La solución al problema del perímetro
Más allá de la seguridad tradicional con Zero Trust
Los días de la seguridad perimetral tradicional han llegado a su fin para la empresa moderna. Esto se debe en parte a que las formas tradicionales de trabajar han cambiado. Los empleados modernos pueden trabajar desde una pequeña filial, un avión, una oficina en casa, una cafetería y la oficina de un cliente, todo en una semana.
La mayoría de los líderes tecnológicos reconocen que la seguridad Zero Trust ofrece la mejor alternativa al enfoque tradicional de protección de una empresa. La verificación continua centrada en la identidad de la seguridad Zero Trust permite a las organizaciones proteger los recursos sin importar dónde se encuentren los usuarios ni qué dispositivos estén utilizando. Con un modelo Zero Trust, las organizaciones pueden abordar las limitaciones fundamentales de la seguridad perimetral.
Sin embargo, muchas empresas aún no han llegado a ese punto. De hecho, muchos no están muy avanzados en su recorrido Zero Trust. ¿En una escala del uno al diez? "Yo diría que cuatro", afirma Menny Barzilay, consejero delegado y cofundador de la plataforma de ciberseguridad Milestone, y socio de Cytactic. Personalmente, diría que un seis como mucho.
Recientemente hablé sobre el problema de la seguridad perimetral con Menny Barzilay y Khalid Kark, director de informática de Cloudflare para América. Abordamos las vulnerabilidades de la seguridad perimetral heredada que se destacan en el informe Cloudflare Signals Report 2025, y analizamos cómo la transición a un modelo Zero Trust puede ayudar a resolver esos problemas.
Todos coincidimos en que avanzar hacia un recorrido de Zero Trust es crucial para proteger a las organizaciones en el entorno de amenazas actual. Pero hacerlo requiere más que simplemente comprar una única solución.
De la seguridad perimetral a la seguridad basada en la identidad
Antes de que las organizaciones puedan realizar la transición a un nuevo modelo de seguridad, es importante comprender desde dónde parten. Durante años, las organizaciones han centrado sus esfuerzos de ciberseguridad en proteger el perímetro de red, que coincidía en gran medida con el perímetro físico de las oficinas corporativas. Protegían el perímetro de red con un firewall en su centro de datos local.
Hoy en día, las organizaciones se han expandido más allá de sus oficinas físicas. Los empleados trabajan desde cualquier lugar, y usan aplicaciones en la nube. Como dijo Menny Barzilay, "el perímetro es un concepto muy cuestionable en la realidad actual".
En lugar de defender a las organizaciones con modelos de seguridad tradicionales basados en el perímetro, los líderes de ciberseguridad necesitan un modelo completamente nuevo. La mayoría coincide en que la identidad será fundamental para ese modelo. Por supuesto, no es tan sencillo como verificar la identidad de un usuario. Las organizaciones deben incorporar contexto adicional para cada solicitud de acceso, así como la postura del dispositivo del usuario.
Si lo haces bien, la mejora en materia de seguridad será muy significativa. "Hay un concepto que dice que, si eres capaz de resolver el problema de la identidad, puedes resolver la ciberseguridad", afirma Barzilay. "Si sabes que la persona adecuada está utilizando los datos correctos con el dispositivo adecuado [...] no tienes un problema de ciberseguridad".
Resolver el problema de la identidad es un objetivo principal de la implementación de un modelo de seguridad Zero Trust. El principio central de ese modelo es: nunca confíes, verifica siempre. En lugar de confiar en todos los que logran cruzar el perímetro (y darles acceso a todos los recursos), Zero Trust asume que hay riesgos tanto dentro como fuera de tu red. Las herramientas de Zero Trust verifican al usuario, el contexto y el dispositivo antes de conceder acceso a datos y aplicaciones específicos.
Como señaló Khalid Kark en nuestro reciente debate, Zero Trust no es una solución única y específica: "En realidad, es una mentalidad". Menny Barzilay está de acuerdo: "Se trata de entender y reconocer que no se puede ‘confiar por diseño’ en nada. Hay que verificar todo".
