Artículo
01 julio 2025

«La falta de enfoques holísticos y maduros en la mayoría de las organizaciones impide una integración efectiva de la IA en los marcos Zero Trust»

En los próximos años, el modelo Zero Trust evolucionará desde una arquitectura estática y basada en reglas hacia un sistema dinámico, autónomo y adaptativo.

¿En qué punto se encuentra hoy la madurez del modelo Zero Trust entre las empresas españolas y europeas?

Actualmente, la adopción de modelos Zero Trust en Europa se encuentra en una fase aún incipiente o intermedia, con grandes diferencias según el tamaño de la organización y el sector. Las grandes organizaciones con recursos suficientes están avanzando hacia modelos más maduros, pero muchas veces el despliegue se limita a iniciativas parciales, como microsegmentación o autenticación adaptativa, sin llegar a un modelo holístico.

En estas grandes organizaciones, uno de los principales frenos es el coste y la complejidad de sustituir infraestructuras existentes y modelos de gobierno y operativos ya profundamente integrados.

Por otro lado, para las pymes y medianas empresas, muchas de ellas carecen del músculo financiero, técnico y organizativo para plantearse un modelo Zero Trust.

Por estos dos casos, a veces se percibe como un marco teórico inalcanzable, asociado a grandes despliegues tecnológicos, sin soluciones adaptadas a la realidad del negocio.

En términos sectoriales, los entornos más avanzados en Zero Trust el Sector financiero y seguros, impulsado por regulaciones estrictas y exposición al fraude y Tecnológicas y Telcos, donde existe una mayor capacidad de inversión.

¿Qué elementos son imprescindibles para que un enfoque Zero Trust sea realmente efectivo y no se quede en una etiqueta de marketing?

Uno de los errores más frecuentes en las estrategias Zero Trust es tratarlo como una solución “plug & play” basada únicamente en herramientas tecnológicas (ZTA gateways, EDR, SSO, etc.), cuando en realidad se trata de un modelo arquitectónico y operativo que debe alinearse con los riesgos, procesos y capacidades reales de la organización.

Para un diseño verdaderamente efectivo, el primer paso clave es identificar con claridad qué casos de uso se quieren cubrir. Una vez definidos los casos de uso, es esencial establecer el nivel de granularidad necesario para tomar decisiones de acceso contextualizadas. Aquí es donde entra en juego el reto real: la necesidad de identificar y conectar los Policy Information Points (PIP), es decir, las fuentes de información que permiten evaluar el contexto de seguridad en tiempo real.

Además, hay que tener en cuenta que cada sistema expone esta información de manera diferente, con distintos formatos, APIs, frecuencias de actualización y niveles de calidad (incluso información ambigua).

Si no se realiza este trabajo previo, el resultado será un sistema de Zero Trust fragmentado, basado en suposiciones o reglas genéricas, que no ofrece verdadera protección y termina convirtiéndose, en el mejor de los casos, en un ejercicio superficial. En el peor de los casos podría convertirse en una limitación operativa.

¿Cómo ha evolucionado el concepto de Zero Trust desde sus inicios hasta la actualidad, especialmente con la irrupción de la inteligencia artificial generativa y el trabajo híbrido?

El concepto de Zero Trust ha evolucionado desde un modelo centrado en la segmentación de red y la verificación continua, hacia un enfoque más amplio que integra análisis de contexto, automatización y decisiones dinámicas de acceso. Con la irrupción del trabajo híbrido y la inteligencia artificial generativa, se espera que la IA juegue un papel clave en el análisis en tiempo real de señales contextuales, el triaje automatizado de incidentes y la identificación de anomalías o brechas en la superficie de ataque.

Sin embargo, estos beneficios siguen siendo más una promesa que una realidad tangible. La falta de enfoques holísticos y maduros en la mayoría de las organizaciones impide una integración efectiva de la IA en los marcos Zero Trust. A día de hoy, los resultados generalizados aún están por ver, y muchas iniciativas siguen en fase piloto o parcial, sin lograr una transformación completa ni sostenida.

¿Qué errores comunes cometen las organizaciones al implantar estrategias Zero Trust y cómo pueden evitarse?

Uno de los errores más comunes en la implantación de estrategias Zero Trust es adquirir soluciones tecnológicas etiquetadas como «Zero Trust» sin un plan estratégico y arquitectónico que las respalde. Muchas organizaciones caen en la trampa del enfoque puramente comercial, confiando en que una herramienta concreta resolverá por sí sola la complejidad de este modelo. El resultado suele ser un ecosistema de soluciones segregadas, sin integración real ni un modelo operativo coherente que permita aplicar políticas de seguridad adaptativas y consistentes.

Para evitar este error, es fundamental partir de una visión estratégica alineada con los objetivos del negocio y los riesgos reales, definiendo los casos de uso prioritarios, la arquitectura de referencia, el modelo de gobierno y las fuentes de información necesarias. Solo así las soluciones tecnológicas podrán actuar como habilitadoras de una transformación real, y no como piezas aisladas sin impacto sostenido.

