Seguridad «zero trust»: qué es, por qué es importante y cómo implementarla

Según el informe «State of the MSP» de Kaseya de 2026, el 71 % de los MSP registraron un crecimiento interanual de los ingresos por ciberseguridad, y la arquitectura «zero trust» es, cada vez más, el marco que los clientes solicitan al evaluar el enfoque de seguridad de su MSP . Descarga el informe completo.

«Nunca confíes, comprueba siempre». Ese es el principio fundamental del modelo «zero trust», un modelo de seguridad que, en la última década, ha pasado de ser un marco teórico a convertirse en la base de la arquitectura de seguridad empresarial moderna.

El modelo de seguridad tradicional partía del supuesto de que todo lo que se encontraba dentro del perímetro de la red era de confianza. Los usuarios, los dispositivos y las aplicaciones situados dentro del cortafuegos se consideraban seguros por defecto. Esa suposición era razonable cuando los empleados trabajaban desde las oficinas con dispositivos propiedad de la empresa conectados a una red corporativa. Sin embargo, no tiene sentido en un entorno en el que se trabaja desde cualquier lugar, en cualquier dispositivo, accediendo a servicios en la nube que se encuentran totalmente fuera del perímetro. La plataforma de seguridad de Kaseya protege a más de 50 000 MSP y equipos de TI que están atravesando precisamente este cambio, lo que nos ofrece una visión operativa clara de dónde falla el modelo de perímetro y qué es lo que realmente lo sustituye.

Qué es el modelo «zero trust»

El modelo «zero trust» es un marco de seguridad, no un producto, que exige la verificación continua de cada solicitud de acceso, independientemente de su origen. Parte de la premisa de que la red ya ha sido comprometida y diseña los controles de acceso en consecuencia: limita el movimiento lateral restringiendo el acceso de cualquier usuario o dispositivo autenticado, y comprueba continuamente que las sesiones autenticadas se comporten según lo previsto.

El NIST define la arquitectura de confianza cero (ZTA) en la Publicación Especial 800-207 como el traslado de los controles de seguridad desde el perímetro de la red a los recursos individuales, de modo que cada recurso aplique su propia política de acceso en lugar de depender de un límite de red de confianza.

En la práctica, el modelo «zero trust» implica que se verifica la identidad de los usuarios mediante una autenticación sólida antes de que accedan a cualquier recurso; se comprueba que los dispositivos cumplan los requisitos de seguridad antes de concederles acceso; el acceso se limita únicamente a los recursos específicos que el usuario realmente necesita; se registra y supervisa todo acceso; y el acceso se reevalúa cuando se producen cambios en el contexto, como la ubicación, el estado del dispositivo o un comportamiento inusual.

¿Por qué fracasó el modelo perimetral tradicional?

El modelo tradicional del castillo y el foso —que consiste en mantener las amenazas fuera y confiar en todo lo que hay dentro— se basaba en tres supuestos que ya no son válidos.

El perímetro ya no está claramente definido. Se trabaja desde casa, desde cafeterías y con dispositivos personales. Las aplicaciones se ejecutan en entornos en la nube, totalmente fuera de la red corporativa. El concepto de «dentro» se ha vuelto difuso.

Las amenazas internas, ya sean empleados malintencionados o cuentas comprometidas, se originan dentro del perímetro. Un modelo que confía en todo lo que hay en el interior no ofrece protección alguna contra la gran parte de las filtraciones que nunca implican una intrusión desde la red externa.

Los atacantes que logran traspasar el perímetro mediante phishing, robo de credenciales o vulnerabilidades en la cadena de suministro pueden desplazarse lateralmente con mínima resistencia a través de una red plana y de confianza. El desplazamiento lateral es lo que hace que un único terminal comprometido se convierta en un incidente que afecta a toda la empresa. El ataque a la cadena de suministro de Kaseya VSA de 2021 es un ejemplo claro: el acceso a través de un único canal de confianza se propagó precisamente porque los entornos posteriores confiaban implícitamente en lo que procedía de los niveles superiores.

