Página web
Volver a la descripción general

Zero Trust

Zero Trust es un concepto de seguridad basado en el principio "never trust, always verify". Ningún usuario, dispositivo ni aplicación se considera automáticamente de confianza, ni siquiera cuando ya se encuentra dentro de la red interna. En lugar de apostar por la seguridad perimetral clásica, que considera seguro todo lo que está dentro de la red corporativa, Zero Trust exige una verificación explícita de la identidad, el estado del dispositivo y el contexto en cada intento de acceso.

El mecanismo central de Zero Trust es la autenticación continua y el principio de mínimo privilegio. Cada acceso se evalúa dinámicamente en función de factores como la identidad del usuario, la configuración del dispositivo, la ubicación y los patrones de comportamiento. Tecnologías como la autenticación multifactor, el acceso condicional y la microsegmentación garantizan que los usuarios solo puedan acceder a los recursos que realmente necesitan para su tarea concreta.

Un escenario de uso típico son las empresas con muchos empleados de campo que acceden diariamente a datos corporativos desde distintos dispositivos y ubicaciones. También los titulares de centros escolares que gestionan tablets y portátiles en varios centros se benefician del enfoque Zero Trust, ya que los dispositivos solo obtienen acceso a sistemas sensibles cuando están configurados de forma segura de manera demostrable. Los organismos públicos e instituciones utilizan además el concepto para cumplir de forma estructurada requisitos regulatorios como la Directiva NIS2 o el RGPD.

Una ventaja esencial de Zero Trust es la reducción del radio de ataque en caso de incidente. Incluso si un dispositivo o una cuenta de usuario se ve comprometida, el estricto control de acceso impide que los atacantes se desplacen lateralmente por la red y accedan a más recursos. Esto convierte a Zero Trust en una de las estrategias más eficaces contra escenarios de amenaza modernos como el ransomware o los ataques internos.

La implementación de Zero Trust comienza a nivel de dispositivo, ya que solo los dispositivos que cumplen de forma demostrable las políticas de seguridad definidas obtienen acceso a los datos corporativos. Cómo puede aplicarse esto de forma consecuente en una infraestructura de TI conforme con el RGPD se describe allí en detalle.