La seguridad de confianza cero es un enfoque que exige que todos los usuarios (o más bien todos los dispositivos), se encuentren o no en la red corporativa, demuestren su identidad para poder acceder a las aplicaciones, datos y recursos de la empresa. Solo después de la autenticación se da acceso a los usuarios, si están autorizados. Así, el término «confianza cero» significa que no se confía en ningún usuario cuya identidad no haya sido verificada.
En el enfoque de seguridad tradicional basado en el perímetro, los dispositivos conectados a la red corporativa son de confianza por defecto. Esta suposición de que todos los dispositivos situados dentro de la red de la empresa no pueden causar ningún daño es errónea.
El número de ciberamenazas, la complejidad de los ciberataques y la frecuencia de estos ataques han aumentado en los últimos años. Si uno de los terminales de la red se infecta, el daño se propaga como un reguero de pólvora. El atacante puede desplazarse fácilmente de un segmento a otro. La seguridad basada en el perímetro está diseñada para defenderse de los ataques desde el exterior, mientras que lo que pasa dentro del perímetro es difícil de controlar.
Cualquier punto débil que surja internamente puede resultar devastador. Ya se han producido varios ataques de este tipo en los que las empresas han sufrido enormes daños debido a vulnerabilidades internas.
Además, las empresas no pueden confiar exclusivamente en este enfoque porque hay usuarios y dispositivos también fuera de su red. Con tendencias como la oficina en casa, el trabajo remoto, la computación en la nube y otras, es difícil para las empresas establecer un perímetro y aplicar las mismas medidas de seguridad confiables que en un entorno de oficina tradicional.
Por eso, muchas recurren a soluciones basadas en redes privadas virtuales (VPN). Las VPN llevan mucho tiempo en el mercado, pero no ofrecen suficiente seguridad. ¿Por qué?
Antes, la mayoría de las empresas usaban una VPN para acceder a las redes de la empresa. Hoy, en cambio, las empresas emprenden más iniciativas de transformación digital que nunca, trasladando a la nube recursos corporativos, como datos y aplicaciones.
Por lo general, un usuario que accede a una red corporativa a través de una VPN tiene acceso a todos los recursos de la red. El riesgo de ataques de ransomware, infecciones de malware y fugas de datos es mayor hoy en día porque el usuario puede saltarse el cortafuegos de la empresa para navegar por internet. Otro escenario podría ser que el dispositivo personal de un usuario se vea comprometido y exponga los recursos corporativos a aún más amenazas a través de un cliente VPN disponible.
Otro reto de las VPN es la falta de información sobre el tráfico de los usuarios. Se trata de un escenario de riesgo: imagínate a un empleado accediendo a una aplicación empresarial desde una cafetería con su laptop. Es probable que este laptop esté conectado a una red insegura y se convierta así en un blanco fácil para los hackers que lo atacan con malware o lanzan un ataque de ingeniería social.
Las VPN tenían sentido cuando el entorno digital no era tan complejo como ahora y había menos amenazas, que además eran más conocidas. Por otra parte, las complejas amenazas actuales no pueden gestionarse adecuadamente con una solución de VPN.
También es importante recordar que una VPN dirige el tráfico a la sede de la empresa o a otra ubicación central donde se aplican las políticas de seguridad. Esto significa que el tráfico para la verificación de datos y otros procesos fluye hacia la ubicación central. Este es un punto débil del enfoque, ya que genera latencias adicionales y ocupa más ancho de banda. En pocas palabras: El uso de una VPN implica una experiencia de usuario más lenta.
Con el auge de las arquitecturas multinube y las plantillas móviles, el perímetro de la red parece ser cada día menos importante.
En este entorno de rápida evolución, las empresas necesitan una solución de seguridad que permita:
Todas estas características están incluidas en una solución moderna de confianza cero, pero veamos más de cerca en qué se diferencia esta de la seguridad basada en el perímetro.
Ya hemos abordado la necesidad de verificar la identidad antes del acceso, pero ¿es suficiente la identificación del dispositivo o del usuario? No, porque el contexto también es un parámetro importante aquí. Contexto significa en este caso: fecha, hora, ubicación geográfica y estado de seguridad del dispositivo. Todos estos parámetros también se comprueban.
Así se permite un acceso a las aplicaciones y datos empresariales basado en el contexto. Pero recuerda: la autorización de acceso no se concede para siempre y la verificación no es un proceso único, sino continuo. Por lo tanto, si el usuario no supera la comprobación de seguridad o de contexto en la siguiente sesión, es probable que se le retiren los derechos de acceso.
Menos riesgos
Confiar en todos los dispositivos de una red corporativa es un gran riesgo que el enfoque de confianza cero elimina. Independientemente de la red o la ubicación del usuario, su identidad se verifica en cada sesión. Gracias a esta supervisión tan rigurosa y continua, la confianza cero mitiga los riesgos y vulnerabilidades, que de otro modo podrían pasarse por alto.
Más transparencia
Las empresas tienen un mayor control de los dispositivos conectados a la red y pueden supervisar las actividades de forma continua.
Seguridad más allá de la red
La seguridad de confianza cero está diseñada para proporcionar seguridad más allá de la capa de red e incluso a nivel de aplicación.
Experiencia de usuario más rápida
Con confianza cero, el usuario se conecta inmediatamente a través de una conexión segura sin que el tráfico pase primero por una ubicación central de la empresa. Esto reduce la latencia y permite una experiencia de usuario más rápida y mejor.
Menor superficie de ataque
La seguridad de confianza cero oculta de internet las aplicaciones empresariales y los recursos críticos. Así, el acceso a una de las aplicaciones no da derecho a acceder a todas las demás. Los usuarios no autorizados no pueden encontrar las otras aplicaciones porque son «invisibles».
La tendencia a trabajar desde casa o de viaje ha aumentado desde la pandemia de COVID-19. Y la tendencia al trabajo remoto continuará.
Algunas estadísticas interesantes sobre el trabajo remoto (de 2023):
Fuente: Remote work statistics and trends in 2023, 2023, www.forbes.com
La tendencia al trabajo remoto ha aumentado el número de terminales, ya que los empleados utilizan varios dispositivos para acceder a los datos y las herramientas empresariales. Por lo tanto, proteger estos terminales y supervisar el tráfico es importante para todas las empresas.
Gartner prevé que el 10% de las grandes empresas usarán el modelo de confianza cero en 2026. Hasta entonces, su modelo de confianza cero habrá madurado y podrá medirse. En la actualidad, menos del 1% de las empresas cuentan con un modelo de confianza cero plenamente desarrollado.
Fuente: Gartner predice que el 10% de las grandes empresas dispondrán de un programa de confianza cero maduro y medible en 2026, 2023, www.gartner.com
Pero se trata de datos para grandes empresas: en general, alrededor del 60% de todas las empresas aplicarán seguridad de confianza cero en 2025. En el informe de diciembre de 2022, Gartner confirmó que el enfoque de confianza cero ha dejado de ser sensación de marketing para convertirse en una realidad que las empresas han de tener en cuenta ahora como parte de su estrategia de seguridad. La confianza cero es el desarrollo de más rápido crecimiento en el área de la seguridad de redes.
¿Necesitas asesoría sobre cómo empezar a aplicar la seguridad de confianza cero? Contáctanos.
En septiembre presentaremos la siguiente parte del blog sobre la implementación de la seguridad de confianza cero.
T-Systems es uno de los proveedores líderes en seguridad en Europa. También fuimos galardonados por ISG en 2022 en las categorías Strategic Security Services, Managed Security Services, y Technical Security Services para Alemania.
