zero Trust a los datos "en uso", no solo a la red o la identidad, aprovechando los TEEs y cifrado avanzado.
4. Una integración más estrecha entre la microsegmentación de red y las políticas ZTNA, reduciendo aún más la superficie vulnerable y la posibilidad de movimiento lateral.
5. Seguridad adaptativa para soportar entornos distribuidos, usuarios móviles e IoT, proporcionando una respuesta eficaz a las limitaciones de las VPN tradicionales y la segmentación estática.

El camino hacia Zero Trust no puede improvisarse, ni comprarse "enlatado". Requiere un diseño, medición y realineación constantes a través de modelos de madurez, marcos estructurados y un modelo de gobernanza ajustado a los datos reales y a los riesgos operativos. Incorpore la discusión sobre la resiliencia y madurez Zero Trust en sus comités directivos de TI, reuniones de auditoría y conversaciones entre líneas de negocio. Hoy, su hoja de ruta puede ser el verdadero motor de la innovación y la continuidad empresarial.

Raffaele Sarno

Jefe de Preventa, Departamento de Operaciones de Seguridad NEVERHACK, Italia