Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Actualidad

Zero Trust: Seguridad sin confianza implícita

07 Mar 2025

Seguramente se habrán percatado de que nuestros sistemas operativos han dejado de notificarnos con los mensajes periódicos de "la base de datos del antivirus ha sido actualizada". Este cambio puede remontarse a 2010, cuando el analista John Kindervag propuso un enfoque disruptivo: el Zero Trust.

Esta estrategia se basa en nunca ofrecer confianza a lo ajeno. Hasta entonces, la corriente predominante era "confiar pero verificar", lo que generaba la necesidad de constantes actualizaciones en las bases de datos de los antivirus.

¿Qué es Zero Trust?

Al implementar una estrategia de Zero Trust, se debe asumir que todo es malicioso hasta que se demuestre lo contrario. Como resultado, todo lo externo queda vetado de accesos hasta que el usuario o dispositivo se autentique y demuestre su autorización.

Ejecutar esta estrategia correctamente requiere un abanico de herramientas que satisfagan las demandas de seguridad, las cuales varían según el contexto de aplicación.

Zero Trust en la actualidad

El concepto de Zero Trust se ha expandido y sus principios se están implementando de diversas maneras. Entre las más relevantes se encuentran:

  • Arquitectura Zero Trust

  • Acceso de red Zero Trust (ZTNA)

  • Puerta de enlace web segura Zero Trust (SWG)

  • Microsegmentación

A menudo, también se denomina seguridad sin perímetro.

Diferencias entre Zero Trust y la seguridad perimetral

Una arquitectura Zero Trust no confía en nadie ni en nada. En contraste, la seguridad perimetral, aunque restringe el acceso desde fuera de la red, confía en quienes ya están dentro de ella. Esto representa un problema, ya que una vez dentro, los atacantes pueden moverse libremente.

Implementación y herramientas de Zero Trust

Para implementar una arquitectura Zero Trust, se recomienda seguir cuatro fases. Cada una incluye un conjunto de tareas y herramientas clave.

Fase 1: Seguridad inicial

  • Filtrado DNS global: Cisco Umbrella DNS, DNSFilter, Zscaler Shift.

  • Supervisión del correo y filtrado de intentos de phishing: Mimecast, Cloudflare Area 1 Email Security, TitanHQ.

  • Identificación de configuraciones erróneas: DoControl, Netskope, Zscaler CSPM.

Fase 2: Identidad y autenticación

  • Establecimiento de identidad corporativa: Microsoft Azure AD, OneLogin, Okta.

  • Autenticación multifactor:

    • Proveedores de identidad: Microsoft Azure AD, OneLogin, Okta.

    • Proxies inversos de aplicaciones: Akamai EAA, Cloudflare Access, Microsoft Azure AD App Proxy.

  • Aplicación de HTTPS y DNSSEC: Akamai, AWS, Azure, GCP, Cloudflare.

  • Bloqueo o aislamiento de amenazas en SSL:

    • Descifrado TLS: Cloudflare Gateway, Netskope Next Gen SWG, Zscaler Internet Access (ZIA).

    • Aislamiento de navegador: Cloudflare Browser Isolation, Zscaler Cloud Browser Isolation.

  • Protección de aplicaciones contra ataques de capa 7: AWS, Akamai, Azure.

  • Cierre de puertos de entrada abiertos a internet: Akamai EAA, Cloudflare Access, Netskope, ZPA.

Fase 3: Control y segmentación

  • Inventario de aplicaciones corporativas: Cloudflare Gateway, Microsoft Defender for Cloud Apps, Netskope Next Gen SWG, ZIA.

  • Aplicación de políticas ZT en SaaS:

    • Acceso de red Zero Trust (ZTNA): Cloudflare Access, Netskope, ZIA.

    • CASB (Cloud Access Security Broker): Cloudflare CASB, Netskope CASB, Zscaler CASB.

  • Segmentación de acceso a la red: Cloudflare Zero Trust, ZPA, Netskope Private Access.

  • ZTNA para aplicaciones críticas: Cloudflare Access, ZIA.

  • Soluciones MDM/UEM para control de dispositivos:

    • Mac: Jamf, Kandji.

    • Windows: Microsoft Intune.

  • Definición y alojamiento de datos confidenciales: DataDog, Splunk, SolarWinds.

  • Emisión de tokens de autenticación basados en hardware: Yubico.

  • Monitorización de ciberdelincuentes conocidos: Cloudflare Radar, CISA, OWASP.

Fase 4: Monitoreo y automatización

  • Autenticación multifactor basada en tokens de hardware: Yubico.

  • Políticas ZT y acceso a la red para todas las aplicaciones: Netskope Private Access, ZIA, Cloudflare Access.

  • Establecimiento de un SOC (Security Operations Center).

  • Protección en endpoints: Windows Defender, CrowdStrike, VMware Carbon Black.

  • Inventario de dispositivos, APIs y servicios corporativos:

    • Dispositivos: VMware Carbon Black, SentinelOne, Windows Defender, Oomnitza, CrowdStrike.

    • APIs/servicios: ZPA, conector de aplicaciones de Cloudflare.

  • Uso de banda ancha para conectividad entre filiales: Cloudflare Magic WAN, Cato Networks, Aryaka FlexCore.

  • Registro y revisión de actividad en aplicaciones confidenciales:

    • Puerta de enlace web segura (SWG): Cisco Umbrella, Cloudflare Gateway, Netskope Next Gen SWG, ZIA.

    • SIEM: Gloria.

  • Prevención de fuga de datos: Cisco Umbrella, ZIA, Cloudflare Gateway.

  • Enfoque DevOps para aplicación de políticas en nuevos recursos: Ansible, Puppet, Terraform.

  • Escalado automático de recursos:

    • Equilibradores de carga: Akamai, Cloudflare.

    • Automatización de infraestructura: Ansible, Puppet, Terraform.

Conclusión

La implementación de Zero Trust es esencial para la seguridad moderna. Requiere un enfoque estructurado y el uso de herramientas especializadas para garantizar una protección efectiva contra amenazas externas e internas. Con las estrategias adecuadas, las organizaciones pueden minimizar riesgos y fortalecer la seguridad de su infraestructura digital.

Artículos relacionados
CWPP: Protección Integral para cargas de trabajo en la nube
Leer más →
CNAPP: La evolución de la seguridad en la nube
Leer más →
Día de Internet Segura 2025: Ningún sector está a salvo de las ciberamenazas
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día