El modelo zero trust parte de una premisa simple pero radical: no confíes en nada ni en nadie por defecto, ni siquiera en lo que está dentro de tu red corporativa. Cada acceso a cada recurso debe ser verificado, autenticado y autorizado de forma explícita, independientemente de dónde venga la solicitud.

Este modelo surgió como respuesta a la realidad de que el perímetro de red tradicional —la idea de que todo lo que está "dentro" es seguro— ya no existe. Los empleados trabajan desde casa, desde cafeterías, desde aeropuertos. Las aplicaciones están en la nube. Los datos se mueven entre proveedores. El perímetro se ha disuelto.

Los tres pilares del zero trust

El primer pilar es la verificación explícita: autenticar y autorizar siempre, basándose en todos los datos disponibles (identidad, ubicación, dispositivo, servicio, carga de trabajo, clasificación de datos, anomalías). El segundo es el acceso con mínimos privilegios: limitar el acceso de usuarios con acceso just-in-time y just-enough-access, políticas adaptativas basadas en riesgo y protección de datos. El tercero es asumir la brecha: minimizar el radio de explosión, segmentar el acceso, verificar el cifrado de extremo a extremo y usar analítica para detectar amenazas.

Por dónde empezar: la hoja de ruta para empresas medianas

La implementación de zero trust no se hace de un día para otro. Para una empresa mediana (50-500 empleados), una hoja de ruta realista tiene estas fases:

Fase 1 — Identidad (meses 1-3): Implementar autenticación multifactor para todos los usuarios y todos los sistemas. Centralizar la gestión de identidades. Revisar y reducir los privilegios existentes aplicando el principio de mínimo privilegio.

Fase 2 — Dispositivos (meses 3-6): Implementar gestión de dispositivos móviles (MDM) para todos los dispositivos que acceden a recursos corporativos. Establecer políticas de acceso condicional que verifiquen el estado del dispositivo antes de permitir el acceso.

Fase 3 — Red y aplicaciones (meses 6-12): Segmentar la red para limitar el movimiento lateral en caso de brecha. Implementar acceso a aplicaciones basado en identidad en lugar de en red (ZTNA). Revisar y actualizar las políticas de acceso a aplicaciones críticas.

Fase 4 — Datos y monitorización continua (meses 12+): Clasificar los datos según su sensibilidad. Implementar controles de acceso basados en la clasificación. Establecer monitorización continua y respuesta automatizada a anomalías.

El error más común en implementaciones de zero trust es intentar hacerlo todo a la vez. Empieza por la identidad: es el control con mayor impacto y el más fácil de implementar sin disrupciones operativas.

Herramientas y costes

Para una empresa mediana, las herramientas más accesibles son las soluciones integradas de los grandes proveedores cloud (Microsoft Entra ID + Conditional Access, Google BeyondCorp Enterprise) que ofrecen la mayoría de las capacidades necesarias a un coste razonable. Las soluciones especializadas (Zscaler, Cloudflare Access, Okta) ofrecen más flexibilidad pero requieren más integración.

El coste total de una implementación de zero trust en una empresa de 200 empleados suele estar entre 50.000 y 150.000 euros en el primer año, incluyendo herramientas, consultoría y formación. Es una inversión significativa, pero el coste medio de una brecha de seguridad en España supera los 3 millones de euros.