La Habana, Cuba. – La implementación del modelo de seguridad Confianza Cero (Zero trust) crece en los últimos tiempos. De hecho, en febrero del 2020, antes del impacto de la pandemia, una encuesta realizada por Cybersecurity Insiders junto a Pulse Secure a más de 400 profesionales de seguridad responsables de tomar decisiones revelaba que el 72% de las organizaciones planeaba implementar Confianza Cero en el transcurso de ese año. Eso se debe a los cambios tecnológicos ocurridos en la última década, los cuales han modificado la forma en que se trabaja, como, por ejemplo, la computación en la nube. El paradigma Confianza Cero presenta una nueva forma para proteger a las organizaciones, los datos y los empleados.

Si bien es difícil identificar el punto de inflexión, una cosa es cierta: lo que en una época fue muy difícil, hoy es cotidiano. Las violaciones de datos ya no son hechos extraordinarios. En los últimos años, Yahoo!, Accenture, HBO, Verizon, Uber, HP, Oracle …. y una gran cantidad de ataques dirigidos muestran que cualquier organización es susceptible a ataques. La seguridad perimetral tradicional dependía de cortafuegos, redes privadas virtuales, VPN, y gateways para separar las zonas de confianza de los usuarios no confiables. Pero a medida que los «empleados móviles» comenzaron a acceder a la red a través por su propia cuenta, con sus propios dispositivos, se empezaron a crear perímetros borrosos. Los perímetros prácticamente desaparecieron con el auge de la computación en la nube e Internet de las Cosas.

Y entonces, los cibercriminales vieron una oportunidad dorada. En los últimos años, las entidades han enfrentado la amenaza de tener pérdidas devastadoras y los proveedores de servicios de ciberseguridad no tenían respuestas para ello. La conclusión fue «Confianza Cero en seguridad». La consultora Forrester Research ha sido durante mucho tiempo una defensora de la estrategia Confianza Cero, al afirmar que: «Los directivos de informática deben avanzar hacia un enfoque Confianza Cero para la seguridad centrada en los datos y la identidad, siendo desde nuestro punto de vista el único enfoque de seguridad que funciona». El término “Confianza Cero” fue acuñado por el analista de Forrester John Kindervag.

Sin embargo, muchas de los aspectos expresados con redes de Confianza Cero tienen su origen en un concepto mucho más antiguo, propuesto en 2004 por el Foro de Jericó, llamado “desperimetrización”. La seguridad perimetral se lleva a cabo mediante cortafuegos y protecciones perimetrales con el fin de mantener alejados a los intrusos. El defecto de esa estrategia es la falta de protección una vez que los intrusos han conseguido romper el perímetro. La “desperimetrización” es una estrategia de seguridad que consiste en eliminar la seguridad de “frontera” estándar que separa una red de internet y, en su lugar, crear un sistema de seguridad segmentado y de varios niveles basado en cifrado y autenticación. La Arquitectura de Confianza Cero (ZTA) proporciona seguridad por niveles mediante la autenticación constante y la desconfianza inherente de todos los dispositivos, usuarios y acciones, existan o no dentro del perímetro.

En el caso del modelo de seguridad tradicional se parte de la base de que una organización es como un castillo rodeado por un foso, que vendría a ser la red. Por lo tanto, es difícil obtener acceso a los recursos de una organización estando fuera de la red. Sin embargo, todos los que están dentro de la misma son considerados como confiables por defecto. El problema con ese enfoque, como ya se explicó, es que una vez que un atacante obtiene acceso a la red tiene acceso a todos los recursos de ella. Sin embargo, el modelo Confianza Cero asume que puede haber atacantes tanto dentro de la red como fuera de ella, por lo que no se debe confiar de forma predeterminada en ningún usuario o dispositivo.

Con un entorno Confianza Cero, además de tener control y conocimiento de todos los datos y en todo momento, en caso de una brecha los equipos de seguridad de la organización son capaces de detectar con precisión cuándo y de dónde se afectaron los datos, teniendo una capacidad de respuesta rápida, explica Forrester. Datos de un estudio de IBM junto al Instituto Ponemon revelaron que en el 2020 el costo promedio de una brecha de datos en varios países de América Latina fue de 1.68 millones de dólares y el tiempo promedio para identificar y contener la brecha fue de 328 días, parece lógico que Confianza Cero se presente como un modelo atractivo.

