BLOG

Zero Trust: El Nuevo Modelo de Seguridad para Empresas Modernas

Retrato de James Everett sentado en sofá con fondo un edificio
James Everett A.
July 30, 2025
Data center moderno con efecto de luz roja y servidores activos

En una reunión, un cliente me dijo algo que se me quedó grabado: “Tengo todo cerrado… pero no tengo idea quién se conecta ni desde dónde.” Fue honesto. Y me hizo sentido.

Muchas empresas están en esa. Tienen herramientas. Tienen políticas. Pero siguen confiando. Porque el sistema “es interno”. Porque el usuario “es conocido”. Porque “así se ha hecho siempre”. Y ahí está el riesgo.

Antes, las redes tenían un borde. Un perímetro claro. Hoy no. Hay oficinas, claro. Pero también gente conectada desde sus casas, desde aeropuertos, desde el teléfono. Aplicaciones en la nube. Equipos personales. Datos repartidos por todos lados. ¿Dónde empieza y termina la red? Difícil saberlo con exactitud.

Zero Trust nace de esa realidad. No entrega acceso por defecto. Cada solicitud se evalúa. Siempre. No importa si viene de un gerente o de alguien de TI. Si algo no encaja, se bloquea.

No se trata de desconfiar. Se trata de proteger. Porque los ataques ya no hacen ruido. No entran a la fuerza. Llegan como cualquier sesión. Usan cuentas antiguas. Accesos que nadie desactivó. Y sí, lo hemos visto. Varias veces. Justo por donde no se esperaba.

Zero Trust no es teoría. Es una forma de adaptarse al escenario actual. Porque cuando te das cuenta de que algo pasó, muchas veces ya es tarde.

En este artículo te cuento cómo se aplica. Qué rol cumple ZTNA. Qué decisiones tomaron empresas que ya pasaron por esto. Y por qué vale la pena adelantarse.

¿Por qué surge el modelo Zero Trust?

Zero Trust no es nuevo. Lleva más de diez años en discusión, pero recién ahora tiene sentido práctico para la mayoría.

Antes, la lógica era simple: todo lo de adentro se protegía del “afuera”. Bastaba con un firewall y un buen antivirus. Con eso, se sentía seguro.

Hoy no funciona así.

Las aplicaciones están en la nube. Hay gente trabajando desde cualquier parte. Dispositivos personales. Proveedores externos. Todo mezclado.

Zero Trust nace como respuesta. Cambia el enfoque: ya no importa si el usuario está “dentro” o “fuera”. Cada acceso se revisa. Siempre. Según el contexto. Según el riesgo.

Hace poco, una empresa me dijo que tenía usuarios activos en diez países, muchos desde equipos propios. ¿Cómo se controla eso? No basta con confiar. Tampoco alcanza con autenticar una vez. Hay que validar constantemente.

Microsoft resume la idea en tres reglas:

Ese último punto es clave. El modelo ya no parte de la idea de estar protegido. Parte de que puede que no lo estés, y hay que limitar el daño.

Zero Trust no es una solución única. Es una forma de operar. Cada sesión debe ganarse su acceso. Y si algo cambia, se corta.

No es exageración. Es adaptación a la realidad.

ZTNA: El corazón del acceso seguro en Zero Trust

ZTNA —o “Zero Trust Network Access”— no es solo otra sigla más. Es una de las bases del modelo Zero Trust. Y sí, cambia bastante la forma en que los usuarios acceden a los sistemas de la empresa.

Durante años usamos VPNs. Una vez que entrabas, tenías acceso a todo. El problema es justamente ese: demasiado acceso.

¿Cómo opera ZTNA?

En vez de abrir la red completa, ZTNA conecta a cada persona solo con lo que necesita. Nada más.
Antes de autorizar, revisa quién se conecta, desde dónde, con qué equipo, y en qué condiciones está ese equipo.

Así, si alguien roba una contraseña, no puede moverse libremente. Se le bloquea o se le limita.

Ventajas claras

  • Apps invisibles para los atacantes: No están ni en la red ni en internet.
  • Acceso dinámico: Cambia según dispositivo, país, riesgo o día.
  • Conexión más liviana: No sobrecarga la red como una VPN.
  • Todo queda registrado: Cada sesión deja trazabilidad.
  • Escalable por diseño: Ideal para entornos cloud o híbridos.

