Empiezo este 2021 con una convicción que llevo meses repitiendo en cada conversación con clientes y con mi propio equipo: el perímetro de seguridad, tal como lo conocíamos, ya no existe. Durante años protegimos a las organizaciones como si fueran un castillo con un foso alrededor: un firewall en el borde, una VPN para entrar y la idea reconfortante de que todo lo que estaba "adentro" era confiable. Ese modelo se rompió, y el último año lo terminó de enterrar. Cuando sus equipos, sus aplicaciones y sus datos viven repartidos entre la nube, las oficinas y las casas de cada colaborador, ¿dónde queda el borde que usted debía defender? Mi respuesta, y la de buena parte de la industria, es Zero Trust.
En corto: Zero Trust es un enfoque de seguridad que parte de un principio simple: "nunca confíes, siempre verifica". En lugar de confiar en una red, se verifica cada acceso a partir de la identidad, el dispositivo y el contexto. No es un producto que se compra, sino una estrategia que se adopta por fases.
Zero Trust, o confianza cero, es un modelo de arquitectura de seguridad que elimina la idea de "red confiable". Bajo este enfoque, ningún usuario, dispositivo o aplicación recibe confianza por defecto, sin importar si está dentro o fuera de la red corporativa. Cada solicitud de acceso se trata como si proviniera de una red abierta y hostil, y por lo tanto debe autenticarse, autorizarse y validarse antes de concederse.
La frase que mejor lo resume es la que ya cité: "nunca confíes, siempre verifica". En la práctica, esto significa dejar de preguntar "¿estás dentro de mi red?" y empezar a preguntar "¿quién eres, desde qué dispositivo, en qué condiciones y para hacer qué exactamente?". Esa pregunta se repite en cada acceso, no una sola vez al inicio de la sesión.
El modelo de castillo y foso funcionaba cuando casi todo vivía dentro de un centro de datos propio y la gente trabajaba desde la oficina. Esa realidad se desvaneció, y por varias razones que hoy conviven:
El borde no desapareció porque alguien lo decidiera: se disolvió porque el trabajo cambió. Defender una línea que ya no existe es gastar esfuerzo en el lugar equivocado.
Cuando acompaño a una organización en este camino, insisto en que Zero Trust no es una herramienta sino la suma de varios pilares que se refuerzan entre sí. Estos son los que considero esenciales:
Si ya no podemos confiar en la red, la identidad pasa a ser el punto de control central. Saber con certeza quién está pidiendo acceso es la base de todo lo demás. Por eso la autenticación multifactor (MFA) deja de ser opcional y se vuelve el cimiento. La identidad del usuario, sumada a la del dispositivo, define qué puede ver y hacer cada quien.
En lugar de una gran red plana donde todo se comunica con todo, la microsegmentación divide el entorno en zonas pequeñas y aisladas. Así, si un atacante compromete un segmento, no obtiene acceso libre al resto. Se limita el movimiento lateral, que es precisamente lo que más daño causa en un incidente.
Cada usuario y cada sistema debe tener únicamente los permisos que necesita para su tarea, ni uno más. El principio de menor privilegio reduce la superficie de ataque: si una cuenta se ve comprometida, el daño potencial queda acotado a lo poco que esa cuenta podía hacer.
La confianza no se concede de forma permanente. El acceso se reevalúa de manera continua según el contexto: la ubicación, el estado del dispositivo, la hora, el comportamiento. Si algo cambia y luce anómalo, se exige una nueva verificación o se revoca el acceso. La sesión nunca es un cheque en blanco.
La pregunta que más recibo es esta, y entiendo la preocupación: nadie quiere paralizar el negocio en nombre de la seguridad. La buena noticia es que Zero Trust no se implementa de un día para otro ni con un solo proyecto gigante. Se adopta por fases, priorizando lo que más valor protege. Un camino razonable suele verse así:
Cada fase entrega valor por sí misma. No hay que esperar al final para estar más seguro: se mejora la postura en cada paso.
Quiero detenerme en un punto que a veces queda en segundo plano. Zero Trust genera muchas decisiones de acceso y muchas señales: quién entró, desde dónde, qué intentó hacer. Toda esa información solo sirve si alguien la observa, la correlaciona y actúa. La verificación continua necesita ojos. Por eso una estrategia de confianza cero madura se apoya en capacidades de monitoreo permanente, ya sea con un equipo propio o con un servicio especializado como un SOC que vigile y responda las 24 horas. Sin esa capa, Zero Trust se queda en intención y no en práctica.
En nuestra práctica de ciberseguridad abordamos esto de forma integrada: la arquitectura, la identidad y la operación de vigilancia se diseñan juntas, no como piezas sueltas.
¿Zero Trust significa que ya no necesito firewall ni VPN?
R. No exactamente. Significa que dejan de ser su única línea de defensa y que la confianza ya no se basa solo en estar conectado a la red. Las herramientas tradicionales pueden seguir presentes, pero subordinadas a la verificación de identidad y contexto.
¿Es Zero Trust solo para grandes empresas?
R. No. El principio de "nunca confíes, siempre verifica" aplica a cualquier organización. De hecho, empezar por la identidad y el MFA es accesible para empresas de cualquier tamaño y aporta protección desde el primer día.
¿Cuánto tarda implementar Zero Trust?
R. No es un proyecto con fecha de cierre única, sino un modelo que se adopta y madura por fases. Las primeras fases pueden dar resultados visibles en plazos cortos; la madurez completa es un recorrido continuo.
¿Zero Trust reemplaza al equipo de seguridad?
R. Al contrario. Lo potencia. La tecnología aplica las políticas, pero la verificación continua y la respuesta ante anomalías siguen necesitando criterio humano y procesos sólidos.
Si algo le dejo de esta reflexión de inicio de año es esto: no espere a tener "todo listo" para empezar. Zero Trust se construye por fases, y la primera, dar visibilidad y fortalecer la identidad, ya lo deja en una posición mucho mejor. Mi recomendación práctica es comenzar con un diagnóstico honesto de dónde está su organización hoy frente a estos pilares, y trazar desde ahí una hoja de ruta realista.
En SUMāTO acompañamos ese recorrido, desde el diagnóstico hasta la operación. Si quiere conversar sobre cómo dar el primer paso hacia un modelo de confianza cero en su organización, escríbanos a través de https://sumatogroup.com/contacto y lo ayudamos a definir por dónde empezar.