También considero Zero Trust como un recorrido, y casi da igual por dónde empieces. No obstante, la mayoría de las organizaciones comienzan identificando sus escenarios más problemáticos.
"Si eres capaz de resolver el problema de la identidad, eres capaz de resolver la ciberseguridad".
— Menny Barzilay, consejero delegado y cofundador de Milestone y cofundador y socio de Cytactic
Identificar un primer destino: encontrar un caso de uso clave para Zero Trust
Un modelo de seguridad Zero Trust puede ayudarte a hacer frente a algunas de las amenazas más acuciantes surgidas a raíz de la explosión del trabajo híbrido y los recursos basados en la nube. Por ejemplo, puedes sustituir las soluciones obsoletas de acceso remoto, controlar los elementos de Shadow IT y simplificar la seguridad para los usuarios.
1. Sustituye las VPN tradicionales
Los atacantes saben que si consiguen robar las credenciales VPN de un solo usuario, pueden obtener un amplio acceso a la red de una empresa. La transición a una seguridad Zero Trust centrada en la identidad puede ayudar a resolver este grave problema. Con Zero Trust, puedes aplicar la verificación continua de usuarios e implementar la autenticación contextual en cargas de trabajo en la nube y aplicaciones de software como servicio (SaaS). Si los atacantes logran acceder de forma remota a tu red, las capacidades de acceso de mínimo privilegio limitan el alcance de la infiltración, impidiendo el movimiento lateral.
La sustitución de una VPN por la seguridad Zero Trust tiene ventajas adicionales. Los usuarios disfrutarán de una experiencia más ágil y con menor latencia cuando se conecten a los recursos. También puedes escalar el uso del acceso Zero Trust más rápidamente y de manera más rentable que una solución VPN. Y tu equipo informático puede reducir la complejidad administrativa de gestionar el acceso remoto e híbrido.
2. Controla los elementos de Shadow IT
Los proveedores de servicios en la nube facilitan enormemente la adopción de nuevos servicios, incluidos los servicios de IA. Sin embargo, como resultado, los empleados y los equipos suelen contratar estos servicios sin consultar al departamento de informática. Este tipo de Shadow IT (o Shadow AI) hace que sea cada vez más difícil supervisar y proteger las aplicaciones y los entornos en la nube. Incluso el uso de herramientas de colaboración simples basadas en la nube puede poner en riesgo los datos sensibles.
La implementación de agentes de seguridad de acceso a la nube (CASBs), herramientas de detección basadas en IA y la aplicación automatizada de políticas como parte de la seguridad Zero Trust puede ayudarte a obtener visibilidad y control en tiempo real sobre el uso de servicios en la nube no autorizados.
3. Acaba con la era de las contraseñas
Aunque los atacantes emplean la IA para desarrollar tácticas más sofisticadas, la identidad sigue siendo un vector de ataque principal. Como señala el informe, el 25 % de las intervenciones de respuesta a incidentes de Cisco se relacionó con usuarios que aceptaron notificaciones push fraudulentas de autenticación multifactor (MFA) en el primer trimestre de 2024. Los atacantes también secuestran sesiones activas y roban credenciales de otras maneras, exponiendo a las empresas a fugas generalizadas y usurpaciones de cuentas.
En particular, las organizaciones enfrentan varios desafíos relacionados con la identidad:
Reutilización de credenciales: según el informe, el análisis de las credenciales vulneradas mostró que el 46 % de todos los intentos de inicio de sesión de usuarios humanos —y el 60 % de los intentos de inicio de sesión de empresas— implicaban credenciales expuestas.
Ataques automatizados de credenciales: el análisis de credenciales expuestas mostró que el 94 % de los intentos de inicio de sesión utiliza credenciales filtradas que provienen de bots, los cuales pueden probar miles de contraseñas robadas por segundo.
Contraseñas poco seguras: las contraseñas estáticas e incluso los métodos MFA básicos suelen ser ineficaces contra las amenazas modernas, como el secuestro de sesiones y el robo de credenciales resistentes al phishing.