ZTNA no actúa solo

En empresas con equipos distribuidos, proveedores o trabajo remoto, ZTNA funciona mejor si se combina con:

  • Segmentación por identidad
  • Herramientas EDR
  • Sistemas SIEM

Esto ayuda a mantener control y detectar anomalías rápido.

¿ZTNA basta por sí solo?

No. Es una parte importante, pero no cubre todo. Para que el enfoque funcione, se necesita también:

  • Políticas claras
  • Autenticación fuerte
  • Clasificación de datos
  • Monitoreo continuo

ZTNA es una forma de cuidar el acceso. Pero más que tecnología, es cambio de mentalidad. Si el contexto cambia, el permiso también debe cambiar.

Arquitectura Zero Trust: Cómo se diseña hoy

Zero Trust no es instalar una herramienta. Es cambiar la lógica con la que protegemos la infraestructura. El viejo modelo asumía que si alguien estaba “dentro” de la red, se le podía confiar. Eso hoy ya no sirve. Todo acceso debe validarse. Siempre. No importa quién sea ni desde dónde se conecte.

Estas son las capas que hemos visto funcionar en empresas reales:

1. Identidad como nuevo perímetro

Ya no se protege la red, se protege el quién accede.

  • MFA obligatorio
  • Validación continua durante toda la sesión
  • Permisos mínimos (lo justo para operar)
  • Integración con el directorio activo. 

No basta con dejar pasar. Hay que controlar lo que se puede hacer después.

2. Contexto en tiempo real

Zero Trust analiza cada situación antes de permitir algo.

  • Ubicación del usuario
  • Estado del equipo (actualizaciones, antivirus)
  • Cambios de comportamiento frente a sesiones anteriores

Si algo no cuadra, se limita o se niega el acceso.

3. Segmentación y microsegmentación

Dividir la red en zonas pequeñas evita que un incidente escale.

  • Separar ambientes (dev, QA, producción)
  • Aislar servidores críticos
  • Firewalls internos
  • Accesos acotados según rol

Esto frena al atacante antes de que cause daño.

4. Monitoreo y respuesta automática

Todo se registra. Pero lo importante es actuar rápido.

  • SIEM para centralizar eventos
  • Detección de anomalías con IA
  • Automatización: bloquear, aislar, alertar

Cuando hay una amenaza, cada segundo cuenta.

5. Protección de los datos

Los datos mandan. No todos valen lo mismo, por eso:

  • Clasificación (confidencial, interno, etc.)
  • Acceso restringido por perfil
  • Trazabilidad completa de uso
  • DLP para prevenir fugas o errores

Cuidar los datos es cuidar el negocio.

6. Nube y entornos híbridos

Hoy, nadie opera 100% local. La seguridad debe seguir al dato, no al revés.

  • Políticas que funcionen en todos los entornos
  • Visibilidad total de usuarios y dispositivos
  • Protección que vive en la nube, no solo en el perímetro

Una arquitectura Zero Trust sólida ordena, reduce riesgos y permite crecer sin miedo a perder el control.

¿Por qué Zero Trust supera al modelo tradicional?

Durante años, muchas empresas confiaron en el clásico modelo “todo lo que está dentro de la red es seguro”. Pero ese enfoque ya no da el ancho. El trabajo remoto, los servicios en la nube y los dispositivos personales rompieron ese esquema. Hoy, los riesgos están en todas partes. Y por eso el cambio hacia Zero Trust es tan necesario.

1. Se acabó la confianza automática

Antes, si estabas “dentro” de la red, podías moverte sin problemas. El problema es que los atacantes también lo sabían. Zero Trust cambia eso: cada acceso se valida. Cada vez. Y si algo no cuadra, se corta.

2. Menos espacio para que te ataquen

Zero Trust divide todo: usuarios, aplicaciones, datos. Así, aunque alguien entre, no puede avanzar libremente. Eso hace la diferencia cuando se trata de contener un ataque rápido.

3. Cumples con lo que exige la ley

Con este modelo, todo queda registrado: quién accede, desde dónde, y con qué permisos. Esto ayuda en auditorías, certificaciones y en cumplir normas como la Ley de Datos en Chile o la ISO 27001.

