Una arquitectura Zero Trust ahorra de media 1,76 millones de dolares por brecha de seguridad, segun el informe Cost of a Data Breach 2025 de IBM, pero Gartner calcula que para 2026 solo el 10% de las grandes empresas tendra un programa Zero Trust maduro y medible. Esa brecha entre el valor demostrado del modelo y su adopcion real es, probablemente, la mayor oportunidad de ciberseguridad sin explotar que tiene hoy una empresa espanola. La buena noticia es que Zero Trust no es un producto que se compra ni un interruptor que se enciende: es una estrategia que se implementa por fases, y cualquier organizacion puede empezar el lunes que viene con los activos que ya tiene.
En esta guia practica explicamos que es Zero Trust de verdad (mas alla del marketing de los fabricantes), como se diferencia de la VPN tradicional, en que consisten los pilares de NIST y CISA, que papel juega ZTNA en el acceso moderno y, sobre todo, como llevar el modelo a produccion sin paralizar el negocio ni reescribir toda la infraestructura.
Que es Zero Trust y en que se diferencia de la VPN tradicional?
Zero Trust ("confianza cero") es un modelo de seguridad que parte de una premisa incomoda pero realista: no se debe confiar de forma implicita en ningun usuario, dispositivo o conexion, este dentro o fuera del perimetro corporativo. En lugar de asumir que todo lo que esta "dentro de la red" es seguro, cada solicitud de acceso se verifica explicitamente, se autoriza para un recurso concreto y se reevalua de forma continua.
El contraste con la VPN tradicional es total. La VPN se diseno para resolver un problema distinto: conectar un dispositivo remoto a la red corporativa como si estuviera fisicamente en la oficina. El problema es precisamente ese "como si estuviera dentro": una vez establecido el tunel, el dispositivo obtiene acceso amplio a un segmento de red completo. Si las credenciales se ven comprometidas o el portatil esta infectado, el atacante hereda esa misma confianza y puede moverse lateralmente por la red con relativa libertad.
Zero Trust invierte la logica. No existe el concepto de "estar dentro". El acceso se concede recurso por recurso, sesion por sesion, en funcion de la identidad verificada, el estado del dispositivo y el contexto de la peticion.
| Dimension | VPN tradicional | Zero Trust / ZTNA |
|---|---|---|
| Modelo de confianza | Implicita tras la autenticacion inicial | Nunca confiar, verificar siempre |
| Alcance del acceso | Segmento o red completa | Una aplicacion o recurso concreto |
| Granularidad | Por red | Por sesion y por recurso |
| Movimiento lateral | Posible una vez dentro del tunel | Bloqueado por diseno |
| Contexto evaluado | Credenciales en el login | Identidad, dispositivo y contexto, de forma continua |
| Visibilidad de la app | Recursos expuestos en la red interna | Aplicaciones invisibles hasta autorizarse |
La diferencia practica es enorme para una pyme o una empresa mediana: con Zero Trust, una credencial robada ya no es la llave maestra del reino. Es, como mucho, la llave de una sola puerta, y solo durante el tiempo en que el contexto siga siendo legitimo.
Los principios de NIST 800-207 y los 5 pilares del modelo CISA
Hablar de Zero Trust en serio significa apoyarse en marcos de referencia reconocidos, no en folletos comerciales. Los dos documentos canonicos son la publicacion NIST SP 800-207 (Zero Trust Architecture) y el Zero Trust Maturity Model 2.0 de CISA.
Los siete principios de NIST SP 800-207
El modelo Zero Trust parte de siete principios fundamentales definidos en NIST SP 800-207. Entre ellos destacan que toda comunicacion se asegura con independencia de la ubicacion de red, que el acceso a cada recurso se concede por sesion individual y que la autenticacion y autorizacion son dinamicas y se aplican estrictamente antes de cada acceso. En la practica, estos principios se traducen en varias reglas operativas:
- Todas las fuentes de datos y servicios de computo se tratan como recursos que hay que proteger.
- Toda comunicacion se asegura con independencia de donde este la red (dentro o fuera del perimetro).
