● Ciberlosario de Seguridad
¿Qué es Zero Trust?
Zero Trust es un modelo de ciberseguridad construido sobre el principio de «nunca confiar, siempre verificar». A diferencia de la seguridad perimetral tradicional que confía implícitamente en todo lo que está dentro de la red, Zero Trust asume que ningún usuario, dispositivo o conexión es de confianza por defecto. Cada solicitud de acceso debe ser autenticada, autorizada y validada de forma continua. Definido por el NIST en la Publicación Especial 800-207, Zero Trust se ha convertido en el marco de seguridad fundamental para las redes empresariales modernas.
Definición de Zero Trust y Principios Fundamentales
Zero Trust es un paradigma de ciberseguridad que elimina la confianza implícita y requiere la verificación continua de cada usuario, dispositivo y flujo de red. Según la NIST SP 800-207, desplaza las defensas de seguridad de perímetros estáticos para centrarse en usuarios, activos y recursos.
El modelo surgió del teletrabajo, BYOD, las aplicaciones en la nube y la desaparición de los perímetros de red. La seguridad tradicional de «castillo y foso» deja a las organizaciones expuestas al movimiento lateral de atacantes que vulneran el perímetro.
El Marco Zero Trust del NIST (SP 800-207)
NIST SP 800-207 es la referencia definitiva para la Arquitectura Zero Trust. Complementada por NIST SP 1800-35 (finalizada en junio de 2025), establece siete principios clave: todos los recursos requieren control de acceso; todas las comunicaciones están protegidas independientemente de la ubicación; el acceso es por sesión; las decisiones de acceso son dinámicas; la empresa monitoriza todos sus activos; la autenticación se aplica rigurosamente; y la empresa recopila el máximo de información de estado.
Componentes de la Arquitectura
El NIST define tres componentes lógicos: el Motor de Políticas (PE) que toma las decisiones de confianza, el Administrador de Políticas (PA) que gestiona las rutas de comunicación, y el Punto de Aplicación de Políticas (PEP) que habilita y termina las conexiones. Se implementan mediante ZTNA, SASE, SDP, gobernanza de identidad y microsegmentación.
NIST SP 1800-35 (2025): El NCCoE colaboró con 24 socios tecnológicos para construir 19 implementaciones de ZTA de ejemplo. Es la guía práctica más completa para implementar Zero Trust, con correspondencias al NIST CSF y SP 800-53r5.
Zero Trust vs. Seguridad Perimetral Tradicional
| Dimensión | Seguridad Perimetral | Zero Trust |
|---|---|---|
| Modelo de Confianza | Confiar dentro, bloquear fuera | Nunca confiar, siempre verificar |
| Alcance del Acceso | Toda la red tras autenticación | Por aplicación, por sesión |
| Acceso Remoto | VPN (red completa) | ZTNA (nivel de aplicación) |
| Movimiento Lateral | Sin restricciones una vez dentro | Bloqueado por segmentación |
| Verificación | Única en el inicio de sesión | Continua a lo largo de la sesión |
| Nube y Teletrabajo | Poco adecuada | Diseñada para entornos distribuidos |
ZTNA: Zero Trust Network Access
ZTNA implementa Zero Trust para el acceso seguro. Reemplaza las VPN proporcionando acceso granular basado en identidad a aplicaciones individuales usando el principio de «nube oscura»: las aplicaciones quedan ocultas para los usuarios no autorizados mediante conexiones solo de salida.
ZTNA verifica identidad, postura del dispositivo, ubicación y cumplimiento antes de conceder acceso a la aplicación específica, no a la red. La autenticación es continua, el cumplimiento del dispositivo se verifica en cada sesión y, si las credenciales se ven comprometidas, el daño queda limitado a esa aplicación.
Zero Trust SD-WAN
Zero Trust SD-WAN aplica Zero Trust a entornos SD-WAN: segmentación basada en identidad, verificación continua y políticas de acceso granulares para todas las conexiones.
