¿Cuál es el principio central?

Nunca confiar, siempre verificar. La seguridad perimetral tradicional asumía que usuarios y sistemas dentro de la red eran confiables; Zero Trust asume que la red es hostil y exige que cada solicitud, sin importar su origen, sea autenticada, autorizada y evaluada continuamente según contexto como identidad, postura del dispositivo, ubicación y comportamiento.

¿En qué se diferencia de una VPN?

Las VPN dan acceso amplio a la red tras autenticarse, exponiendo subredes enteras. ZTNA concede acceso por aplicación con un punto de decisión que reevalúa cada solicitud, verifica postura y limita el movimiento lateral. Soluciones como Zscaler, Cloudflare Access, Tailscale y Cisco Duo Network Gateway están reemplazando VPNs heredadas.

¿Qué es NIST SP 800-207?

Publicación especial NIST de 2020 que es la guía autoritativa estadounidense sobre Zero Trust. Define componentes (Policy Engine, Policy Administrator, Policy Enforcement Point), principios, modelos de despliegue y escenarios. Las agencias federales deben alinearse según OMB M-22-09.

¿Cómo se implementa?

Es un viaje plurianual, no un producto. Inventaría activos, identidades y flujos. Refuerza la identidad (MFA, conditional access). Despliega ZTNA. Añade microsegmentación. Instrumenta con telemetría. Itera. Frameworks de CISA, NIST y Microsoft ofrecen modelos de madurez.

Modelo Zero Trust Explicado

Por Qué Importa

El modelo tradicional castle-and-moat asumía perímetros fuertes alrededor de redes internas confiables. Esa suposición colapsó con el cloud, el trabajo remoto, BYOD y las cadenas de suministro integradas. Una vez que un atacante cruza el perímetro (phishing, credenciales robadas), el movimiento lateral hacia activos críticos es trivial.

Zero Trust trata cada solicitud como no confiable. Las grandes brechas (SolarWinds, Storm-0558 de Microsoft, ransomware) demuestran que los ataques basados en identidad y movimiento lateral burlan defensas perimetrales. Hoy es directiva federal en EE.UU. (OMB M-22-09) y enfoque recomendado en la industria.

Principios Clave (NIST SP 800-207)

Principios Zero Trust

Centrado en Identidad

Verificación Continua

Mínimo Privilegio

Asumir Compromiso

Cifrar Todo

Todas las fuentes de datos y servicios se consideran recursos.
Toda comunicación se asegura sin importar la ubicación.
El acceso se concede por sesión, no de forma persistente.
El acceso se determina por política dinámica.
La empresa monitoriza integridad y postura de todos los activos.
Autenticación y autorización son dinámicas y se aplican estrictamente antes del acceso.
La telemetría se recoge y usa para mejorar la postura.

Arquitectura de Referencia

Componentes Zero Trust

Usuario/Dispositivo

Punto de Aplicación

Motor de Política

Recurso

Telemetría Continua

Componente	Rol
Subject	Usuario o servicio
PEP	Policy Enforcement Point
PE	Motor de política
PA	Administrador de política
Resource	Objetivo protegido

Pilares (CISA)

Identidad: MFA resistente a phishing, IAM moderno, JIT
Dispositivos: postura, MDM, EDR
Redes: microsegmentación, tráfico interno cifrado
Aplicaciones: dev seguro, mTLS, runtime protection
Datos: clasificación, cifrado, DLP

ZTNA vs VPN

ztna-vs-vpn.txt

Text

VPN heredada:
- Acceso amplio a la red tras auth
- Punto único de fallo
- Riesgo de movimiento lateral
- A menudo sin postura del dispositivo

ZTNA:
- Acceso solo a nivel de aplicación
- Evaluación continua de política
- Postura e identidad por sesión
- Default-deny con allows explícitos

Hoja de Ruta

Inventario: activos, identidades, apps, flujos
Identidad: SSO, MFA, conditional access
Confianza de dispositivo: dispositivos gestionados
Acceso a aplicaciones: ZTNA frente a apps de alto riesgo
Microsegmentación: limitar east-west
Protección de datos: clasificación, cifrado
Telemetría: SIEM/XDR
Iterar

Errores Comunes

Conceptos Relacionados

En el Bootcamp

Cómo enseñamos Zero Trust

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Zero Trust en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 8: Operaciones de Seguridad Avanzadas

Temas relacionados que dominarás:Respuesta a IncidentesDFIRThreat HuntingVolatility

Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido

Blog

Guías de carrera

Glosario

Certificaciones

Comparativas

Herramientas

Autores

Formación corporativa

Contrata nuestro talento

Zero Trust