- El acceso a recursos individuales se concede por sesion, no de forma permanente.
- El acceso se determina mediante politicas dinamicas que incluyen el estado observable de la identidad, la aplicacion y el activo solicitante.
- La organizacion monitoriza y mide la integridad y la postura de seguridad de todos sus activos.
- La autenticacion y la autorizacion son dinamicas y se aplican estrictamente antes de permitir cualquier acceso.
- La organizacion recopila el maximo de informacion posible sobre el estado de la red y la usa para mejorar su postura de seguridad.
Lo importante de NIST 800-207 es que no impone una tecnologia concreta: describe principios y componentes logicos (el motor de politicas, el administrador de politicas y el punto de aplicacion de politicas) que cada organizacion implementa con las herramientas que ya posee o decide adquirir.
Los cinco pilares del modelo de madurez de CISA
Si NIST aporta los principios, CISA aporta el mapa de ruta. El Zero Trust Maturity Model 2.0 de CISA estructura el modelo en cinco pilares mas tres capacidades transversales que los atraviesan a todos:
- Identidad — verificar de forma robusta quien accede (MFA resistente a phishing, gestion del ciclo de vida de identidades).
- Dispositivos — conocer y evaluar el estado de seguridad de cada endpoint antes de conceder acceso.
- Redes — segmentar, cifrar el trafico y reducir la superficie expuesta.
- Aplicaciones y cargas de trabajo — proteger aplicaciones y workloads, incluida la cadena de suministro de software.
- Datos — clasificar, etiquetar, cifrar y controlar el acceso al dato, que es el activo final a proteger.
Las tres capacidades transversales son Visibilidad y Analitica, Automatizacion y Orquestacion y Gobernanza. CISA define ademas cuatro niveles de madurez por pilar — Tradicional, Inicial, Avanzado y Optimo — lo que permite a una empresa autoevaluarse de forma honesta y priorizar inversiones donde mas las necesita, en vez de comprar la herramienta de moda.
Este enfoque por pilares y niveles es justamente lo que convierte Zero Trust en un proyecto abordable: no hay que estar en "Optimo" en los cinco pilares a la vez. Subir un escalon en Identidad y Dispositivos ya reduce drasticamente el riesgo.
ZTNA: el acceso a aplicaciones sin perimetro de red
Si Zero Trust es la estrategia, ZTNA (Zero Trust Network Access) es la tecnologia que materializa el principio de acceso para el caso de uso mas comun y mas critico: el acceso remoto a aplicaciones.
ZTNA crea un acceso uno a uno entre un usuario verificado y una aplicacion concreta, sin colocar nunca al usuario "dentro de la red". Las aplicaciones permanecen invisibles para quien no esta explicitamente autorizado: no hay rango de IP que escanear, no hay puerto que sondear, no hay superficie de red que atacar. El intermediario (broker) de ZTNA evalua identidad, postura del dispositivo y contexto antes de establecer cada conexion, y la reevalua durante la sesion.
Esta es la razon por la que ZTNA esta desplazando aceleradamente a la VPN. Gartner preve que hasta el 70% de los nuevos despliegues de acceso remoto se basaran en ZTNA en lugar de tecnologia VPN en 2025, frente a menos del 10% a finales de 2021. El mercado acompana esa tendencia: segun MarketsandMarkets, el mercado de ZTNA se proyecta desde 1,34 mil millones de dolares en 2025 hasta 4,18 mil millones en 2030, con una tasa de crecimiento anual compuesta del 25,5%.
Cuando tiene sentido ZTNA frente a una VPN
- Trabajo hibrido y remoto a escala — cuando una parte significativa de la plantilla accede a aplicaciones de negocio desde fuera de la oficina.
- Acceso de terceros — proveedores, contratistas o partners que necesitan una aplicacion concreta, no toda la red.
- Aplicaciones criticas o reguladas — donde el principio de minimo privilegio no es opcional sino exigencia normativa.
- Reduccion de superficie de ataque — cuando se quiere dejar de exponer servidores y servicios a Internet.