SD-WAN por sí sola no proporciona seguridad. Zero Trust SD-WAN añade autenticación, segmentación y aplicación de políticas en cada conexión. La arquitectura utiliza un Broker como concentrador central donde los túneles cifrados de sucursales y usuarios remotos son autenticados y se aplican las políticas de acceso. Los conectores se despliegan próximos a las aplicaciones en centros de datos o nube.
Cómo Implementar Zero Trust
Zero Trust no es un producto único, sino un enfoque estratégico que se implementa de forma progresiva:
Soluciones Zero Trust de Teldat
Teldat ofrece un ecosistema Zero Trust completo que integra ZTNA, Zero Trust SD-WAN, NGFW y XDR en una plataforma unificada.
Zero Trust SD-WAN
Segmentación interna y seguridad avanzada con ZTNA integrado. Overlay seguro que conecta sedes remotas con centros de datos o nube. Arquitectura basada en Broker que impone autenticación, cumplimiento de dispositivos y políticas granulares. Independiente del hardware.
ZTNA con be.Safe Pro
Tres componentes: agente (firmado digitalmente, cumplimiento del dispositivo), Broker en la nube (conexiones y políticas de acceso), y conector (imagen virtual próxima a las aplicaciones). Arquitectura de nube oscura. Integración con Prevención de Amenazas. Política de Denegación por Defecto.
Integración con el Ecosistema Completo
Se integra de forma nativa con be.Safe Pro (NGFW/SASE), be.Safe XDR y el conjunto completo de SD-WAN. Políticas Zero Trust, reglas de firewall, detección XDR y enrutamiento SD-WAN, todo desde una única consola.
La ventaja diferencial de Teldat: Como fabricante de hardware de red y proveedor de software de seguridad, Teldat implementa Zero Trust en cada capa, desde el router físico hasta el servicio en la nube. Zero Trust SD-WAN con NGFW embebido y ZTNA integrado garantiza segmentación basada en identidad, verificación continua y prevención de amenazas en cada sucursal y conexión sin appliances de seguridad independientes.
Preguntas Frecuentes sobre Zero Trust
❯ ¿Qué es Zero Trust en términos simples?
Un enfoque de ciberseguridad: «nunca confiar, siempre verificar». Ningún usuario, dispositivo o conexión es de confianza por defecto. Cada solicitud de acceso se verifica continuamente.
❯ ¿Qué es el marco Zero Trust del NIST?
NIST SP 800-207 define la Arquitectura Zero Trust. Principios clave: sin confianza implícita, autorización por sesión, mínimo privilegio, monitorización continua. SP 1800-35 (2025) incluye 19 implementaciones de ejemplo.
❯ ¿Cuál es la diferencia entre Zero Trust y ZTNA?
Zero Trust es la filosofía. ZTNA es la tecnología que la implementa para el acceso remoto, reemplazando las VPN con acceso granular basado en identidad a aplicaciones individuales mediante el concepto de «nube oscura».
❯ ¿Qué es Zero Trust SD-WAN?
Zero Trust aplicado a SD-WAN: segmentación basada en identidad, verificación continua, políticas granulares para todas las conexiones. Teldat integra ZTNA con redes overlay seguras.
❯ ¿Zero Trust reemplaza los firewalls?
No, pero cambia su función. Los firewalls gestionan la inspección de tráfico e IPS. Zero Trust añade control basado en identidad, microsegmentación y verificación continua. ZTNA reemplaza las VPN específicamente.
❯ ¿Cuáles son los principios fundamentales?
(1) Nunca confiar, siempre verificar. (2) Mínimo privilegio. (3) Asumir brecha. (4) Microsegmentación. (5) Monitorización continua.
Implementa Zero Trust con Teldat
El Zero Trust SD-WAN y ZTNA de Teldat ofrecen segmentación basada en identidad, verificación continua y acceso granular, integrados con NGFW, XDR y SASE.
