Modelo Zero Trust en ciberseguridad ¿qué es y porqué es cada vez más importante?

23/03/2023

Modelo Zero Trust en ciberseguridad ¿qué es y porqué es cada vez más importante?

En un mundo en el que el modelo de trabajo ha evolucionado, el perímetro de seguridad de las organizaciones también se ha visto difuminado. Las empresas, cada vez más globales, gestionan accesos a sus datos desde múltiples dispositivos, en múltiples ubicaciones y a través de diferentes softwares y aplicaciones.

Y estas nuevas dinámicas de trabajo han supuesto un agujero de seguridad por el que los ciberdelincuentes tratan de aprovechar cada oportunidad para obtener datos sensibles.

Es por ello que muchas empresas están llevando a cabo una transición desde el tradicional modelo de seguridad de “Castillo y Foso” hacia un modelo “Zero Trust” en el que la confianza, incluso dentro de la organización, se reduce a los niveles mínimos con tal de salvaguardar los datos confidenciales en las compañías.

¿Qué es este modelo Zero Trust y por qué se está considerando como uno de los más seguros en los próximos años?

Modelo Zero Trust o de confianza cero: nada es confiable

El modelo Zero Trust surgió en 2010 de la mano del ex analista de Forrester Research John Kindervag, a través de una trilogía de documentos en los que se plasmaba la nueva estrategia que hacía hincapié en que “la confianza es una vulnerabilidad y no una fortaleza”.

La consolidación de una estrategia de seguridad que viene de lejos

Sin embargo, durante más de una década, estos documentos fueron completamente privados y solamente proveedores de seguridad, clientes de Forrester y la propia compañía tuvieron acceso a los mismos. 

Ello provocó que solamente se hablase de la estrategia Zero Trust a través de las acciones de marketing de dichos proveedores, en muchos casos deformando la definición de una estrategia que ni siquiera Forrester había dejado del todo clara a ojos de la comunidad.

Muchas cosas han cambiado desde entonces, y hoy en día ya existe una apropiada definición de este modelo, siendo muchas más compañías las que han comenzado a desarrollarlo como un servicio, y otras tantas las que desean implementar una estrategia Zero Trust en sus propias organizaciones.

Zero Trust: la definición de un modelo de creciente implantación

Al contrario de lo que se ha escrito en muchos portales, el Zero Trust no es una tecnología, tampoco una plataforma, si no un modelo o estrategia de seguridad que, en palabras de Forrester, “niega el acceso a aplicaciones y datos de forma predeterminada”.

La prevención de amenazas se logra sólo otorgando acceso a redes y activoss utilizando políticas informadas por verificación continua, contextual y basada en riesgos entre usuarios y sus dispositivos asociados.

Para ello, este modelo cuenta con tres principios básicos:

1- Ninguna entidad es confiable.

2- Es necesario imponer siempre el acceso a los datos con privilegios mínimos.

3- Es fundamental la implementación de una monitorización integral de la seguridad.

En los modelos de seguridad perimetral se emplea el “Trust but verify” (Confía, pero verifica), en el que todo lo que se encuentra dentro de la red interna es confiable, mientras que lo que se encuentra en el exterior no lo es. Sin embargo, hoy en día, entornos mucho más complejos suponen nuevos retos, y la protección de las capas ya no es tan eficaz: es el momento de proteger el dato.

Por tanto, Zero Trust se focaliza en el monitoreo y autentificación continua de los usuarios y dispositivos que acceden a la red de la organización, minimizando riesgos. Además, el modelo se sirve del aprendizaje para prever amenazas de cara al futuro: por ejemplo, si detecta que un dispositivo se ha conectado desde un lugar diferente al habitual, realizará procesos de verificación adicionales.

Estrategia Zero Trust en las organizaciones: ventajas y desventajas

El modelo Zero Trust está en auge, y son muchos los beneficios que puede aportar a las organizaciones:

  • Garantía de confianza: asegura el control de acceso de cada usuario y de cada dispositivo, desde cualquier lugar.
  • Mejor y mayor implantación de dinámicas colaborativas: a través de este modelo se mejora la seguridad en entornos de colaboración con diferentes actores como proveedores y clientes.
  • Previene posibles ataques que comprometen la seguridad de los datos en la empresa: de esta forma, se responde de forma más ágil ante las amenazas, se detecta de forma más precisa dónde se ha producido la fuga de información y minimiza los daños en el momento de remediarla.
  • Facilita la gestión de privilegios en una organización, flexibilizando la retirada de los mismos a los extrabajadores, o las modificaciones en los accesos producto de ascensos o nuevos puestos.

Sin embargo, y aunque se trata de un modelo altamente restrictivo con el que se minimizan los riesgos de seguridad, lo cierto es que diversas fuentes, como el portal Gartner, afirman que una estrategia de “confianza cero” no sería capaz de mitigar más de la mitad de los ataques que tienen lugar en la actualidad.

La razón que lleva a este popular portal de reseñas a realizar esta afirmación es que más de la mitad de todos los ciberataques se centrarán en áreas que los controles de acceso de este modelo no cubren y por tanto, no pueden mitigar.

Es más, en palabras de su vicepresidente analista Jeremy D'Hoinne, "La superficie de ataque de las empresas se está ampliando rápidamente y los atacantes considerarán rápidamente la posibilidad de pivotar y centrarse en activos y vulnerabilidades fuera del alcance de las arquitecturas de confianza cero (ZTA)".

Como vemos, el Zero Trust es un modelo de creciente implantación que ayuda a las compañías a reforzar la seguridad del acceso a los datos sensibles, pero que sin embargo, no se trata de la solución definitiva a los problemas de ciberseguridad de las compañías, debido a que los ciberdelincuentes continuarán buscando fisuras fuera de este modelo a través de las que hacerse con información privilegiada.

En Powernet somos tu partner de confianza en la protección contra las ciberamenazas. Cuenta con nosotros para ayudarte a evitar este tipo de ataques y salvaguardar los datos de tu empresa y tus clientes.