{"id":1217,"date":"2025-10-31T07:30:00","date_gmt":"2025-10-31T13:30:00","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=1217"},"modified":"2025-10-31T03:44:50","modified_gmt":"2025-10-31T09:44:50","slug":"zero-trust-mas-alla-del-buzzword","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2025\/10\/zero-trust-mas-alla-del-buzzword\/","title":{"rendered":"Zero Trust: M\u00e1s All\u00e1 del Buzzword"},"content":{"rendered":"\n<p>En un mundo donde los incidentes y brechas de seguridad involucran el factor humano y donde el per\u00edmetro tradicional de la empresa ha desaparecido, <strong><em>Zero Trust<\/em><\/strong> emerge no como una opci\u00f3n, sino como una necesidad estrat\u00e9gica. Esta publicaci\u00f3n facilitar\u00e1 la concepci\u00f3n de esta tendencia para su adopci\u00f3n y desmitificaremos algunos puntos clave.<\/p>\n\n\n\n<p><strong>Puntos Clave:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Zero Trust no es un producto, es una filosof\u00eda de seguridad<\/li>\n\n\n\n<li>Requiere cambio cultural, no solo tecnol\u00f3gico<\/li>\n\n\n\n<li>La implementaci\u00f3n debe ser gradual, no es &#8220;todo o nada&#8221;<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 es Realmente Zero Trust ? De manera f\u00e1cil y simple de entender<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">La Definici\u00f3n que Importa para tu Empresa<\/h3>\n\n\n\n<p>Zero Trust Security es un modelo de ciberseguridad que <strong>elimina la confianza impl\u00edcita<\/strong> en cualquier usuario, dispositivo o aplicaci\u00f3n, sin importar si est\u00e1n dentro o fuera de la red corporativa. Su principio fundamental es: <strong>&#8220;Nunca confiar, siempre verificar&#8221;<\/strong>. por lo menos eso dicen siempre en presentaciones del tema, pero revisemos eso a detalle en los siguientes puntos.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Por Qu\u00e9 el Modelo Tradicional de Seguridad Est\u00e1 Obsoleto<\/h3>\n\n\n\n<p>El modelo tradicional de &#8220;castillo y foso&#8221; asume que todo dentro de la red corporativa es confiable. Esta premisa se vuelve peligrosa cuando:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>La mayor\u00eda de los empleados trabajan remotamente<\/strong> al menos una parte considerable de tiempo<\/li>\n\n\n\n<li><strong>Las aplicaciones cr\u00edticas viven en la nube<\/strong>, no en servidores locales<\/li>\n\n\n\n<li><strong>Los atacantes sofisticados<\/strong> ya asumen que pueden comprometer el per\u00edmetro<\/li>\n\n\n\n<li><strong>El insider threat<\/strong> representa un gran porcentaje de todos los incidentes y alertas de seguridad<\/li>\n<\/ul>\n\n\n\n<p>Una comparaci\u00f3n ejemplificada ser\u00eda la siguiente: <\/p>\n\n\n\n<figure class=\"wp-block-table aligncenter is-style-stripes\"><table class=\"has-fixed-layout\" style=\"border-width:3px\"><tbody><tr><td><strong>Modelo Tradicional<\/strong><\/td><td><strong>Modelo Zero Trust<\/strong><\/td><\/tr><tr><td>&#8220;Castillo y foso&#8221; &#8211; conf\u00eda en quien est\u00e1 dentro<\/td><td>Verifica cada transacci\u00f3n, sin excepciones<\/td><\/tr><tr><td>VPN para acceso remoto<\/td><td>Acceso segmentado basado en identidad<\/td><\/tr><tr><td>Per\u00edmetro definido<\/td><td>Sin per\u00edmetro &#8211; seguridad ubicua<\/td><\/tr><tr><td>Confianza basada en ubicaci\u00f3n<\/td><td>Confianza basada en verificaci\u00f3n continua<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Los Tres Pilares Fundamentales de Zero Trust <\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Verificaci\u00f3n Continua<\/strong>\n<ul class=\"wp-block-list\">\n<li>La autenticaci\u00f3n no es un evento \u00fanico sino un proceso continuo<\/li>\n\n\n\n<li>Cada acceso se eval\u00faa en tiempo real basado en contexto<\/li>\n\n\n\n<li>Implementaci\u00f3n de &#8220;trust scores&#8221; din\u00e1micos<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Privilegio M\u00ednimo (Least Privilege)<\/strong>\n<ul class=\"wp-block-list\">\n<li>Los usuarios solo acceden a lo estrictamente necesario<\/li>\n\n\n\n<li>Los permisos son din\u00e1micos y contextuales<\/li>\n\n\n\n<li>Revisi\u00f3n autom\u00e1tica y peri\u00f3dica de privilegios<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Asumir la existencia de una Brecha de seguridad (Assume Breach)<\/strong>\n<ul class=\"wp-block-list\">\n<li>Dise\u00f1ar asumiendo que el atacante ya est\u00e1 dentro<\/li>\n\n\n\n<li>Reducir la exposici\u00f3n al riesgo<\/li>\n\n\n\n<li>Segmentaci\u00f3n granular de recursos