Los ataques informáticos son una de las principales amenazas para estados, empresas y ciudadanos en la actualidad. Sus métodos no paran de refinarse y su capacidad destructiva no para de aumentar. Por ello, es necesario contar con estrategias de ciberseguridad que permitan hacer frente a estas amenazas.

Una de las estrategias de mayor adopción en los últimos tiempos en el sector de la ciberseguridad es el modelo Zero Trust, empleado por grandes empresas como Microsoft y organizaciones de enorme importancia estratégica como el ejército de Estados Unidos.

El modelo Zero Trust parte de la premisa de que nadie, absolutamente nadie, es de fiar a la hora de acceder a las propiedades digitales de una organización y que sólo se debe autorizar el acceso después de un riguroso proceso de autenticación. El modelo Zero Trust también implementa el principio del ‘acceso de menor privilegio’ que consiste en permitir el acceso a solo los recursos estrictamente necesarios que requiera un individuo o grupo y absolutamente nada más. Además, a todos aquellos que acceden al sistema se les requerirá constantemente que prueben y autentifiquen su identidad.

El modelo Zero Trust ha surgido en un entorno de rápida adopción de teléfonos móviles y del trabajo remoto, del empleo de dispositivos personales para el trabajo (BYOD) y de la migración masiva hacia la computación en la nube. Todas estas tendencias suponen grandes beneficios para los usuarios pero también importantes riesgos dada la reducida capacidad de las organizaciones para controlar el acceso seguro a sus redes y recursos. El modelo Zero Trust devuelve esa capacidad a la organización.

El modelo Zero Trust ha sido comparado con un gran edificio en el que cada habitación tiene una llave. Cuando un individuo quiere acceder a una habitación, sólo se le dará la llave después de que se haya identificado de manera inequívoca y segura. De ese modo, incluso aunque consiguiese acceder a una habitación, el acceso al resto le estaría vetado.

El término Zero Trust fue creado por el analista de John Kindervag de Forrester que destacó la importancia de tener una inherente desconfianza dentro de los sistemas informáticos de las organizaciones a la hora de gestionar las comunicaciones dentro de la red, sin importar su procedencia.  Por entonces, el modelo se aplicaba a las redes internas de las empresas antes del advenimiento de la computación en la nube.

Los tres principios del modelo Zero Trust

Estos son los tres principios que deben guiar el modelo de Zero Trust:

Proporciona los menores privilegios de acceso posibles

El modelo gira en torno a este concepto de dar a los individuos la menor capacidad posible de acceso sin menoscabar su habilidad para desempeñar la tarea. El acceso se proporciona caso por caso basado en las necesidades y nada más.

Nunca confiar, siempre verificar

Ninguna acción o individuo es de fiar dentro de un modelo Zero Trust. Cada petición de acceso debe ir acompañada de una forma de autenticación robusta que demuestre de manera inequívoca la identidad del usuario.

Siempre monitoriza

Por último, el modelo Zero Trust requiere que se evalúe y monitorice constantemente el comportamiento de los usuarios, de los movimientos de datos, de los cambios en la red y de cualquier alteración. La autenticación y las restricciones de privilegios son la clave del sistema, pero sin un sistema que vigile su correcto funcionamiento, se quedarían cojos.