El modelo «zero trust» aborda estos tres modos de fallo sustituyendo la confianza implícita basada en la ubicación en la red por una verificación continua y sensible al contexto.

Los tres principios fundamentales del modelo «zero trust»

Verifica de forma explícita. Autentifica y autoriza cada solicitud de acceso utilizando todas las señales disponibles: la identidad del usuario, el estado del dispositivo, la ubicación, el recurso solicitado y los patrones de comportamiento. La ubicación de la red no es una señal de confianza.

Aplica el principio del acceso con privilegios mínimos. Limita a los usuarios al acceso mínimo necesario para su función y restringe la duración de dicho acceso. La concesión de acceso «justo a tiempo» para operaciones con privilegios, junto con la concesión de acceso por tiempo limitado para necesidades temporales, reduce el periodo de exposición en caso de que las credenciales se vean comprometidas. Una cuenta que solo puede acceder a lo que necesita, y durante el tiempo que lo necesita, resulta mucho menos valiosa para un atacante.

Partir de la hipótesis de que se ha producido una brecha de seguridad. Diseñar controles partiendo de la base de que la red ya ha sido comprometida. Segmentar el acceso para limitar el movimiento lateral. Cifrar todos los datos en tránsito y en reposo. Supervisar toda la actividad en busca de indicadores de compromiso. Planificar la respuesta ante incidentes para el caso de que un atacante ya se haya infiltrado en el entorno.

El modelo «zero trust» en la práctica: cómo implementarlo

El modelo «zero trust» es un proceso, no un interruptor binario. La mayoría de las organizaciones lo implementan de forma gradual a lo largo de cinco dimensiones, cada una de las cuales se basa en la anterior.

Gestión de identidades y accesos. Esta es la base. La autenticación sólida (autenticación multifactorial, idealmente mediante llaves de hardware resistentes al phishing o factores basados en aplicaciones), la gobernanza de identidades —que abarca quién tiene acceso a qué y por qué— y la gestión de accesos privilegiados para las credenciales administrativas constituyen el punto de partida. Toda decisión de acceso se basa en una identidad verificada. Dark Web ID, que forma parte de Kaseya 365 , ofrece una supervisión continua de las credenciales para detectar identidades comprometidas antes de que se conviertan en vectores activos de violaciones de seguridad.

Cumplimiento de los dispositivos. El acceso no solo debe depender de quién seas, sino también del estado del dispositivo que estés utilizando. Las políticas de acceso condicional que exigen que los terminales cumplan los requisitos de seguridad antes de acceder a recursos confidenciales aplican el principio de verificación de dispositivos. Datto EDR, parte de Kaseya 365 , proporciona la supervisión continua de los terminales de la que dependen las políticas de cumplimiento de los dispositivos: un terminal con una amenaza de comportamiento activa o una vulnerabilidad crítica sin parchear no debería tener los mismos derechos de acceso que un dispositivo limpio, parcheado y totalmente gestionado.

Control de acceso a la red. Sustituya el acceso general a la red basado en VPN por un acceso específico para cada aplicación. Los usuarios se autentican en aplicaciones concretas, en lugar de en la red en su conjunto. Este es el ámbito de actuación de ZTNA (Zero Trust Network Access), y Datto Secure Edge la solución ZTNA y SASE de Kaseya, diseñada específicamente para proveedores de servicios gestionados (MSP) que gestionan el acceso remoto de sus clientes a gran escala. Para obtener una visión técnica detallada de cómo el ZTNA sustituye a la VPN, consulte nuestra guía sobre ZTNA frente a VPN.

Controles a nivel de aplicación. Las políticas de acceso en la capa de aplicación no solo definen quién puede conectarse, sino también qué acciones puede realizar una vez conectado. El acceso basado en roles dentro de las aplicaciones, combinado con la supervisión del comportamiento en la capa de aplicación, cubre las lagunas que los controles a nivel de red por sí solos no pueden subsanar.