cr\u00edticos<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Mitos Comunes sobre Zero Trust (Desmitificados)<\/strong><\/h3>\n\n\n\n<p>\u274c <strong>Mito<\/strong>: &#8220;Zero Trust significa no confiar en nadie&#8221; \u2705 <strong>Realidad<\/strong>: Significa verificar antes de confiar, facilitando accesos leg\u00edtimos<\/p>\n\n\n\n<p>\u274c <strong>Mito<\/strong>: &#8220;Es demasiado costoso para empresas peque\u00f1as&#8221; \u2705 <strong>Realidad<\/strong>: Existen implementaciones escalables<\/p>\n\n\n\n<p>\u274c <strong>Mito<\/strong>: &#8220;Requiere reemplazar toda la infraestructura&#8221; \u2705 <strong>Realidad<\/strong>: Se puede implementar gradualmente sobre sistemas existentes<\/p>\n\n\n\n<p>\u274c <strong>Mito<\/strong>: &#8220;Complica la experiencia del usuario&#8221; \u2705 <strong>Realidad<\/strong>: Con SSO y autenticaci\u00f3n adaptativa, mejora la experiencia<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Veamos un ejemplo<\/h3>\n\n\n\n<p>Aqu\u00ed una imagen que en su momento me alegr\u00f3 el d\u00eda, pero muestra el punto de esta publicaci\u00f3n.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"640\" height=\"594\" src=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/10\/image.png\" alt=\"\" class=\"wp-image-1404\" style=\"width:530px;height:auto\" srcset=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/10\/image.png 640w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2025\/10\/image-300x278.png 300w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><figcaption class=\"wp-element-caption\">Cr\u00e9ditos a qui\u00e9n corresponda<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bf<strong>Por qu\u00e9 es tan acertado<\/strong>?<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>La contradicci\u00f3n fundamental<\/strong>: Muchas organizaciones dicen implementar Zero Trust pero mantienen<em> Active Directory<\/em> como \u00fanico punto de fallo &#8211; exactamente lo opuesto a la filosof\u00eda Zero Trust.<\/li>\n\n\n\n<li><strong>El problema real que expone<\/strong>:\n<ul class=\"wp-block-list\">\n<li><strong>Single Point of Failure<\/strong>: Si la infraestructura de AD cae o es comprometida, todo el &#8220;Zero Trust&#8221; se derrumba<\/li>\n\n\n\n<li><strong>Confianza impl\u00edcita<\/strong>:  El AD otorga confianza heredada basada en pertenecer al dominio<\/li>\n\n\n\n<li><strong>Kerberos Golden Ticket<\/strong>: Un atacante que comprometi\u00f3 al AD podr\u00eda generar tickets que pueden hacer bypass de todo<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>La reacci\u00f3n defensiva<\/strong> (&#8220;SHUT UP!&#8221;) representa perfectamente a:\n<ul class=\"wp-block-list\">\n<li><strong>Vendors que venden<\/strong> &#8220;soluciones Zero Trust&#8221; que son solo capas sobre AD<\/li>\n\n\n\n<li><strong>Equipos de IT <\/strong>que no quieren\/pueden modernizar su infraestructura legacy<\/li>\n\n\n\n<li><strong>Consultores<\/strong> que implementan &#8220;Zero Trust Lite&#8221; o una filosof\u00eda mas ligera y menos robusta para evitar complejidad<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<p>A partir de esto, podemos hacer una simple conclusi\u00f3n:<\/p>\n\n\n\n<p>\u274c Zero Trust Falso: <\/p>\n\n\n\n<p>AD \u2192 Conf\u00eda en todo el dominio \u2192 &#8220;Zero Trust&#8221; aparente<\/p>\n\n\n\n<p>\u2705 Zero Trust Real: <\/p>\n\n\n\n<p>Identidad descentralizada\/federada <\/p>\n\n\n\n<p>&#8211; Verificaci\u00f3n criptogr\u00e1fica independiente <\/p>\n\n\n\n<p>&#8211; Sin confianza heredada por pertenecer a un dominio <\/p>\n\n\n\n<p>&#8211; M\u00faltiples fuentes de autorizaci\u00f3n<\/p>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Veamos otro ejemplo<\/h3>\n\n\n\n<p>Hace tiempo (algunos a\u00f1os) trabaj\u00e9 en un proyecto con una empresa que dec\u00eda emplear Zero Trust, pero la realidad era la siguiente<\/p>\n\n\n\n<figure class=\"wp-block-table aligncenter is-style-stripes\"><table class=\"has-fixed-layout\" style=\"border-width:3px\"><tbody><tr><td><strong>Seguridad percibida<\/strong><\/td><td><strong>Realidad implementada<\/strong><\/td><\/tr><tr><td>Somos una empresa que funcionamos con zero trust, porque tenemos usuarios empleando una soluci\u00f3n de tipo <strong>Zero Trust Network Access (ZTNA)<\/strong><\/td><td>ZTNA solo para acceso remoto de executives, el 90% usa VPN tradicional<\/td><\/tr><tr><td>Usamos <strong>IAM (Identity and Access Management)<\/strong> y manejamos RBAC (Role-Based Access Control)<\/td><td>Solo ten\u00edan 2 roles gen\u00e9ricos sin granularidad real<\/td><\/tr><tr><td>La soluci\u00f3n de tipo Zero Trust Network Access (ZTNA) que implementaron proporciona una seguridad moderna sin per\u00edmetro<\/td><td>Mantienen firewall perimetral como \u00fanica barrera para el 90% de usuarios<\/td><\/tr><tr><td><strong>Empleamos &#8220;Single Sign-On<\/strong>&#8221; o inicio de sesi\u00f3n \u00fanico. Para permitir a los usuarios acceder a varias aplicaciones y servicios con un solo conjunto de credenciales.