Zero Trust no es un producto que se compra: es una arquitectura que se construye

En los últimos años “Zero Trust” ha pasado de ser un concepto de seguridad riguroso a ser una etiqueta de marketing que aparece en la página de ventas de prácticamente cualquier producto de ciberseguridad. El resultado es que muchas organizaciones creen haber implementado Zero Trust cuando en realidad han comprado un producto que lo menciona en su folleto.

Este artículo no pretende desmontar el concepto — Zero Trust es el enfoque correcto. Pretende aclarar qué significa realmente.

El principio fundamental

Zero Trust parte de una premisa sencilla: no confíes en nada por defecto, ni dentro ni fuera de tu red.

El modelo de seguridad tradicional asumía que todo lo que estaba dentro del perímetro de red era confiable. En 2025, ese modelo es indefendible: el trabajo remoto, la nube, los dispositivos personales, los partners externos y las APIs públicas han eliminado el concepto de “dentro” de la red.

Zero Trust reemplaza ese modelo con uno basado en verificación continua: cada usuario, dispositivo y aplicación debe autenticarse y autorizarse para cada recurso al que intenta acceder, independientemente de dónde esté.

Los cinco pilares reales

Una implementación Zero Trust real abarca cinco dominios:

1. Identidad. Autenticación fuerte (MFA) para todos los usuarios y servicios. Revisión periódica de privilegios. Principio de mínimo privilegio aplicado consistentemente.

2. Dispositivos. Solo los dispositivos gestionados y con postura de seguridad verificada pueden acceder a recursos corporativos. Esto incluye evaluación de parches, configuración y estado del antivirus en tiempo real.

3. Red. Microsegmentación. Las aplicaciones y servicios se comunican solo con lo que necesitan. El tráfico lateral dentro de la red es monitorizado y restringido, no asumido como seguro.

4. Aplicaciones y datos. Control de acceso granular a nivel de aplicación. Los datos sensibles están cifrados y su acceso está auditado.

5. Visibilidad y analytics. Sin visibilidad no hay Zero Trust. Necesitas saber quién accede a qué, cuándo y desde dónde — y detectar anomalías automáticamente.

Por qué el 60% de reducción de incidentes no es magia

En Widoit Group implementé Zero Trust en una organización de 40+ empleados con infraestructura híbrida. El resultado fue una reducción del 60% en incidentes de seguridad en el año posterior.

Ese número no salió de comprar un producto. Salió de:

• Inventariar todos los activos y clasificar el acceso a cada uno
• Implementar MFA en todos los accesos, incluyendo los internos
• Segmentar la red por función de negocio, no por topología física
• Desplegar SIEM con correlación ML para detectar comportamientos anómalos
• Formar al equipo para que entendiera por qué se hacían los cambios

El proceso duró meses. Requirió compromiso de dirección. Y funcionó.

Lo que deberías preguntar antes de comprar cualquier solución “Zero Trust”

• ¿Cubre identidad, dispositivos, red, aplicaciones y datos — o solo uno de ellos?
• ¿Cómo se integra con tu infraestructura existente?
• ¿Qué cambios de proceso requiere en el equipo?
• ¿Qué visibilidad añade y cómo se consume esa información?

Si el vendor no puede responder con precisión a estas preguntas, lo que vende no es Zero Trust — es un componente que puede ser parte de una arquitectura Zero Trust si se complementa correctamente.

Angel Sulev es arquitecto de seguridad e IA. Ha implementado Zero Trust en entornos enterprise, educativos e industriales.