En 2010, Google sufrió la Operación Aurora, un ataque sofisticado atribuido a actores estatales chinos que aprovechó vulnerabilidades en sistemas internos a los que tuvieron acceso porque estaban dentro del perímetro de red "confiable". La respuesta de Google no fue reforzar el firewall: fue eliminar el concepto de red interna confiable por completo. El resultado fue BeyondCorp, el programa que se convertiría en el modelo de referencia del paradigma Zero Trust.

Una década después, el ataque a SolarWinds demostró que ninguna de las miles de organizaciones afectadas que contaban con perímetros de seguridad sofisticados estaba protegida contra un actor que simplemente se movió lateralmente dentro de la red como si fuera un usuario legítimo. Porque, bajo los modelos tradicionales, lo era.

¿Qué es Zero Trust y por qué el perímetro de red está muerto?

El concepto de Zero Trust o confianza cero fue articulado formalmente por John Kindervag en 2010 mientras trabajaba en Forrester Research. Su premisa central es directa: no confiar en ninguna entidad, ya sea interna o externa a la red, sin verificación explícita y continua.

El modelo tradicional de seguridad perimetral asumía que todo lo que estaba dentro de la red corporativa era confiable. Una vez que un usuario, dispositivo o proceso superaba el firewall externo, podía moverse con relativa libertad. Esa lógica era aceptable cuando los datos vivían en servidores locales y los empleados trabajaban desde oficinas con conexiones físicas. Ya no funciona.

Hoy, las aplicaciones están en la nube, los usuarios se conectan desde cualquier lugar, los dispositivos personales acceden a sistemas corporativos y las identidades comprometidas son la vía de entrada más común para los atacantes. En ese contexto, mantener un perímetro de confianza implícita es un riesgo estructural. Zero Trust elimina ese presupuesto.

Los principios que hacen funcionar el modelo

Zero Trust no es un producto que se instala: es una arquitectura que se construye sobre principios que deben implementarse en conjunto para ser efectivos.

• Verificación continua de identidad y contexto: cada solicitud de acceso se autentica y autoriza en tiempo real, sin importar si proviene de dentro o fuera de la red. El origen no genera confianza; la verificación sí.
• Mínimo privilegio: los usuarios y sistemas reciben únicamente los permisos necesarios para ejecutar la tarea específica que requieren, no acceso amplio a entornos completos. Limitar el radio de daño ante un compromiso es el objetivo.
• Microsegmentación: la red se divide en segmentos aislados con políticas de acceso independientes. Un atacante que compromete un endpoint en el segmento de usuarios no tiene acceso directo al segmento de bases de datos críticas.
• Monitorización continua y análisis de comportamiento: la actividad de usuarios y dispositivos se supervisa en tiempo real para detectar desviaciones del comportamiento normal, incluso cuando las credenciales son válidas.

Estos principios se implementan sobre tecnologías como MFA (autenticación multifactor), sistemas de gestión de identidades y accesos (IAM), soluciones EDR/XDR y plataformas de análisis de comportamiento. Ninguna herramienta por sí sola implementa Zero Trust: es la combinación y la política detrás de ellas.

Implementación: por dónde empezar sin que sea un proyecto infinito

La implementación de Zero Trust no es un evento único ni un proyecto con fecha de finalización. Es una transición progresiva que puede estructurarse por fases según la madurez de la organización.

El punto de partida más práctico es la identidad. Implementar MFA en todas las cuentas críticas y aplicar el principio de mínimo privilegio en las asignaciones de permisos existentes son los dos controles con mayor relación impacto-esfuerzo al inicio del proceso.

El segundo paso es la visibilidad: no se puede aplicar Zero Trust sobre activos que no se conocen. Un inventario actualizado de usuarios, dispositivos, aplicaciones y datos es la base desde la que construir las políticas de acceso. Una auditoría de seguridad de identidad permite identificar qué permisos existen, cuáles son excesivos y dónde hay cuentas sin actividad que representan riesgo latente.

El tercer paso es la microsegmentación, que requiere entender los flujos de datos entre sistemas para definir qué debe poder comunicarse con qué. Este proceso expone con frecuencia conexiones que nadie recordaba que existían y que deberían haberse deshabilitado hace tiempo.

Los principales desafíos no son técnicos: son organizacionales. El cambio cultural que implica pasar de confiar implícitamente en los usuarios internos a verificarlos continuamente genera resistencia. La comunicación clara sobre el porqué de los cambios y la implicación de las áreas de negocio desde el inicio determinan si la implementación avanza o se paraliza.

Por qué Zero Trust es necesario ahora, no en el próximo ciclo de planificación

La realidad es que las condiciones que hacen necesario Zero Trust no son tendencias del futuro: son el presente de la mayoría de las organizaciones. El trabajo remoto e híbrido, la migración a multicloud, la proliferación de dispositivos no gestionados y la sofisticación de ataques que comprometen credenciales legítimas para moverse lateralmente son fenómenos ya consolidados.

Esto no es opcional para organizaciones que manejan datos sensibles o infraestructura crítica. El NIST publicó en 2020 la guía SP 800-207 que formaliza la arquitectura Zero Trust como marco de referencia para agencias federales estadounidenses. La Unión Europea y múltiples marcos regulatorios sectoriales apuntan en la misma dirección.

Organizaciones que implementaron Zero Trust antes de experimentar un incidente significativo tardaron meses en completar las fases iniciales. Las que lo implementaron después de uno tardaron semanas, con presupuestos de emergencia y bajo presión de continuidad operacional. La diferencia en costos y consecuencias es sustancial.

Conclusión: Zero Trust no es un producto, es una postura de seguridad

Implementar Zero Trust correctamente mejora la seguridad, reduce la superficie de ataque y proporciona la visibilidad operacional que los modelos perimetrales nunca ofrecieron. Pero más importante que la tecnología es entender que Zero Trust es una decisión estratégica sobre cómo una organización trata la confianza en sus sistemas.

Google tardó varios años en migrar completamente a BeyondCorp. La migración no fue perfecta ni lineal. Pero la organización que emergió de ese proceso era fundamentalmente más resiliente que la que fue comprometida en la Operación Aurora. Ese es el objetivo real: no un proyecto completado, sino una postura de seguridad que evoluciona con las amenazas.