4. Funciona estés donde estés

Ya no se trata de proteger solo una oficina. Zero Trust aplica lo mismo para alguien conectado desde su casa en Ñuñoa o desde un café en Londres. La seguridad se adapta al entorno.

5. Reaccionas más rápido ante problemas

Si algo raro pasa, el sistema lo detecta. Puede bloquear al usuario, mandar alertas o desconectar un dispositivo. No hace falta esperar a que alguien lo note.

6. Mejora tu reputación

Cuando una empresa muestra que cuida sus datos, transmite confianza. Y eso pesa. Sobre todo si trabajas con clientes exigentes o sectores regulados.

ZTNA: El acceso seguro que exige el 2025

ZTNA —Zero Trust Network Access— ya no es solo una opción técnica. En 2025, con redes distribuidas y equipos en todas partes, es una pieza clave para aplicar Zero Trust en serio.

¿Qué lo hace distinto?

A diferencia de una VPN, que abre todo con una sola autenticación, ZTNA solo permite entrar a lo que necesitas. Cada conexión se valida en tiempo real: si algo no cuadra (ubicación, equipo, seguridad), se bloquea.

¿Cómo funciona?

  • Análisis previo: Evalúa el dispositivo, la red y el entorno.
  • Acceso segmentado: Se entra solo a las aplicaciones autorizadas.
  • Supervisión constante: Si el contexto cambia, se corta la sesión.

¿Por qué es tan importante ahora?

Porque el entorno cambió. Ya no hay un solo lugar desde donde se trabaja. Hay dispositivos personales, proveedores externos, trabajo remoto… y todo eso tiene que estar bajo control.

ZTNA se adapta sin necesidad de hardware nuevo, y te permite:

  • Evitar movimientos laterales en caso de brecha
  • Adaptarte a cambios rápidos
  • Escalar sin perder visibilidad

¿ZTNA es suficiente?

No. Es una base, pero necesita ir acompañado de:

  • Políticas de acceso bien definidas
  • Clasificación de datos
  • Monitoreo en tiempo real
  • Respuesta ante incidentes

ZTNA hace que Zero Trust funcione en la práctica. Pero no reemplaza el trabajo de fondo.

Arquitectura Zero Trust: Cómo se construye en la práctica

Zero Trust no se instala. Se diseña. No es un software, es una manera de pensar la seguridad: basada en control, evidencia y preparación constante frente al riesgo.

El modelo se construye sobre tres principios simples, pero intransables:

  • Nunca confiar por defecto
  • Dar solo el acceso necesario
  • Asumir que siempre puede haber una brecha

Con eso en mente, te explico los bloques principales que vemos hoy en implementaciones reales:

1. Identidad y acceso

Todo parte por saber quién se conecta, desde dónde y con qué permisos. No basta con autenticar una vez.

  • MFA como estándar
  • SSO con seguimiento de sesiones
  • Verificación continua de comportamiento y contexto
  • Control post-ingreso (no solo acceso inicial)

2. Dispositivos controlados

No todos los equipos son seguros. Por eso, antes de permitir conexión:

  • Se valida si el sistema está actualizado
  • Si tiene protección activa
  • Si cumple con las políticas corporativas

Herramientas como EDR/XDR o MDM permiten aplicar esto sin fricción.

3. Aplicaciones aisladas

Nada de acceso “a la red completa”. Cada app se trata por separado.

4. Protección de datos

El foco ya no está en el perímetro. Está en la información.

  • Clasificación automática (confidencial, interno, etc.)
  • Cifrado en tránsito y en reposo
  • DLP para evitar fugas o accesos indebidos
  • Acceso dinámico basado en riesgo

5. Visibilidad y reacción automática

Ver lo que pasa no basta. Hay que actuar rápido.

  • SIEM para centralizar eventos
  • IA para detectar comportamientos fuera de lo normal
  • Automatización: bloqueo, aislamiento o alerta sin intervención humana
  • Integración con inteligencia externa de amenazas

¿Qué se gana?

  • Menos superficie vulnerable
  • Mayor visibilidad
  • Cumplimiento más sencillo de normativas
  • Una cultura que actúa sobre hechos, no suposiciones

Zero Trust no elimina el riesgo. Pero lo vuelve visible. Y manejable.

