5min. read

¿Cuál es el verdadero significado de «Zero Trust»?

Inventado en 2010 por Forrester Research, Zero Trust (confianza cero) es un modelo de ciberseguridad que pueden utilizar las empresas para eliminar las interacciones entre usuarios, máquinas y datos que son de riesgo pero se consideran fiables de forma implícita. El modelo Zero Trust (confianza cero) ofrece un proceso para que las organizaciones se protejan de las amenazas procedentes de cualquier vector, tanto si se originan en el otro extremo del mundo como en la oficina contigua. Los tres principios fundamentales que había que seguir para aprovechar las ventajas de este modelo eran:

  • Garantizar que se puede acceder a todos los recursos de forma segura, independientemente de la ubicación.
  • Adoptar una estrategia de privilegios mínimos y aplicar un control de acceso estricto.
  • Inspeccionar y registrar todo el tráfico.

Tras 11 años, estas ideas y principios han madurado ante el crecimiento de la transformación digital, la adopción del teletrabajo y el uso de dispositivos personales para trabajar. A raíz de que el Gobierno Federal de EE. UU. exigiera la arquitectura Zero Trust, se han desarrollado una serie de principios nuevos, establecidos en la publicación especial 800-207 del NIST (Instituto Nacional de Estándares y Tecnología estadounidense), cuya información se amplía en el proyecto «Zero Trust Architecture» del NCCoE(Centro Nacional de Excelencia en Ciberseguridad de EE. UU.). Esos principios son los siguientes:

  • Cambiar la segmentación de la red por la protección de los recursos (activos, servicios, flujos de trabajo y cuentas de red).
  • Integrar la autenticación y autorización (tanto del sujeto/usuario como del dispositivo) como funciones discretas que se ejecuten en cada sesión, utilizando un sistema de autenticación sólido.
  • Garantizar la supervisión continua.

¿Por qué es importante para la ciberseguridad?

La transición al modelo Zero Trust (confianza cero) ha sido uno de los cambios más significativos en la forma en que las empresas abordan la seguridad. Antes de adoptar una mentalidad basada en este modelo, la mayoría de las empresas intentaban gestionar la seguridad mediante una especie de zona de contención: una vez que una transacción se validaba en esta zona de contención, pasaba a considerarse fiable.

Esta estrategia supone un problema, porque los vectores de amenazas no siempre se originan fuera de esa zona. Además, en todo el mundo se sigue apostando por la transformación digital y las plantillas híbridas, lo que rompe con la idea de que los recursos solo se encuentran en una zona delimitada. Los métodos Zero Trust (confianza cero) requieren la validación continua de cada elemento de cada interacción —independientemente de dónde se produzca—, lo que incluye a todos los usuarios, máquinas, aplicaciones y datos. No existe ninguna zona de confianza implícita.

¿Qué se está diciendo del modelo Zero Trust?

Hoy en día, muchos proveedores mercantilizan el concepto Zero Trust (confianza cero), denominando a sus productos como «soluciones Zero Trust» o «de confianza cero», en lugar de reconocer que Zero Trust es un modelo y un marco estratégico, y no un producto propiamente dicho. En el mercado de la ciberseguridad, los proveedores intentan hacer ver que su producto es la panacea del Zero Trust.

Sin embargo, si nos fijamos bien, vemos que, normalmente, esos proveedores solo abordan uno de los principios de este modelo; por ejemplo, creando servicios de tunelización entre usuarios y aplicaciones. Esto se correspondería con el segundo principio original (adoptar una estrategia de privilegios mínimos y aplicar un control de acceso estricto), pero ese mismo proveedor podría estarse saltando el primer principio: garantizar que se pueda acceder a todos los recursos de forma segura, independientemente de la ubicación. Cuando confían implícitamente en que el usuario no es un vector de amenazas, no buscan malware o exploits dentro del túnel.

Otros se limitan a cubrir algunos de los aspectos del primer principio original, como tratar de solicitar la identidad, y las comprobaciones de autorización son la esencia del modelo Zero Trust (confianza cero). Los proveedores también pueden plantear que solo es necesario analizar el tráfico basado en la web. Sin embargo, cuando solo aplican el modelo parcialmente, las empresas corren el riesgo de generar una confianza implícita que las expone a unas vulnerabilidades que, de haberlo aplicado íntegra