Estrategias Zero Trust y SASE para potenciar la ciberseguridad

La transformación digital ha disuelto los límites tradicionales del perímetro corporativo y, con ello, ha hecho que las estrategias de seguridad basadas en su defensa resulten estructuralmente insuficientes.

Hoy, los usuarios trabajan desde cualquier lugar (oficinas, hogares, aeropuertos, instalaciones de terceros), las aplicaciones residen en entornos SaaS y cloud, y los datos circulan por infraestructuras que las organizaciones no controlan directamente.

Este nuevo mapa operativo ha convertido Zero Trust y SASE no en tendencias opcionales, sino en pilares fundamentales de cualquier arquitectura de ciberseguridad moderna. Y la urgencia se intensifica cuando se añaden dos factores: la IA agéntica como vector de ataque automatizado y un marco regulatorio que ya no admite cumplimiento superficial.

Uno de los obstáculos más críticos en el camino hacia una seguridad efectiva no es la ausencia de tecnología, sino su exceso desordenado. Las organizaciones han ido acumulando herramientas de seguridad heterogéneas (múltiples agentes, consolas independientes, soluciones de distintos fabricantes) que operan en silos sin integración real entre sí.

Esta fragmentación tiene consecuencias directas y cuantificables: se estima que el 75% de las compañías sufre fatiga operativa derivada de la gestión de múltiples plataformas. Pero más allá del impacto en los equipos de administración, los silos generan algo mucho más peligroso: brechas entre herramientas que los atacantes explotan para realizar movimientos laterales dentro de las redes corporativas.

No importa que cada solución individual sea técnicamente sólida si existen huecos en los puntos de intersección. Esos espacios sin cobertura son precisamente donde se producen las intrusiones más difíciles de detectar.

La consecuencia más visible de esta situación es el tiempo de detección de incidentes. Cuanto mayor es la fragmentación, más tarda la organización en identificar que ha sufrido un ataque, y cada hora de demora se traduce en pérdidas económicas y reputacionales.

La tendencia que se impone con fuerza en el mercado es la consolidación: unificación de consolas, reducción del número de agentes y adopción de arquitecturas SASE maduras que integren de forma nativa las distintas capas de seguridad.

La respuesta arquitectónica a este escenario se articula en torno a tres elementos que deben funcionar de forma integrada. El primero es la identidad 2.0, que va mucho más allá de la autenticación mediante contraseña o incluso del factor múltiple estático.

La identidad moderna exige conocer el dispositivo desde el que se accede, el contexto de la conexión y el comportamiento habitual del usuario. Sin este nivel de granularidad, cualquier control de acceso resulta insuficiente frente a las técnicas de suplantación actuales.

El segundo pilar es el acceso adaptativo basado en Zero Trust. El modelo de VPN, que durante décadas fue el estándar para el acceso remoto, resulta inadecuado en entornos distribuidos: otorga acceso a segmentos de red completos en lugar de a activos específicos y no incorpora los mecanismos de verificación continua que requiere una arquitectura de confianza cero.

Zero Trust implica verificar constantemente quién accede, desde dónde, con qué dispositivo y con qué propósito, y conceder únicamente el acceso mínimo necesario para cada función concreta.

El tercer pilar es el Cloud Edge: acercar los controles de seguridad al usuario y al dato, independientemente de dónde se encuentren. Esto supone desplegar la inspección y protección en el propio flujo de trabajo del usuario, no en un perímetro centralizado que ya no existe.

La noción de seguridad centrada en el dato (data centric) ha pasado de ser un principio conceptual a convertirse en una necesidad operativa. El dato es hoy el activo más valioso de cualquier organización y, al mismo tiempo, el objetivo preferente de los atacantes.

Esto implica que la estrategia de protección debe organizarse en torno a él: conocer qué datos existen, dónde residen, quién accede a ellos, desde qué dispositivo y en qué contexto.

Una política de protección del dato unificada que cubra los datos en uso en los endpoints, los datos en movimiento en canales web o correo electrónico, y los datos en reposo en repositorios locales o en la nube es el núcleo de una arquitectura SASE coherente.

Esta centralidad del dato adquiere especial relevancia cuando se consideran los entornos SaaS. Las aplicaciones de productividad corporativa (plataformas de colaboración, herramientas de gestión de proyectos, servicios de almacenamiento) son vectores de ataque cada vez más utilizados.

Se han documentado casos en los que actores maliciosos han aprovechado servicios de terceros con conexiones API a plataformas empresariales principales para elevar privilegios y acceder a datos críticos sin atacar directamente los sistemas mejor protegidos.

La cadena de dependencias con terceros amplía significativamente la superficie de exposición y exige que la estrategia de seguridad contemple explícitamente los riesgos derivados de esas integraciones.

La movilidad introduce un vector de riesgo que no siempre recibe la atención proporcional a su magnitud. Los dispositivos móviles son, en muchas organizaciones, el punto más desprotegido de toda la cadena.

Controlar la navegación, gestionar el acceso a recursos corporativos y aplicar políticas de seguridad coherentes en dispositivos iOS y Android presenta complejidades técnicas y organizativas que frecuentemente se posponen.

Del mismo modo, la incorporación de dispositivos de terceros, proveedores o usuarios con equipos personales genera escenarios de acceso que no siempre están contemplados en las arquitecturas de seguridad tradicionales.

A esto se suman entornos operativos emergentes donde la instalación de agentes de seguridad no es viable (infraestructuras IoT, dispositivos industriales conectados, equipamiento especializado) y donde la única forma de aplicar controles de seguridad es a través de la propia arquitectura de red, sin depender de software instalado en el extremo.

