Zero Trust: Redefiniendo la seguridad en la era digital

Confianza cero. Puede parecer un concepto negativo, pero resulta fundamental para moverse con seguridad y sin dar pasos en falso en los entornos digitales, cada vez más complejos y plagados de amenazas potenciales.

El primero en hacer uso de la expresión Zero Trust en su actual sentido fue el analista estadounidense John Kindervag, vicepresidente estratégico de la compañía de ciberseguridad ON2IT. En un informe elaborado para Forrester Research en primavera de 2009, Kindervag planteaba con toda crudeza que la principal vulnerabilidad de las empresas en proceso de digitalización era consecuencia directa de una emoción humana, la confianza.

 

No del exceso de confianza, sino de cualquier confianza. Es decir, cualquier actitud distinta a un estado permanente de atención y vigilancia activa que nos incite a reducir riesgos de manera metódica. Es la confianza la que incita a las personas a incurrir una y otra vez “en los mismos errores que comprometen de manera decisiva la seguridad de las instituciones en que se integran”.

Como única alternativa viable a la descorazonadora cadena de errores no forzados en que nos hace incurrir la dichosa confianza, Kindervag proponía ya por entonces la implementación de protocolos estrictos y sistemáticos que empiecen, en primer lugar, por una gestión mucho más segura de identidades y accesos (por sus siglas en inglés, IAM).

Desde 2010, la incidencia global de ciberataques ha aumentado hasta alcanzar a finales de 2023 la abrumadora cifra de 1.200 intentos semanales por empresa. Aunque la inmensa mayoría de estos conatos de agresión resultan infructuosos, basta con repetir ese dato en voz alta para constatar los enormes riesgos a los que nuestras economías, en proceso de digitalización acelerada, hacen frente a diario. Santiago Anaya Godoy, Global Chief Technology Officer de Cipher en Prosegur, destaca la importancia de un enfoque holístico en la protección de datos: “La seguridad no se trata solo de colocar barreras, sino de educar y concienciar a los usuarios; por ello, la ciberseguridad debe personalizarse según las necesidades de cada uno”.

A medida que la tecnología y los recursos de los ciberdelincuentes avanzan, se hace imprescindible adoptar redes de Zero Trust que no dejen nada al azar y minimicen la influencia negativa del factor humano. David Fernández Granado, director general de Cipher, sostiene que “esta política de desconfianza universal es crucial para la protección de entornos digitales cada vez más vulnerables a ataques de ciberdelincuentes que emplean herramientas avanzadas como la Inteligencia Artificial para crear ataques más sofisticados”. Esto incluye tácticas como “el Chatbot Hijacking, Deepfakes, Vishing avanzado, y vulneraciones en dispositivos de realidad aumentada y realidad virtual, además de códigos QR utilizados cotidianamente”, explica.

Fernández Granado también destaca la importancia del componente cultural y generacional en la implementación de la estrategia de Zero Trust. “Una organización debe ser consciente de los procesos de adopción de esta estrategia y el impacto que puede tener en los diversos equipos”.

Así, los más jóvenes, alfabetizados desde que empezaron a asomarse a internet en entornos de confianza cero como pueden ser los videojuegos o las redes sociales, se adaptan con gran facilidad al concepto y lo aplican, por lo general, con el rigor del que ni siquiera concibe alternativas. De esta manera, los miembros de la llamada “generación Zero Trust” tienden en todo momento a ceñirse a unas pautas que garantizan un grado de seguridad superior, una mejor gestión de riesgos potenciales y un respeto mucho más escrupuloso a la privacidad de las interacciones digitales.

 

Son gran parte de los situados al otro lado de la brecha digital los que necesitan interiorizar esta serie de principios de funcionamiento y entender cómo deben ser aplicados desde ambos extremos de la cadena: el del gestor de permisos de acceso y el del usuario. Ese proceso de adaptación redundará tanto en un aumento de la seguridad personal, como en la consistencia general y la capacidad de respuesta frente a las agresiones externas del conjunto de los sistemas.

El beneficio de este modelo es claro, según Anaya: “Cada solicitud de acceso debe ser verificada con rigor, independientemente de su origen, ya que cualquier usuario puede convertirse en una amenaza”. Además, la autenticación multifactor (MFA) es una pieza clave en este modelo, porque sólo permite el acceso a usuarios autorizados, añadiendo una capa adicional de seguridad incluso cuando las credenciales estén comprometidas.

Anaya añade que el desarrollo de redes de confianza cero no es una simple estrategia de seguridad. También pasa por la adopción de un nuevo marco mental, imprescindible para navegar con éxito (y sin grandes sobresaltos) por entornos digitales tan exigentes como en el que vivimos  hoy en día, “marcado por una digitalización acelerada y una tecnología de la información que avanza a pasos agigantados, lo que ha derivado en la identificación por parte de las empresas de la necesidad de asignar una mayor atención al aumento de la ciberseguridad para evitar poner en peligro las infraestructuras críticas de la organización”.

Descubre más sobre Ciberseguridad

Ciberseguridad en Iberoamérica: un reto legislativo, organizativo y tecnológico

¿Qué hacer ante un ciberataque? La alerta empresarial y buenas prácticas son la mejor respuesta

Los grandes desafíos de la ciberseguridad en un mundo tecnológico