Supervisión continua. El modelo «zero trust» exige una supervisión continua de las sesiones autenticadas para detectar anomalías de comportamiento: acceso a recursos inusuales, volúmenes anómalos de transferencia de datos, autenticaciones desde ubicaciones inesperadas o intentos de escalada de privilegios. SaaS Alerts, que forma parte de Kaseya 365 , ofrece esta supervisión continua para entornos de aplicaciones en la nube y SaaS, detectando el compromiso de cuentas y actividades sospechosas casi en tiempo real y activando acciones de respuesta automatizadas.

«Zero Trust» para proveedores de servicios gestionados (MSP)

Los MSP tienen fuertes incentivos para implementar el modelo «zero trust», tanto a nivel interno como en su oferta de servicios.

A nivel interno, los entornos de los MSP son objetivos de gran valor. Una credencial de MSP comprometida puede tener un efecto dominó en todos los entornos de los clientes que gestiona el MSP. Un socio de MSP que utiliza Datto Secure Edge lo Secure Edge así: «Utilizamos Datto Secure Edge bloquear el acceso de nuestros propios técnicos. No pueden iniciar sesión en KaseyaOne estén conectados a través de Datto Secure Edge, lo que me da tranquilidad». La arquitectura de confianza cero, que exige la autenticación multifactorial (MFA) en todos los accesos, implementa la gestión de accesos privilegiados para las credenciales de RMM y segmenta los entornos de los clientes entre sí, limita el alcance del impacto cuando se ve comprometido cualquier componente.

Para los clientes, el modelo «zero trust» se está convirtiendo cada vez más en un requisito de cumplimiento normativo y de los seguros cibernéticos, especialmente para aquellos del sector sanitario, financiero y público. Un proveedor de servicios gestionados (MSP) capaz de explicar la arquitectura «zero trust», evaluar los entornos de los clientes en función de sus principios e implementar los componentes técnicos de forma gradual se posiciona como un asesor estratégico en materia de seguridad, y no como un simple servicio de asistencia técnica reactivo.

La oportunidad comercial es real. El modelo «zero trust» no es un proyecto aislado con un único resultado, sino un servicio continuo de asesoramiento e implementación. Cada una de las cinco dimensiones mencionadas anteriormente representa un proyecto concreto, y cada una de ellas refuerza la confianza del cliente en la experiencia y el conjunto de herramientas del proveedor de servicios gestionados (MSP).

Ideas erróneas comunes sobre el modelo «zero trust»

«El modelo "zero trust" significa no confiar en nadie». El modelo « zero trust» consiste en sustituir la confianza implícita por la confianza verificada. Solo los usuarios, dispositivos y sesiones verificados obtienen acceso. El principio se centra en la base de esa confianza, no en su existencia.

«El modelo de confianza cero es un producto que se compra». Ningún producto por sí solo ofrece el modelo de confianza cero. Requiere una implementación coordinada que abarque la gestión de identidades, los dispositivos, el acceso a la red, las aplicaciones y la supervisión. Los productos facilitan su implementación; la arquitectura, en cambio, exige la toma de decisiones y una gestión continua.

«El modelo Zero Trust exige reconstruirlo todo desde cero». La implementación es gradual. Empezar por la autenticación multifactorial (MFA) en todas las cuentas y por las políticas de cumplimiento de los dispositivos permite subsanar de inmediato las deficiencias de mayor riesgo. La segmentación de la red y los controles a nivel de aplicación pueden incorporarse a medida que el programa madura. Un proveedor de servicios gestionados (MSP) que haya implementado EDR, aplicado la autenticación multifactorial (MFA) y puesto en marcha el acceso de red de confianza cero (ZTNA) para el acceso remoto ya ha acercado considerablemente su postura de seguridad al modelo Zero Trust.