Conviene una advertencia honesta: ZTNA no es Zero Trust por si solo. Es una pieza, normalmente la primera y la mas rentable, de una arquitectura mas amplia que abarca los cinco pilares de CISA. Comprar una solucion ZTNA y declarar "ya tenemos Zero Trust" es uno de los errores mas frecuentes. Por eso conviene encuadrar ZTNA dentro de una estrategia integral de servicios de ciberseguridad que cubra tambien identidad, dispositivos, datos y monitorizacion.
Como implementar Zero Trust por fases en una empresa
La pregunta del millon no es "que es Zero Trust", sino "por donde empiezo sin romper nada". La respuesta es un despliegue incremental, alineado con los niveles de madurez de CISA, que entrega valor en cada fase. A continuacion proponemos un recorrido de cinco fases pensado para empresas espanolas medianas y grandes.
Fase 0 — Descubrimiento y linea base
No se puede proteger lo que no se conoce. La primera fase es un inventario riguroso de identidades, dispositivos, aplicaciones, flujos de datos y dependencias. El objetivo es responder a tres preguntas: quien accede a que, desde donde y por que. Esta fase suele revelar accesos heredados, cuentas huerfanas y aplicaciones expuestas que nadie recordaba. Es tambien el momento de autoevaluarse contra los cuatro niveles de madurez de CISA por cada pilar.
Fase 1 — Identidad como nuevo perimetro
La identidad es el pilar con mejor relacion entre esfuerzo y reduccion de riesgo. Las acciones nucleares son:
- Desplegar MFA resistente a phishing en todos los accesos (idealmente passkeys o claves FIDO2).
- Centralizar la gestion de identidades y aplicar el principio de minimo privilegio.
- Implantar acceso condicional basado en riesgo (ubicacion, dispositivo, comportamiento).
- Revisar y eliminar accesos permanentes innecesarios.
Fase 2 — Dispositivos y acceso a aplicaciones (ZTNA)
Con la identidad bajo control, se incorpora la postura del dispositivo a la decision de acceso y se despliega ZTNA para sustituir progresivamente la VPN. Aqui es donde la mayoria de organizaciones obtienen su primer "momento Zero Trust" visible: el acceso remoto deja de ser un tunel de red para convertirse en conexiones uno a uno a aplicaciones concretas. Se recomienda empezar por un grupo piloto y una o dos aplicaciones, no por toda la organizacion de golpe.
Fase 3 — Microsegmentacion y proteccion del dato
Una vez asegurado el acceso, se trabaja hacia dentro: segmentar la red para impedir el movimiento lateral, cifrar el trafico este-oeste y, en el pilar de datos, clasificar y etiquetar la informacion para aplicar controles de acceso proporcionados a su sensibilidad. Esta fase es la que mas conecta con marcos de gestion como ISO 27001, donde el control de accesos y la clasificacion de la informacion son requisitos formales; alinear el proyecto Zero Trust con una certificacion ISO 27001 evita duplicar esfuerzos.
Fase 4 — Visibilidad, automatizacion y mejora continua
Zero Trust no es un proyecto que termina; es una postura que se mantiene. Las tres capacidades transversales de CISA cobran protagonismo: telemetria centralizada, deteccion y respuesta, y automatizacion de las decisiones de politica. Para muchas empresas, sostener esta fase 24x7 internamente no es viable, y aqui un servicio SOC y MDR gestionado aporta la monitorizacion continua y la respuesta a incidentes que el modelo exige sin tener que montar un equipo de seguridad propio.
Regla practica: cada fase debe entregar una reduccion de riesgo medible por si misma. Si una fase no se puede justificar de forma independiente, esta mal dimensionada.
