Skip to content

Explica la arquitectura Zero Trust y qué cambia cuando la adoptas.

Respuesta breve

Zero Trust descarta la suposición de que estar dentro de la red te hace de confianza. Cada petición a un recurso se autentica y autoriza por sus propios méritos —verificando identidad, salud del dispositivo y contexto— mediante un policy decision point, concediendo acceso de mínimo privilegio por sesión. No hay zona interna de confianza; la ubicación de red de una petición es solo una señal más, no un pase libre.

El modelo tradicional de "castillo y foso" confiaba en cualquier cosa dentro del perímetro. Pero en cuanto un atacante consigue phishear un portátil o pivotar a través de una VPN, esa confianza implícita le entrega un movimiento lateral gratuito. Zero Trust descarta el perímetro como frontera de confianza.

El principio central

"Nunca confíes, verifica siempre." Cada petición de acceso a un recurso se evalúa por sus propios méritos, sin importar de dónde venga. Estar en la LAN corporativa no te otorga nada. El sistema pregunta, para cada petición: quién es la identidad, está autenticada con fuerza, está el dispositivo sano y gestionado, a qué se accede y si la política lo permite ahora mismo.

Cómo se estructura (según NIST SP 800-207)

Un policy decision point (PDP) evalúa la petición frente a la política usando señales de los proveedores de identidad, la gestión de dispositivos y la threat intelligence. Un policy enforcement point (PEP) se sitúa delante del recurso y permite o bloquea la sesión según el veredicto del PDP. El acceso se concede por sesión y con mínimo privilegio — lo justo, solo por ahora.

Qué cambia realmente cuando lo adoptas

  • La identidad se convierte en el nuevo perímetro. Una autenticación fuerte, idealmente resistente al phishing, es fundamental.
  • La postura del dispositivo importa. Un dispositivo conforme, parcheado y gestionado es una señal que regula el acceso.
  • La microsegmentación limita el movimiento lateral para que un host comprometido no pueda campar a sus anchas.
  • Evaluación continua. La confianza no se concede una vez y se olvida; el contexto puede revocar el acceso a mitad de sesión.

Las salvedades honestas

Zero Trust es una arquitectura y una estrategia, no un producto. Los fabricantes venden piezas (ZTNA, proxies conscientes de la identidad), pero el modelo lo implementas tú. También es un trayecto — la mayoría de las organizaciones migran de forma incremental, empezando por sus aplicaciones más sensibles.

Qué buscan los entrevistadores: que lo enmarques como la eliminación de la confianza implícita y la verificación por petición, que sepas nombrar la separación PDP/PEP, y que resistas la trampa del "es un producto que compras".

Posibles preguntas de seguimiento

  • ¿Qué es un policy decision point frente a un policy enforcement point?
  • ¿Por qué el modelo tradicional de 'castillo y foso' es insuficiente hoy?
  • ¿Cómo influye la postura del dispositivo en una decisión Zero Trust?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.