Zero Trust: qué es realmente este modelo y por qué sigue siendo una tarea pendiente en ciberseguridad

La filosofía de Zero Trust es clara: eliminar la confianza ciega en los entornos digitales. Para lograrlo, exige verificar constantemente quién eres, qué dispositivo usas y a qué quieres acceder. Sin embargo, muchas empresas se han quedado a medio camino; aunque hablan de ello, su implementación es parcial, lo que convierte a este modelo en una deuda pendiente para quienes aún no consiguen que la teoría se traduzca en una disminución real de riesgos.

Por Aneyka Esilka Hurtado Mena, Profesora de la Facultad de Informática, Electrónica y Comunicación de la Universidad de Panamá.

Durante décadas, la ciberseguridad se basó en la idea de un castillo amurallado: un perímetro bien definido donde, si lograbas entrar, ya eras de fiar. Esto servía en entornos cerrados, pero empezó a fallar cuando el trabajo salió de la oficina. Con el auge del teletrabajo, la nube y el uso de móviles personales para tareas corporativas, esas murallas dejaron de tener sentido.

Ante esta nueva realidad nace Zero Trust, bajo una premisa innegociable: desconfiar siempre. Aquí, ningún usuario, aplicación o aparato es seguro por defecto, ni siquiera si ya está conectado a la red de la empresa. Cada intento de acceso debe pasar un examen continuo que valide identidad, contexto y comportamiento antes de abrir la puerta.

Conceptualmente, Zero Trust mueve el punto de mira: ya no importa tanto la red, sino proteger los datos y las identidades. No se trata de dónde te conectas, sino de quién eres, qué pides y en qué condiciones lo haces. El objetivo es simple: si roban una contraseña, que el daño sea mínimo y el atacante no pueda moverse libremente por el sistema. Cada acceso debe ser validado de forma continua, considerando identidad, contexto, comportamiento y nivel de riesgo.

Pese a estar de moda, la realidad es que pocas empresas lo aplican al 100%. A menudo, Zero Trust se queda en medidas sueltas, como activar la autenticación multifactor (MFA) o separar un poco las redes. La MFA, que pide al usuario algo que sabe, algo que tiene o algo que es, es vital para frenar el robo de claves, pero por sí sola no es Zero Trust. No basta conponer un candado extra si no vigilas toda la casa.

Este cambio busca limitar el impacto de credenciales comprometidas y reducir la posibilidad de movimientos laterales dentro de los sistemas. no asegura una bajada real del riesgo si no se combina con vigilancia constante y reglas de acceso que se adapten al momento. Gran parte del problema es la falta de visibilidad: si no sabes exactamente qué activos, identidades y flujos de datos tienes, es imposible controlarlos. No puedes proteger eficazmente aquello que no entiendes o no ves.

A esto se suma que implementar Zero Trust en serio es difícil. Mezclar tecnologías nuevas con sistemas viejos y cambiar la forma de trabajar supone un reto tanto técnico como humano. Por eso, muchas iniciativas se quedan a medias y no logran los resultados prometidos. El componente cultural también juega un papel relevante. Zero Trust exige abandonar la noción tradicional de confianza implícita, lo que puede generar resistencia tanto en equipos técnicos como en niveles directivos. Cuando no existe alineación organizacional, los controles tienden a flexibilizarse, generando excepciones permanentes que debilitan el modelo original.

Un fallo muy común es ver Zero Trust como una herramienta que se compra ("cómprame un Zero Trust") en lugar de una estrategia a largo plazo. No es un software que instalas y listo; es una forma de operar que requiere evaluar riesgos y mejorar día a día. Sin esta mentalidad, los proyectos acaban siendo parches aislados sin sentido. El verdadero valor de Zero Trust se ve cuando se aplica paso a paso. Al dar los permisos justos, dividir la red en trozos pequeños y verificar todo el tiempo, se reduce el campo de acción de los atacantes y se frena el golpe si algo falla, impidiendo que una brecha pequeña se convierta en un desastre.

En resumen, Zero Trust es el paso lógico para la seguridad actual, pero sólo funciona si se adopta con coherencia y paciencia. Si las empresas siguen aplicándolo solo por encima, seguirá siendo una asignatura pendiente. Hacerlo bien implica aceptar que la confianza implícita murió y que la seguridad debe ser un proceso vivo, pegado a la realidad del negocio y sus riesgos. Implementarlo correctamente implica asumir que la confianza implícita ya no es viable y que la seguridad debe gestionarse como un proceso dinámico, alineado al riesgo real y a la operación del negocio.

Le puede interesar: IA agéntica: el nuevo frente de la seguridad informática