Resumen del recorrido por fases
| Fase | Foco | Pilar CISA dominante | Resultado esperado |
|---|---|---|---|
| 0. Descubrimiento | Inventario y linea base | Visibilidad | Mapa de accesos y autoevaluacion de madurez |
| 1. Identidad | MFA y minimo privilegio | Identidad | Credencial robada deja de ser llave maestra |
| 2. Dispositivos y ZTNA | Postura + acceso a apps | Dispositivos / Aplicaciones | Sustitucion progresiva de la VPN |
| 3. Segmentacion y datos | Microsegmentacion y cifrado | Redes / Datos | Movimiento lateral bloqueado |
| 4. Operacion continua | Telemetria y respuesta | Automatizacion / Gobernanza | Postura sostenida y medible |
Zero Trust y cumplimiento normativo en Espana: NIS2, ENS y RGPD
Para una empresa espanola, Zero Trust no es solo una buena practica tecnica: cada vez mas, es un facilitador directo del cumplimiento normativo. El control de accesos granular, el minimo privilegio y la verificacion continua son exactamente lo que exigen los marcos regulatorios vigentes y emergentes.
El contexto regulatorio espanol esta en plena evolucion. En Espana, NIS2 se ha transpuesto parcialmente mediante el Real Decreto-ley 7/2025, mientras el Anteproyecto de Ley de Coordinacion y Gobernanza de Ciberseguridad — aprobado en Consejo de Ministros el 14 de enero de 2025 — sigue en tramite parlamentario. La presion es real: la Comision Europea envio a Espana un dictamen motivado en mayo de 2025 por el retraso en la transposicion completa de la directiva. Para las empresas afectadas (un universo que NIS2 amplia notablemente respecto a la anterior NIS), esto significa que las obligaciones de seguridad llegaran, y conviene anticiparse.
Zero Trust encaja de forma natural con este escenario. Respaldado por NIST y por ENISA (la agencia europea de ciberseguridad), el modelo se posiciona como estandar para alinear el control de accesos y el minimo privilegio con los requisitos del Esquema Nacional de Seguridad (ENS), de NIS2 y de DORA en el sector financiero, partiendo precisamente de no confiar en ningun usuario o dispositivo este dentro o fuera del perimetro.
Como Zero Trust apoya cada marco
- NIS2 / RD-ley 7/2025 — exige medidas de gestion de riesgos, control de accesos y gobernanza de la seguridad; los pilares de Identidad, Dispositivos y Gobernanza de CISA responden directamente a ello.
- ENS (Esquema Nacional de Seguridad) — para entidades del sector publico y sus proveedores, el minimo privilegio y la segmentacion son controles centrales que Zero Trust implementa por diseno.
- RGPD — la proteccion del dato (clasificacion, cifrado y acceso por necesidad de conocer) reduce el alcance y la gravedad de una eventual brecha de datos personales.
- DORA — en banca, seguros y mercados, la resiliencia operativa digital se apoya en la verificacion continua y la monitorizacion que Zero Trust formaliza.
El mensaje de fondo es que invertir en Zero Trust no es gasto en cumplimiento "por separado": es construir una vez una arquitectura que satisface simultaneamente varios marcos. Esa eficiencia es precisamente lo que diferencia a las organizaciones que abordan la seguridad de forma estrategica de las que reaccionan auditoria a auditoria.
Conclusion: empezar pequeno, medir y avanzar
Zero Trust no es ni un producto ni un destino, sino una forma disciplinada de conceder acceso: nunca por defecto, siempre verificado, recurso a recurso. Los datos respaldan la decision — 1,76 millones de dolares de ahorro medio por brecha segun IBM — y el contexto regulatorio espanol, con NIS2 ya en transposicion, la convierte en una prioridad ineludible. La clave esta en no intentar abarcarlo todo de golpe: empezar por la identidad, sustituir la VPN por ZTNA, segmentar, proteger el dato y sostener la operacion con visibilidad continua. Cada fase reduce riesgo de forma medible y construye sobre la anterior.
Si tu organizacion quiere dar el primer paso ordenado, en Technova Partners disenamos hojas de ruta Zero Trust adaptadas al nivel de madurez real de cada empresa. Puedes empezar descargando nuestra checklist de preparacion para la certificacion ISO 27001, un buen punto de partida para auditar tus controles de acceso y gobernanza, o hablar directamente con nuestro equipo de ciberseguridad para evaluar tu situacion y priorizar las fases que mas riesgo eliminan en tu caso concreto.
