Estrategias Zero Trust y SASE para potenciar la ciberseguridad

Y con él los modelos de seguridad perimetral que dominaron durante dos décadas. Este cambio de paradigma no es una mera evolución tecnológica, sino una necesidad operativa impulsada por tres factores convergentes: la adopción masiva del trabajo híbrido y remoto, la explosión del cloud computing y las aplicaciones SaaS, y el surgimiento de nuevas amenazas potenciadas por Inteligencia Artificial.

El 90% de las organizaciones adoptará modelos híbridos de trabajo, lo que significa que ya no existe un “dentro” ni un “fuera” de la red corporativa. Los usuarios, los datos y las aplicaciones están literalmente en todas partes.

Durante años, Zero Trust fue presentado como una aspiración futura. Hoy es una necesidad inmediata. El principio fundamental de “nunca confiar implícitamente, siempre verificar” ya no es un lema motivacional, sino una arquitectura de defensa obligatoria en la era de los agentes de IA, el ransomware sofisticado y los ataques de cadena de explotación (Exploit Chain).

Zero Trust debe construirse sobre cinco pilares fundamentales: identidad, dispositivo, red, aplicación y datos, complementados con automatización y análisis continuo. La identidad se ha convertido en el nuevo perímetro, aunque con un matiz interesante: la identidad por sí sola no es suficiente, la verificación debe ser contextual, continua y dinámica, considerando factores como el dispositivo, la localización, el comportamiento y el riesgo evaluado en tiempo real.

Los despliegues de soluciones SASE unificadas de un único fabricante aumentarán un 50% en 2025, frente al 15% de 2022. Esta aceleración refleja una conclusión unánime en la industria: el perímetro corporativo tradicional ha muerto y las herramientas de seguridad heredadas son ahora un riesgo para el negocio.

Con hasta el 90% de las organizaciones apoyando modelos de trabajo híbrido, los usuarios, las aplicaciones y los datos se encuentran en todas partes, fuera del alcance de los cortafuegos físicos de las oficinas.

Las tecnologías en las que muchos consejos de administración siguen confiando están fallando de forma sistemática. Los cortafuegos tradicionales son ciegos ante el tráfico lateral interno, las aplicaciones SaaS y los flujos cifrados.

Los sistemas de detección en el endpoint no pueden proteger infraestructuras críticas, hipervisores ni dispositivos IoT contra exploits de red. Y la autenticación multifactor (MFA) está siendo evadida rutinariamente mediante el robo de sesiones, convirtiendo las contraseñas robadas en una mercancía barata en la Dark Web.

El riesgo más urgente que los directivos deben conocer con precisión es el de las VPNs tradicionales, que se han convertido en la principal puerta de entrada para el ransomware. El problema estructural es claro: una vez que el atacante vulnera una VPN, obtiene acceso a toda la red interna, lo que permite el movimiento lateral destructivo sin restricciones.

Múltiples vulnerabilidades en dispositivos de borde han sido explotadas masivamente en los últimos años por grupos criminales organizados, aprovechando configuraciones por defecto y contraseñas débiles.

Nos encontramos en la denominada “Era Nativa de la Inteligencia Artificial”, caracterizada por el auge de los ataques agénticos. Los ciberdelincuentes ya no operan de forma manual: utilizan agentes de IA para ejecutar reconocimiento automatizado, encadenar exploits y llevar a cabo extorsiones a velocidades que superan la capacidad de respuesta humana. Las defensas diseñadas hace veinte años no pueden contener amenazas que operan a la velocidad del software.

El 86% de las organizaciones ha experimentado incidentes de seguridad asociados a la IA en el último año. La superficie de ataque se ha expandido hacia un territorio especialmente complejo: el riesgo interno no humano (insider risk). Los atacantes utilizan ahora software legítimo actuando en nombre del usuario corporativo, incluyendo sus propios asistentes de IA, para acceder de forma transparente a las sesiones y datos, algo prácticamente imposible de detectar con los cortafuegos clásicos.

Este escenario exige extender los principios de seguridad a la IA Agéntica: los agentes de IA que actúan en nombre de los empleados deben ser tratados, autenticados y monitoreados con el mismo rigor que un usuario humano. La verificación continua de la identidad (humana o algorítmica) se convierte en el mecanismo de defensa fundamental de la organización.