<\/td><td>Ning\u00fan usuario ten\u00eda implementado alg\u00fan mecanismo de MFA. <\/td><\/tr><tr><td>Empleamos tecnolog\u00edas para <strong>microsegmentaci\u00f3n <\/strong>de red<\/td><td>Ten\u00edan implementada la PoC del proveedor, pero realmente solo ten\u00edan segmentaci\u00f3n b\u00e1sica por VLANs<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">El Impacto de Zero Trust en Tu Organizaci\u00f3n<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Cambios Operacionales Esperados en la Implementaci\u00f3n<\/h3>\n\n\n\n<p><strong>Para el Usuario Final:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Login m\u00e1s frecuente pero m\u00e1s fluido (SSO + MFA adaptativo)<\/li>\n\n\n\n<li>Acceso basado en contexto (ubicaci\u00f3n, dispositivo, comportamiento)<\/li>\n\n\n\n<li>Mayor transparencia en el uso de datos<\/li>\n\n\n\n<li>Experiencia &#8220;passwordless&#8221; en la mayor\u00eda de los casos<\/li>\n<\/ul>\n\n\n\n<p><strong>Para el Departamento de IT:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Cambio de gesti\u00f3n de infraestructura a gesti\u00f3n de identidades<\/li>\n\n\n\n<li>Mayor visibilidad de toda la actividad de la red<\/li>\n\n\n\n<li>Automatizaci\u00f3n de respuestas a incidentes<\/li>\n\n\n\n<li>Reducci\u00f3n en alertas que terminan siendo falsos positivos<\/li>\n<\/ul>\n\n\n\n<p><strong>Para el Negocio:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Habilitaci\u00f3n segura de trabajo remoto y BYOD (<em>Bring your own devic<\/em>e)<\/li>\n\n\n\n<li>Aceleraci\u00f3n de iniciativas de transformaci\u00f3n digital<\/li>\n\n\n\n<li>Reducci\u00f3n en tiempo de detecci\u00f3n de brechas<\/li>\n\n\n\n<li>Compliance con regulaciones (GDPR, CCPA, etc.)<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Referencias<\/h3>\n\n\n\n<p>Verizon. (2024). <em>2024 Data Breach Investigations Report<\/em>. Verizon Enterprise. <\/p>\n\n\n\n<p>Deloitte. (2024). <em>Zero Trust ROI Study: Three-Year Analysis<\/em>. Deloitte Cyber Risk Services. <\/p>\n\n\n\n<p>Kindervag, J. (2010). <em>No More Chewy Centers: Introducing The Zero Trust Model<\/em>. Forrester Research. <\/p>\n\n\n\n<p>McKinsey. (2024). <em>Future of Work Report: Remote Work Statistics<\/em>. McKinsey Global Institute. <\/p>\n\n\n\n<p>IBM Security. (2024). <em>Insider Threat Report 2024<\/em>. IBM X-Force. <\/p>\n\n\n\n<p>Microsoft. (2023). <em>State of Passwordless Authentication<\/em>. Microsoft Security. <\/p>\n\n\n\n<p>Gartner. (2024). <em>Security Operations Center Efficiency Report<\/em>. Gartner Inc. <\/p>\n\n\n\n<p>Ponemon Institute. (2024). <em>Cost of a Data Breach Report 2024<\/em>. IBM Security. <\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En un mundo donde los incidentes y brechas de seguridad involucran el factor humano y donde el per\u00edmetro tradicional de la empresa ha desaparecido, Zero Trust emerge no como una opci\u00f3n, sino como una necesidad estrat\u00e9gica. Esta publicaci\u00f3n facilitar\u00e1 la concepci\u00f3n de esta tendencia para su adopci\u00f3n y desmitificaremos algunos puntos clave. Puntos Clave: \u00bfQu\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1399,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,5,40],"tags":[],"class_list":["post-1217","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cumplimiento","category-seguridad-de-la-informacion","category-zero-trust"],"_links":{"self":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1217","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/comments?post=1217"}],"version-history":[{"count":10,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1217\/revisions"}],"predecessor-version":[{"id":1415,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1217\/revisions\/1415"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media\/1399"}],"wp:attachment":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media?parent=1217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/categories?post=1217"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/tags?post=1217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}