Capgemini trabaja con grandes compañías de múltiples sectores. ¿Qué aprendizajes clave ha observado en proyectos de Zero Trust aplicados a entornos complejos o regulados?

En nuestra experiencia trabajando con grandes compañías de sectores complejos y regulados, uno de los aprendizajes clave es que muchas organizaciones reducen el enfoque Zero Trust a iniciativas concretas como ZTNA (Zero Trust Network Access), perdiendo de vista que se trata de un modelo integral que afecta a la identidad, los datos, los dispositivos, las aplicaciones y la gobernanza.

Este enfoque limitado dificulta su adopción real, ya que se percibe como una mejora puntual de acceso remoto en lugar de una transformación organizativa y arquitectónica. En entornos regulados, donde existen altos requisitos de trazabilidad, segmentación, control de privilegios y respuesta ante incidentes, esta visión parcial no es suficiente.

¿Cómo se combina el enfoque Zero Trust con la necesidad de ofrecer experiencias digitales fluidas al usuario final sin sacrificar la seguridad?

Uno de los grandes retos del modelo Zero Trust es lograr que la seguridad contextual y dinámica no se traduzca en fricción constante para el usuario. Para ello, es clave diseñar un enfoque basado en el principio de “seguridad invisible pero presente”: aplicar controles robustos sin interrumpir la experiencia digital, siempre que el contexto sea de confianza.

Esto se consigue mediante tecnologías como autenticación adaptativa, single sign-on federado, o verificación continua en segundo plano (postura del dispositivo, reputación IP, etc.), que permiten aplicar políticas de seguridad sin que salte la notificación en el móvil con una frecuencia irritante.

¿Qué impacto está teniendo la regulación europea (como NIS2 o DORA) en la aceleración de modelos Zero Trust?

La regulación europea, especialmente con normativas como NIS2 y DORA, está actuando como un acelerador directo de los modelos Zero Trust, al exigir mayores niveles de control, trazabilidad y resiliencia frente a amenazas. En el caso del Reglamento DORA, el impacto se centra en el sector financiero y sus proveedores tecnológicos. DORA establece requisitos específicos sobre gestión del riesgo TIC, respuesta ante incidentes y pruebas de resiliencia operativa. En este contexto, Zero Trust se alinea perfectamente con las exigencias regulatorias, al permitir un control granular y dinámico de accesos,

Sobre NIS2 amplía significativamente el número de sectores obligados a implementar medidas de ciberseguridad avanzadas, incluyendo controles de acceso estrictos, segmentación de red y supervisión continua, todos principios clave del enfoque Zero Trust.

Cómo cree que evolucionará el modelo Zero Trust en los próximos años, especialmente con el impulso de tecnologías como la inteligencia artificial y el aprendizaje automático?

En los próximos años, el modelo Zero Trust evolucionará desde una arquitectura estática y basada en reglas hacia un sistema dinámico, autónomo y adaptativo, gracias al impulso de la inteligencia artificial y el aprendizaje automático Veremos una integración más fluida entre Zero Trust y otras funciones de ciberseguridad, como la respuesta automatizada a incidentes, la gestión de identidades federadas y la protección de datos sensibles en entornos híbridos y multicloud.

Sin embargo, para que esta evolución se materialice, será necesario que las organizaciones maduren en sus modelos de gobierno, calidad de datos y arquitectura tecnológica. Zero Trust no se convertirá en una solución mágica, pero sí en una capacidad estratégica clave, cada vez más impulsada por IA para proteger ecosistemas digitales distribuidos y en constante cambio.

¿Te ha parecido útil este contenido?

 
Más información en: https://www.capgemini.com/es-es/
Adrián Crespo
Capgemini
Security Service Manager
AI & ML assisted cybersecurity Cyber Resilience Cybersecurity Cybersecurity as a Service (CSaaS) Extended Detection and Response (XDR) Secure Access Service Edge (SASE) Threat Exposure Management Zero Trust

Te puede interesar

@aslan avanzará las principales tendencias tecnológicas de 2026 durante las actividades de su plan anual
08 Ene 2026
MIMECAST: Gartner® Cuadrante Mágico™ para la seguridad del correo electrónico
26 Diciembre 2025
ARROW ELECTRONICS gana el premio AWS Partner Award 2025
26 Diciembre 2025
WATCHGUARD: Sólida, silenciosa y predecible. WatchGuard ofrece protección total sin carga operativa en la evaluación MITRE ER7
26 Diciembre 2025
BITDEFENDER: Los menores pueden ser añadidos automáticamente a grupos de WhatsApp con contenido inapropiado sin consentimiento
26 Diciembre 2025
El futuro digital exige resiliencia, no solo protección
07 May 2025
CAPGEMINI: ‘La era ecodigital: La doble transición hacia una economía sostenible y digital’
26 Ene 2024
CAPGEMINI: La mayoría de los líderes empresariales se muestran optimistas respecto al crecimiento de sus organizaciones en 2024
19 Ene 2024
“La IA va a sacudir el tablero de juego habilitando vectores de ataque hasta ahora no utilizados”
17 Jul 2023
Conociendo a Capgemini, nuevo asociado @aslan
31 Mar 2023
Asociación @aslan
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.