Un aspecto que con frecuencia queda en segundo plano en los debates sobre seguridad es el impacto de los controles de seguridad en el rendimiento de los servicios.

En entornos donde la continuidad del servicio es crítica (plataformas de atención sanitaria, servicios financieros, infraestructuras de comunicación), la latencia introducida por las capas de inspección y cifrado no es un inconveniente menor: puede comprometer la viabilidad operativa de los propios servicios que se pretende proteger.

Los firewalls deterministas tradicionales no están diseñados para responder con la velocidad y la flexibilidad que exigen los entornos orientados a IA, donde los patrones de tráfico son más complejos y los vectores de ataque más sofisticados.

La incorporación de capacidades de procesamiento acelerado, incluyendo arquitecturas basadas en GPU, en los dispositivos de seguridad de red responde precisamente a esta necesidad: mantener tasas de éxito en la detección de amenazas por debajo de umbrales aceptables sin introducir latencia que degrade la experiencia del usuario o la disponibilidad del servicio.

Las regulaciones vigentes (NIS2, DORA y los marcos equivalentes en distintas jurisdicciones) han cambiado sustancialmente las exigencias de cumplimiento. Ya no basta con realizar comprobaciones anuales: los marcos actuales exigen una demostración continua y documentada de quién accede a qué información, desde qué dispositivo, en qué contexto y con qué nivel de autorización.

Este requisito de trazabilidad permanente es, en sí mismo, un argumento decisivo para adoptar arquitecturas Zero Trust y SASE, que son las únicas capaces de proporcionar esa visibilidad de forma sistemática y auditable.

Las organizaciones que todavía operan con arquitecturas fragmentadas no solo asumen un riesgo de seguridad mayor, sino que enfrentan una brecha creciente entre sus capacidades de reporte y lo que las regulaciones exigen.

En definitiva, la consolidación arquitectónica en torno a SASE y Zero Trust no responde únicamente a una lógica de eficiencia operativa o de reducción de costes de gestión. Responde a una realidad en la que los atacantes operan de forma automatizada y a velocidad de máquina, el perímetro ha dejado de existir como concepto útil y el dato se ha convertido en el verdadero campo de batalla.

La pregunta ya no es si adoptar este modelo, sino con qué velocidad y coherencia hacerlo.

El consejo más recurrente entre los expertos es reducir la complejidad como prioridad estratégica: cuanto más sencilla sea la gestión de la seguridad, más rápida será la respuesta a incidentes y menor la exposición.

Para lograrlo, se recomienda adoptar plataformas que cubran el mayor espectro posible de necesidades bajo una gestión unificada, con arquitecturas híbridas y abiertas que eviten la dependencia exclusiva de un único fabricante pero que consoliden las herramientas en lugar de multiplicarlas.

El foco de protección debe desplazarse hacia donde está realmente el usuario (su dispositivo, su navegación, sus accesos) y la seguridad debe ser lo más transparente posible para que no genere fricción ni sea evitada.

En paralelo, la incorporación de la IA debe hacerse de forma planificada: integrándola en el plan director de seguridad, entendiendo a qué datos va a tener acceso y evitando decisiones impulsivas que ignoren los riesgos que introduce como vector de ataque.

Contar con un aliado tecnológico de confianza que acompañe el proceso de adopción progresiva, empezando por lo más urgente y avanzando por fases, se señala también como un factor determinante para el éxito.

La inteligencia artificial domina el horizonte de tendencias con claridad, aunque los expertos distinguen entre el ruido mediático y los cambios operativos reales. La evolución más significativa no es la IA como herramienta de consulta, sino su adopción como capacidad ofensiva y defensiva activa: los atacantes ya la utilizan para automatizar y acelerar exploits, y las organizaciones deben responder incorporándola a sus mecanismos de detección, respuesta y anticipación.

En paralelo, uno de los retos más inmediatos es el control del uso no corporativo de plataformas de IA por parte de los empleados, que suben información sensible de la empresa a servicios externos sin ningún tipo de supervisión ni conocimiento de las condiciones de uso de esos servicios.

Otras tendencias relevantes incluyen la consolidación de herramientas de seguridad en plataformas unificadas que reduzcan el número de agentes y consolas, la proliferación de APIs y el tráfico este-oeste asociado a entornos de IA, el uso híbrido de modelos públicos y privados según el caso de uso, la creciente preocupación por los ataques a la cadena de suministro a través de integraciones SaaS, y la necesidad de disponer de métricas objetivas que permitan medir el riesgo real al que está expuesta la organización.

El principal enemigo de la resiliencia es la complejidad: arquitecturas fragmentadas, herramientas en silos y procesos que generan fricción en el usuario son los factores que más debilitan la postura de seguridad real de una organización.

La transición fundamental que está en marcha es el paso de proteger redes a proteger usuarios, lo que exige llevar la seguridad allí donde el usuario trabaja y hacerla invisible para él.

El dato se ha consolidado como el epicentro de cualquier estrategia de seguridad, y el modelo Zero Trust, con verificación continua del contexto, no solo de la identidad, es el marco arquitectónico hacia el que deben converger los distintos elementos.

La IA ha llegado para quedarse y su impacto apenas está comenzando a manifestarse; su gestión responsable, tanto en términos de adopción como de protección frente a su uso ofensivo, será uno de los debates centrales de los próximos años.

Finalmente, cada organización tiene su propio punto de partida y sus propias necesidades, por lo que la clave no es seguir una hoja de ruta universal, sino construir un ecosistema flexible que permita responder al escenario actual y adaptarse al que está por llegar.