Implementación paso a paso del modelo Zero Trust en empresas

Zero Trust no se instala. Se construye. Y no todo de una vez.

Las empresas que lo han implementado bien suelen partir con un diagnóstico claro, y avanzan por etapas.
Lo importante es no hacerlo apurado. Ni sin contexto.

Aquí una hoja de ruta que hemos visto funcionar en organizaciones reales.

1. Diagnóstico inicial: ¿Dónde estás parado?

Antes de hacer cambios, hay que entender lo que ya tienes:

  • ¿Qué aplicaciones están activas?
  • ¿Qué usuarios acceden? ¿Desde dónde?
  • ¿Hay cuentas sin uso? ¿Equipos sin control?

No es raro encontrar accesos abiertos que nadie recordaba. O flujos heredados que ya no hacen sentido.

Herramientas como Microsoft Zero Trust Assessment pueden ayudar. Pero lo más valioso suele ser mirar con ojo crítico la operación actual.

2. Segmentación por capas: no todo al mismo tiempo

Uno de los errores más comunes: tratar de aplicar todo en paralelo.

Mejor hacerlo por zonas. Ejemplos:

  • Empezar por los sistemas más sensibles (finanzas, datos personales)
  • Separar los accesos por área o rol
  • Dividir la red en bloques más pequeños, con reglas distintas

Cada segmento tiene su propia lógica, monitoreo y nivel de riesgo. Eso permite avanzar sin romper lo que ya funciona.

3. Autenticación fuerte y verificación continua

Aquí no hay debate: la MFA ya no es opcional.

Pero además:

  • Las contraseñas deben tener ciclos definidos
  • Se puede agregar validación según ubicación o tipo de dispositivo
  • Soluciones como Azure AD, Okta o Ping Identity ayudan a gestionar esto sin fricción

Incluso usuarios de confianza deben ser verificados. Siempre.

4. Monitoreo y automatización

Si no se ve, no se puede proteger.

  • El monitoreo debe ser en tiempo real
  • Los accesos inusuales deben generar alertas
  • Y en ciertos casos, las respuestas tienen que ser automáticas: bloqueo, cuarentena, cierre de sesión

Usar SIEM o SOAR no es solo por cumplimiento. Es porque ayuda a detectar lo que no se ve a simple vista.

5. Formación interna: que el equipo entienda el modelo

Muchos incidentes no vienen por fallas técnicas, sino por errores humanos.

Por eso conviene:

  • Explicar bien cómo funciona el modelo
  • Hacer capacitaciones cortas, pero regulares
  • Crear guías por rol o área

La seguridad se mantiene mejor cuando todos saben qué hacer y por qué lo hacen.

6. Medir, ajustar, seguir

No hay un “estado final” de Zero Trust. Siempre hay algo que revisar:

  • Accesos que ya no se usan
  • Comportamientos nuevos
  • Herramientas que quedaron fuera del monitoreo

Es más un hábito que una meta. Las empresas que entienden eso suelen tener menos sobresaltos.

Como dijo un CISO con el que trabajamos hace poco: “Esto no es una herramienta. Es una forma de trabajar.”

Y tener esa claridad, al final, hace toda la diferencia.

Conclusión: No es teoría. Es cómo trabajamos hoy

Más de una vez nos ha tocado revisar incidentes donde el acceso seguía activo para alguien que ya no estaba. O donde varias cuentas compartían la misma clave. Sin registros claros. Sin control. Eso es justo lo que viene a cambiar Zero Trust. No es una herramienta. Ni una moda. Es una forma distinta de operar. Una que exige revisar lo que das por hecho. Validar cada acceso. Y cortar lo que no tiene razón de seguir abierto. Sí, cuesta implementarlo. Pero cuando lo aplicas bien, se nota: menos errores, más control, y menos sorpresas. No hace falta tener todo listo para empezar. Lo importante es asumir que seguir igual ya no es opción.

Comparte este post
Ciberseguridad
Seguridad Digital
Protección de Datos
Amenazas Cibernéticas
Retrato de James Everett sentado en sofá con fondo un edificio
James Everett A.
Country Manager Perú

Contáctanos para asegurar tu continuidad operacional

No esperes más, protege tu negocio y asegura su continuidad operativa con nuestros servicios especializados.

Contáctanos
Animación de ondas azulesAnimación de ondas azules