Guillem Alsina Gonzàlez
Más de quince años después de que se planteara por vez primera el enfoque de ciberseguridad zero trust, muchas organizaciones siguen encontrando dificultades para aplicarlo de forma completa. Fragmentación de las herramientas, infraestructuras heredadas y proyectos que se alargan, han convertido a zero trust en un objetivo que, en numerosos entornos corporativos, se mantiene más en el plano teórico que en la práctica, según un análisis reciente sustentado en un informe de Accenture y en entrevistas con diversos responsables de ciberseguridad, tal y cómo se hace eco de ello John Leyden en CSO.
Zero trust se concibe como un marco de control de acceso en el que ningún usuario ni dispositivo goza de confianza por defecto y, por lo cual, cada intento de acceso se acompaña de mecanismos de autenticación de la identidad y de comprobación del estado del dispositivo, con independencia de que la conexión se produzca dentro o fuera de la red de la organización. Este enfoque contrasta con los modelos tradicionales de “castillo y foso”, en los que los dispositivos situados dentro del perímetro de la red se consideraban, en la práctica, fiables.
La implantación de este modelo exige un cambio profundo tanto en la mentalidad como en la infraestructura. Entre los obstáculos más frecuentes se encuentran los sistemas heredados que no responden a los principios de zero trust, la fragmentación de las herramientas de identidad y acceso que dificulta una aplicación unificada de las políticas, y la resistencia cultural y organizativa a abandonar modelos de confianza consolidados durante años.
Para algunos especialistas, uno de los problemas de fondo es que zero trust sigue siendo una de las transformaciones más mal entendidas en ciberseguridad. Según sigue explicando Leyden en su artículo, Kyle Wickert, field CTO de AlgoSec, observa que muchas compañías continúan asociando este enfoque con arquitecturas rígidas, elevada complejidad operativa y costes de implantación considerables. A su juicio, esta percepción se alimenta de experiencias previas en las que la segmentación exigía reasignar direcciones IP, rediseñar el encaminamiento o rehacer físicamente cableados y VLAN para imponer políticas de aislamiento.
El giro del sector hacia centros de datos definidos por software y entornos con un uso intensivo de la nube ha mitigado parte de estas limitaciones físicas, pero ha introducido nuevas dificultades relacionadas con la complejidad de las políticas y de las aplicaciones. En este contexto, Wickert sostiene que el reto ya no está tanto en la infraestructura como en la capacidad de definir, gobernar y mantener políticas coherentes en redes híbridas que abarcan cortafuegos locales, controles nativos en la nube, SDN, SD-WAN y tecnologías SASE. Desde su punto de vista, resulta más eficaz desplazar el foco de la segmentación desde dispositivos y subredes hacia las propias aplicaciones y sus relaciones de conectividad.
Otros responsables de seguridad con los que ha hablado Leyden insisten en que zero trust debe interpretarse menos como un catálogo de productos y más como un método para madurar la postura de seguridad de la organización. Richard Holland, field CISO en Quorum Cyber, considera que la tecnología necesaria para avanzar hacia este modelo lleva tiempo disponible y que muchos departamentos de TI ya han iniciado ese camino sin identificarlo explícitamente como zero trust. En vez de grandes proyectos monolíticos, plantea una aproximación incremental, basada en pequeñas mejoras sucesivas que, acumuladas, eleven el nivel de protección.
De la teoría a la implantación: cultura, política y alcance
Las barreras a la implantación no son únicamente técnicas. George Finney, CISO de la Universidad de Texas también citado por Leyden en su artículo, ha tratado sobre zero trust con centenares de responsables de seguridad y detecta patrones recurrentes en los proyectos que no llegan a buen término. Uno de ellos es el peso de la política interna: en muchas organizaciones, la tecnología se gestiona en silos y las distintas áreas no siempre comparten una visión clara del riesgo que entraña una brecha de ciberseguridad, lo que se traduce en resistencia al cambio. En contraste, Finney observa que, allí donde la transición ha progresado, las distintas unidades de la organización coinciden en considerar la seguridad como un componente central del éxito global.
Finney también identifica la falta de formación como otro freno significativo. A su entender, iniciar un proyecto de zero trust implica mucho más que rediseñar la topología de red o modificar determinados parámetros en una aplicación. El personal que participa en la iniciativa necesita comprender qué es exactamente zero trust, por qué la organización apuesta por este modelo y qué papel desempeña cada equipo en su ejecución. Desde esta perspectiva, todo proyecto de zero trust debería arrancar con un esfuerzo estructurado de educación que ayude a transformar no solo la tecnología, sino también la cultura corporativa.
La generalización de la inteligencia artificial en los procesos de negocio añade una nueva capa de complejidad al panorama, y a medida que los agentes de IA se integran en el día a día de las organizaciones, los especialistas consideran necesario extender los principios estándar de zero trust más allá de las personas y de los dispositivos tradicionales para incluir también a estos agentes software.
En la práctica, esto se traduce en establecer límites estrictos de contexto, dominios de confianza claramente acotados y revisiones de seguridad específicas para las capacidades de IA. Según previsiones de la firma de análisis IDC citadas en el artículo, el crecimiento de los agentes de IA llevará de aquí a 2027 a que aproximadamente la mitad de los CIO reestructuren y automaticen la gestión de identidades, accesos a datos y autorizaciones dentro de arquitecturas de zero trust con el objetivo de reducir usos indebidos y fugas de información.