La estrategia Zero Trust parte de una premisa innegociable: “Nunca confiar implícitamente, siempre verificar”. Esto significa que la identidad y el contexto del usuario (o del dispositivo o agente) se evalúan de forma continua antes de otorgar acceso a una aplicación específica, bloqueando el acceso al resto de la red. La confianza no es estática: el sistema evalúa continuamente si el usuario sigue siendo quien dice ser durante toda la sesión.

Una advertencia crítica para los comités de dirección: el MFA no es Zero Trust. Si la autenticación multifactor falla, por ejemplo, mediante técnicas de robo de sesión, la seguridad de la empresa colapsa. La verdadera arquitectura Zero Trust exige la verificación continua del binomio identidad y contexto antes de tomar cualquier decisión de acceso.

Los cinco pilares que todo consejo de administración debe gobernar son: identidad, dispositivos, red, aplicaciones y datos, todo ello sostenido por la automatización y la monitorización continua del comportamiento.

A diferencia de la VPN, el modelo ZTNA (Zero Trust Network Access) no expone las aplicaciones privadas a Internet, eliminando los ataques de fuerza bruta, valida la identidad en cada sesión y otorga acceso únicamente a la aplicación específica que el empleado necesita, erradicando por completo la posibilidad de movimiento lateral del atacante.

Las organizaciones se enfrentan a una aparente paradoja: están cada vez más descentralizadas (con sucursales, teletrabajo, nubes públicas y privadas) pero necesitan una política de seguridad absolutamente centralizada. SASE (Secure Access Service Edge) resuelve este reto integrando en una única plataforma las capacidades de red y seguridad en la nube: FWaaS, SD-WAN, CASB, ZTNA y Secure Web Gateway, entre otras.

El impacto de implementar estas arquitecturas para la dirección es triple. En primer lugar, una reducción drástica del riesgo financiero y reputacional: se elimina la exposición de las aplicaciones críticas a Internet y se protege a la organización frente al Shadow AI (el uso no corporativo de IA generativa por parte de los empleados).

En segundo lugar, una mejora radical en la experiencia del usuario: se eliminan los cuellos de botella y la latencia asociados a las VPNs, lo que incrementa directamente la productividad.

En tercer lugar, una optimización de costes y visibilidad operativa unificada: se reduce la complejidad de gestionar múltiples proveedores y agentes de seguridad aislados.

Las métricas de negocio que hacen tangible este impacto son significativas: arquitecturas modernas permiten ahorros reales de ancho de banda de hasta el 55,3% y reducciones drásticas en los tiempos de procesos críticos.

El cambio de paradigma para la dirección es que no se prioriza la red genéricamente, sino que se garantiza el nivel de servicio por cada aplicación, asegurando que el negocio no se detenga por congestiones tecnológicas.

Uno de los mayores inhibidores de la adopción de arquitecturas de seguridad avanzadas ha sido históricamente la fricción que generan sobre los usuarios y los procesos. La solución que se consolida en la industria es trasladar la seguridad al lugar donde los trabajadores remotos pasan la mayor parte de su jornada: el navegador.

Al analizar el contenido localmente, se elimina la necesidad de costosas infraestructuras de redirección de tráfico en la nube y se ofrece una experiencia transparente, rápida y unificada.

Este enfoque permite además extender la postura de seguridad Zero Trust a dispositivos no gestionados, bloqueando el acceso a contratistas o invitados cuyos equipos no cumplan con las normativas corporativas, por ejemplo, la ausencia de cifrado de disco o de antivirus activo.

La integración segura de terceros y socios comerciales se facilita así enormemente, sin necesidad de despliegues masivos de VPN. El control del riesgo de Shadow AI es igualmente crítico en este marco. El 90% de las organizaciones lucha contra el uso descontrolado de herramientas de IA generativa por parte de sus empleados.

Las plataformas modernas permiten recuperar ese control ofreciendo visibilidad total sobre qué servicios de IA se utilizan, bloqueando plataformas no autorizadas y, fundamentalmente, controlando la fuga de datos al restringir qué información corporativa puede copiarse, pegarse o subirse a estos motores externos.

La conclusión que la industria traslada a los comités de dirección es inequívoca: Zero Trust no es una herramienta, es el modelo de seguridad que exige la era de la IA. La ciberseguridad moderna requiere una transición desde arquitecturas que confían en el perímetro hacia modelos donde el control viaje con el dato y el usuario, independientemente de su ubicación, dispositivo o nivel de autonomía.