Por otra parte, con el advenimiento de fenómenos como Traiga Usted su Propio Dispositivo, BYOD, y el teletrabajo (amplificado en gran medida por la pandemia de la covid-19), los trabajadores necesitan tener cada vez más acceso a los recursos de las organizaciones, desde cualquier lugar y en cualquier momento. Vale la pena destacar que en el contexto de la pandemia se detectó un incremento de los intentos de ataque por fuerza bruta dirigidos al protocolo de escritorio remoto, más conocido como RDP, lo cual demuestra el interés por parte de los cibercriminales de aprovechar la situación actual que encuentra a muchas personas trabajando remotamente

Las interacciones en la red precipitan e incluso facilitan los ataques. Las mismas credenciales para el acceso de usuarios y administradores fueron las vías a través de las cuales los cibercriminales obtuvieron acceso sin restricciones a la red. Para implementar la Confianza Cero en seguridad, las organizaciones deben: Verificar al usuario, verificar al dispositivo, limitar el acceso y privilegio y, por último, aprender y adaptar. Ese enfoque debe ser implementado en toda la organización. Bien se esté dando acceso a los usuarios a las aplicaciones o acceso de los administradores a los servidores, todo se reduce a una persona, un punto final, y a un recurso protegido. Cuando se habla de usuarios se incluye a los empleados, pero también a los proveedores y socios comerciales que tienen acceso a los sistemas. Complicar el entorno con diferentes sistemas para disímiles situaciones es innecesario, al igual que usar distintas herramientas, puede introducir brechas en la seguridad.

El paradigma Confianza Cero se mueve de la seguridad basada en la red a la identidad basada en la aplicación. Ese enfoque de seguridad minimiza el área de impacto y aumenta el cumplimiento de las directivas de ciberseguridad al garantizar el acceso a las aplicaciones y la infraestructura para todos los usuarios habilitados para ello. Hoy en día, la Confianza Cero ha evolucionado hasta englobar un concepto más general que una arquitectura específica de la red, el concepto gana fuerza entre todos los actores del sector y, aunque las dos aplicaciones más comunes de Confianza Cero existen en los espacios de red (acceso a la red de Confianza Cero) y de datos (protección de datos de Confianza Cero), ese modelo de seguridad se expande a otros ámbitos, como: Cargas de trabajo de Confianza Cero, bases de usuarios de Confianza Cero, automatización de Confianza Cero y dispositivos de Confianza Cero.

Los tres principios fundamentales que rigen el modelo de Confianza Cero son: Conceder el menor número posible de privilegios, siempre verificar y siempre supervisar.  El principio básico de la Confianza Cero se centra en la idea de conceder la menor cantidad posible de privilegios y accesos sin que ello afecte a la capacidad de una persona para completar sus tareas. Solo se permite el acceso caso por caso, exactamente a lo que se necesita y nada más. Ninguna acción o usuario goza de confianza inherente dentro de un modelo de seguridad de Confianza Cero. Cada nueva entrada a un sistema o solicitud de acceso a datos nuevos debe incluir algún tipo de autenticación para verificar la identidad del usuario. Por último, la Confianza Cero requiere supervisión y evaluación constantes del comportamiento del usuario, los movimientos de datos, los cambios en la red y las alteraciones de datos. Aunque la autenticación y las restricciones de privilegios son la columna vertebral de la Confianza Cero, siempre es mejor verificar todas las acciones realizadas dentro de la infraestructura de su organización.

Gartner estima que el 80% de los accesos a las nuevas aplicaciones digitales de empresas se hará a través de redes de acceso de Confianza Cero (ZTNA) y que el 60% de las empresas eliminará gradualmente la mayoría de sus VPN de acceso remoto para pasarse a ZTNA. Por lo tanto, la señal está dada, directivos, especialistas del área informática y administradores de redes, manos a la obra, para luego es tarde. Ah, recuerden, si me ven por ahí, me saludan.