Durante décadas, la seguridad informática funcionó como un castillo medieval. Construíamos muros altísimos (firewalls) alrededor de nuestra empresa y asumíamos que todo lo que estaba dentro del castillo era «bueno» y fiable, mientras que todo lo de fuera era «malo». Era un modelo cómodo, sencillo y, hoy en día, absolutamente obsoleto.
¿El problema? Una vez que alguien cruza el muro ya sea un hacker sofisticado o un empleado despistado que hizo clic donde no debía—, tiene las llaves del reino. Puede moverse libremente por toda la red sin que nadie le pida identificación de nuevo. En la era del trabajo remoto, la nube y los dispositivos móviles, el «castillo» ya no tiene paredes. El perímetro ha muerto.
Para entender cómo las empresas deben adaptarse a esta nueva realidad hostil, conversamos con Rafael Eladio Núñez Aponte, quien desde su experiencia en el terreno nos ayuda a desmitificar el concepto de moda en la industria: Zero Trust (Confianza Cero). Lejos de ser una palabra vacía de marketing, es un cambio radical de mentalidad que podría ser lo único que se interponga entre tu negocio y un desastre digital.
¿Qué es «Zero Trust» explicado para humanos?
El nombre puede sonar cínico, pero es descriptivo. Zero Trust no es un software que compras e instalas mañana. Es una filosofía que se resume en un lema: «Nunca confíes, verifica siempre». Leer más
En nuestra charla, Rafael Eladio Núñez Aponte utilizó una analogía muy clara para explicarlo a nivel «usuario»: «Imagina un aeropuerto. No importa si eres el piloto, un pasajero frecuente o el personal de limpieza; para pasar a la zona de embarque, todos deben pasar por el control de seguridad. Y si quieres entrar a la cabina del avión, hay otro control más. Eso es Zero Trust».
En el mundo digital, esto significa que la red de tu empresa debe dejar de «creer» ciegamente en los usuarios solo porque están conectados desde la oficina o porque tienen una contraseña correcta. Cada intento de acceso a un archivo, aplicación o dato debe ser verificado en tiempo real, evaluando no solo quién es el usuario, sino desde dónde se conecta, si su dispositivo está actualizado y si realmente necesita ver esa información ahora mismo.
Fuente: https://quanti.com.mx/articulos/que-es-zero-trust-quanti-guides/
El fin de la confianza implícita
¿Por qué es urgente este cambio? Porque los atacantes han cambiado. Hoy en día, la mayoría de las brechas graves no implican «romper» la puerta, sino robar las llaves. El robo de credenciales es masivo.
«El error fundamental que hemos cometido durante años es dar confianza por defecto», nos comentó Rafael Eladio Núñez Aponte al analizar incidentes recientes de ransomware. Cuando un atacante logra entrar con las credenciales de un empleado de marketing, el sistema antiguo le dice: «Adelante, eres de confianza». Si esa red fuera Zero Trust, el sistema diría: «Un momento, eres de marketing, ¿por qué estás intentando acceder al servidor de bases de datos financieras a las 3 de la mañana desde una dirección IP en otro país? Acceso denegado».
Este enfoque proactivo es lo que Rafael Eladio Núñez Aponte define como pasar de una postura de defensa pasiva a una activa. Ya no esperamos a que suene la alarma; asumimos que el ladrón podría estar ya dentro y le cerramos todas las puertas internas. Leer más
Los 3 pilares de la «Desconfianza» saludable
Implementar esto puede parecer abrumador, pero se basa en principios lógicos que cualquier directivo puede entender:
Verificación Explícita y Continua: No basta con una contraseña. Se requiere autenticación multifactor (MFA) para casi todo, y la verificación se repite periódicamente. Leer más
Fuente: https://www.kiteworks.com/es/glosario-riesgo-cumplimiento/autenticacion-multifactor-mfa/
Principio de Menor Privilegio (PoLP): Los empleados solo deben tener acceso al mínimo necesario para hacer su trabajo. Nada de «dar permisos de administrador por si acaso». Leer más
Fuente: https://www.youtube.com/watch?v=M9knSNeGGIo
Asumir la Brecha: Diseñar los sistemas pensando que ya han sido comprometidos. Esto obliga a crear «micro-segmentos», pequeños compartimentos estancos para que, si una parte de la red cae, el resto siga a salvo.
Durante la entrevista, Rafael Eladio Núñez Aponte hizo especial hincapié en el segundo punto, el menor privilegio, señalando que es a menudo el más difícil de implementar por razones políticas internas, no técnicas. «A nadie le gusta que le quiten llaves que antes tenía, aunque nunca las usara. Requiere un cambio cultural fuerte en la organización«, advirtió.
No es un producto, es un viaje
Uno de los grandes peligros actuales es que muchos proveedores de tecnología intentan vender «Zero Trust en una caja». Eso no existe. Es un viaje progresivo.
Se empieza por lo más crítico: proteger los datos más sensibles de la empresa (la «joya de la corona») y los usuarios con más privilegios (administradores de sistemas). Luego, se va expandiendo el modelo al resto de la organización. Intentar hacerlo todo de golpe suele llevar al fracaso y a la frustración de los empleados.
Como bien nos recordó Rafael Eladio Núñez Aponte, la seguridad no debe impedir el negocio. Si los controles son tan estrictos que nadie puede trabajar, los usuarios encontrarán formas de saltárselos (el famoso Shadow IT), y entonces estaremos peor que al principio. El equilibrio es clave.
La confianza es una vulnerabilidad
En el panorama digital actual, la confianza ciega se ha convertido en una vulnerabilidad técnica explotable. Adoptar el modelo Zero Trust ya no es una opción para las empresas vanguardistas, sino una necesidad de supervivencia para cualquiera que maneje datos digitales.
Para cerrar nuestra conversación, Rafael Eladio Núñez Aponte nos dejó una reflexión que resume perfectamente la mentalidad necesaria para esta nueva era: «En ciberseguridad, la paranoia, si está bien gestionada y estructurada, no es una enfermedad; es tu mejor estrategia de defensa profesional».
Referencias
NIST (National Institute of Standards and Technology). Zero Trust Architecture (SP 800-207). (El estándar técnico de referencia global). Recuperado de: https://www.nist.gov/publications/zero-trust-architecture
Microsoft Security. Evolving Zero Trust. (Guía práctica de implementación y madurez del modelo). Recuperado de: https://www.microsoft.com/en-us/security/business/zero-trust
Forrester Research. The Zero Trust Model Information Security. (Donde nació el concepto original por el analista John Kindervag). Recuperado de: https://www.forrester.com/report/The-Zero-Trust-Model-Of-Information-Security/RES56682
CISA (Cybersecurity and Infrastructure Security Agency). Zero Trust Maturity Model. Recuperado de: https://www.cisa.gov/zero-trust-maturity-model