Es hora de dejar atrás la seguridad tradicional basada en contraseñas. Implementa controles de acceso Zero Trust junto con la autenticación sin contraseña, el análisis de comportamiento, la revocación automatizada de credenciales y otras capacidades puede ayudarte a abordar los riesgos potenciales de las contraseñas estáticas simples y la autenticación multifactor básica.
Identifica desde dónde quieres empezar tu recorrido Zero Trust
Una vez que hayas identificado el caso de uso adecuado, debes hacer un inventario y verificar tus aplicaciones. El objetivo es determinar qué usuarios ya tienen acceso a cada aplicación y cuáles no deberían tenerlo. Muchos recorridos de Zero Trust fracasan porque las organizaciones no realizan estas verificaciones.
En este punto, puedes elegir una solución de seguridad Zero Trust. Es cierto, Zero Trust es más un modelo o una filosofía que una solución única. Sin embargo, seleccionar la solución Zero Trust adecuada te permite aplicar los principios y las políticas de Zero Trust que establezcas.
Aunque las soluciones Zero Trust son importantes, demasiadas organizaciones comienzan comprando la solución, y luego su proceso se detiene. Realizar toda la preparación primero, incluida la selección de un caso de uso y las verificaciones, puede ayudarte a asegurarte de que estás invirtiendo tu tiempo y energía de manera que te proporcionen los resultados que esperas.
El recorrido será más fácil para algunas organizaciones que para otras. Como señaló Menny Barzilay, las startups pueden implementar la seguridad Zero Trust desde el primer día y evitar los posibles obstáculos de reemplazar soluciones heredadas. Sin embargo, para otras organizaciones, centrarse en un caso de uso específico, como proteger el acceso remoto, te ayudará a obtener una victoria relativamente rápida que puede impulsar a tu organización hacia adelante.
Por desgracia, la mayoría de las empresas aún no han avanzado mucho en su recorrido Zero Trust. Mientras tanto, deben abordar tanto la gran promesa como el temor que suscita la IA. Aunque la IA planteará algunos nuevos obstáculos, como la necesidad de gestionar la identidad no humana, también permitirá identificar amenazas de manera más eficaz y mejorará automáticamente la postura de seguridad de una organización.
No obstante, Khalid Kark, Menny Barzilay y yo coincidimos en que es crucial avanzar en el camino de Zero Trust. Zero Trust ayuda a abordar las deficiencias de las soluciones basadas en el perímetro. Y al mismo tiempo, puede ayudar a reducir significativamente la complejidad y los costes de la seguridad. En lugar de gestionar numerosas herramientas, puedes adoptar un enfoque unificado para proteger los recursos centrándote en la identidad.
El paso al modelo Zero Trust
La conectividad cloud de Cloudflare es una plataforma de servicios nativos de nube que puede agilizar la transición de la seguridad tradicional basada en el perímetro a un modelo de seguridad Zero Trust. Con el acceso a la red Zero Trust de Cloudflare, por ejemplo, puedes reemplazar tu VPN heredada, mejorar al mismo tiempo tu postura de seguridad y ofrecer mejores experiencias de usuario mientras simplificas la gestión. La plataforma de Cloudflare también ofrece servicios para recuperar la visibilidad y el control sobre la infraestructura informática y detener los ataques de identidad basados en bots. Juntos, estos servicios te permiten avanzar en tu camino hacia Zero Trust y dejar atrás los modelos de seguridad perimetral heredados.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Obtén más información sobre cómo la seguridad Zero Trust puede ayudarte a crear una organización más resiliente y descubre otras tendencias de seguridad fundamentales en Informe Signals 2025: Resiliencia a gran escala .
Autor
Steve Pascucci — @StevePascucci
Director de Zero Trust, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Por qué la seguridad tradicional basada en el perímetro ya no es suficiente
Cómo Zero Trust es el imperativo de seguridad moderno
Dónde comenzar tu recorrido de Zero Trust