Durante décadas, las empresas confiaron en un modelo de "castillo y foso": un perímetro seguro (firewall) y, dentro, confianza implícita. Pero el trabajo remoto, el cloud y los ataques que comprometen credenciales legítimas dejaron obsoleto ese enfoque. Zero Trust reemplaza la confianza implícita por verificación continua bajo el lema "nunca confíes, siempre verifica".
Si estás evaluando modernizar tu postura de seguridad, esta guía te explica los principios, las tecnologías clave (ZTNA, microsegmentación, SASE) y cómo avanzar de forma pragmática.
Tabla de contenidos
Origen y definición de Zero Trust
El término fue acuñado por John Kindervag en Forrester (2010) y formalizado por NIST en la publicación SP 800-207. Zero Trust no es un producto: es una arquitectura donde cada solicitud de acceso se autentica, autoriza y cifra, sin importar si proviene de dentro o fuera de la red corporativa.
Orden ejecutiva 14028 de EE.UU. (2021) obligó a agencias federales a adoptar Zero Trust. En Chile, la Política Nacional de Ciberseguridad 2023-2028 y la Ley 21.663 incorporan principios alineados con este enfoque para operadores críticos.
Los 7 principios según NIST 800-207
- Todo recurso es un recurso — Datos, servicios, dispositivos IoT: todo requiere protección.
- Toda comunicación es asegurada — TLS/mTLS, sin confianza por ubicación de red.
- Acceso por sesión, no persistente — Token corto, reevaluación continua.
- Política dinámica basada en contexto — Identidad, dispositivo, ubicación, comportamiento.
- Monitoreo continuo — Postura del endpoint, telemetría, cumplimiento.
- Autenticación y autorización dinámica — Step-up auth cuando cambia el riesgo.
- Recolección de datos para mejora — Analítica que retroalimenta políticas.
ZTNA: el reemplazo de la VPN
Las VPN tradicionales otorgan acceso de red amplio tras autenticar una sola vez. Un atacante que compromete credenciales VPN accede a toda la red interna. Zero Trust Network Access cambia ese modelo: conecta al usuario solo a la aplicación autorizada, tras verificar identidad, dispositivo y contexto, y ocultando el resto de la infraestructura.
| Característica | VPN tradicional | ZTNA |
|---|---|---|
| Alcance de acceso | Red completa | Aplicación específica |
| Verificación | Una vez al login | Continua |
| Superficie expuesta | IPs públicas visibles | Aplicaciones ocultas |
| Experiencia usuario | Cliente pesado, lenta | Cliente ligero o agentless |
| Costo operativo | Alto | Medio-bajo (SaaS) |
Proveedores líderes: Cloudflare Access, Zscaler Private Access, Netskope Private Access, Palo Alto Prisma Access, Cisco Duo Network Gateway, Tailscale, Twingate.
Microsegmentación y aislamiento lateral
Aun con ZTNA en el perímetro, dentro del datacenter o cloud los servidores suelen hablar libremente entre sí. El ransomware moderno explota justamente esa libertad para propagarse lateralmente. Microsegmentación aplica reglas de "deny by default" a nivel de carga de trabajo: solo las comunicaciones explícitamente permitidas pasan.
- Illumio, Guardicore (Akamai), VMware NSX — microsegmentación basada en agente.
- AWS Security Groups, Azure NSG, GCP Firewall Rules — equivalentes nativos del cloud.
- Cilium + eBPF, Calico — microsegmentación para Kubernetes.
SASE y la convergencia de red + seguridad
Gartner introdujo el término Secure Access Service Edge (SASE) en 2019. Unifica SD-WAN, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), ZTNA y Firewall-as-a-Service en una plataforma cloud. Para empresas con usuarios distribuidos, sucursales y cloud, reduce complejidad y mejora la experiencia.
Leaders del cuadrante Gartner SASE/SSE 2024: Zscaler, Netskope, Palo Alto Networks, Cato Networks, Cloudflare.
Hoja de ruta práctica
Fase 1 (0-6 meses): fundaciones
- MFA universal (ver nuestra guía MFA).
- SSO con un IdP central (Entra ID, Okta, Google).
- Inventario de identidades, dispositivos y aplicaciones.
- EDR/XDR en todos los endpoints.
Fase 2 (6-12 meses): acceso moderno
- Despliegue de ZTNA para aplicaciones internas críticas.
- Conditional Access con señales de riesgo.
- Cifrado en tránsito (TLS 1.2+) y en reposo obligatorio.
Fase 3 (12-24 meses): segmentación y telemetría
- Microsegmentación de cargas críticas (bases de datos, AD, servidores de archivos).
- SIEM/XDR con correlación de señales de identidad, endpoint y red.
- Automatización (SOAR) para respuesta a incidentes.
Beneficios de Zero Trust
- Menor superficie de ataque
- Contención efectiva de brechas
- Mejor experiencia remota
- Cumplimiento facilitado (ISO 27001, NIST)
Desafíos a considerar
- Inversión inicial y change management
- Requiere higiene de identidad
- Integración con legacy puede ser compleja
- Necesita disciplina operativa sostenida
Diseñamos tu arquitectura Zero Trust
UpTech acompaña a empresas chilenas en la migración desde VPN/firewall tradicional hacia ZTNA, microsegmentación y SASE.
Ver Redes & Infraestructura →Preguntas frecuentes
¿Zero Trust reemplaza al firewall?
No. Zero Trust complementa al firewall tradicional agregando verificación continua de identidad, contexto y postura del dispositivo.
¿Qué es ZTNA?
Zero Trust Network Access es una tecnología que reemplaza la VPN tradicional. En lugar de dar acceso a la red, da acceso a aplicaciones específicas tras verificar identidad, dispositivo y contexto.
¿Cuánto tarda implementar Zero Trust?
Es un viaje, no un proyecto puntual. Las fases iniciales toman 3-6 meses. Una arquitectura Zero Trust madura típicamente requiere 18-36 meses.
¿Zero Trust sirve para PYMEs?
Sí. Soluciones SaaS como Cloudflare Access, Tailscale, Twingate o Microsoft Entra ya permiten desplegar ZTNA sin grandes inversiones.
¿Cuál es la diferencia entre Zero Trust y SASE?
SASE es una arquitectura que combina red (SD-WAN) y seguridad (SWG, CASB, ZTNA, FWaaS) en un servicio cloud. Zero Trust es el principio; SASE es una forma de entregarlo.
Migramos tu red a arquitectura Zero Trust con segmentación micro y verificación continua.
Conversemos: evaluamos sin costo cómo aplicarlo en tu empresa.