· 8 min read
Qué es zero trust y cuándo aplicarlo
Si un empleado puede entrar al correo, a los archivos, al CRM y a una VPN solo porque conoce una contraseña, no tiene un sistema seguro: tiene una puerta abierta con buena apariencia. Entender qué es

Si un empleado puede entrar al correo, a los archivos, al CRM y a una VPN solo porque conoce una contraseña, no tiene un sistema seguro: tiene una puerta abierta con buena apariencia. Entender qué es zero trust empieza por aceptar una realidad incómoda para muchas PYMES: la red interna ya no es un lugar confiable por defecto, y el usuario autenticado tampoco.
Zero trust no es una herramienta concreta ni una moda de fabricantes. Es un modelo de seguridad que parte de una idea simple: no confiar automáticamente en nadie ni en nada, aunque esté dentro de la empresa, use un equipo corporativo o ya haya iniciado sesión. Cada acceso debe validarse según identidad, dispositivo, ubicación, contexto y nivel de riesgo.
Dicho en lenguaje de negocio, zero trust cambia una lógica antigua - "si ya estás dentro, puedes moverte" - por una lógica de control continuo - "solo accedes a lo que necesitas, cuando lo necesitas y si cumples las condiciones". Eso reduce exposición, limita errores humanos y hace más difícil que un incidente pequeño se convierta en una crisis operativa.
Qué es zero trust en términos prácticos
La mejor forma de explicar qué es zero trust es compararlo con una oficina física. En un esquema tradicional, alguien entra al edificio y, una vez dentro, puede recorrer varias áreas con pocas restricciones. En zero trust, cada puerta relevante pide una validación distinta. No basta con haber pasado la recepción.
En tecnología, eso significa que el acceso a aplicaciones, archivos, correos o sistemas no depende solo de una contraseña inicial. Se valida si el usuario realmente debe entrar, si el equipo está actualizado, si la conexión es confiable, si el intento viene de un país o un horario inusual y si la acción solicitada corresponde con su rol.
No se trata de desconfiar de las personas. Se trata de diseñar controles pensando que las credenciales pueden robarse, que los equipos pueden comprometerse y que los errores existen. Desde esa perspectiva, la seguridad deja de depender de la buena fe y pasa a depender de políticas claras.
Por qué el enfoque tradicional ya no alcanza
Muchas PYMES todavía operan con una arquitectura heredada de otra época. Antes, la mayoría trabajaba desde la oficina, en equipos relativamente controlados, con pocas aplicaciones y casi todo alojado en servidores internos. En ese contexto, poner un firewall perimetral y una VPN parecía suficiente.
Hoy el escenario es distinto. Hay trabajo híbrido, servicios en la nube, dispositivos móviles, proveedores con accesos temporales, herramientas SaaS contratadas por áreas de negocio y usuarios que cambian de rol con rapidez. El perímetro se rompió hace tiempo. Si la seguridad sigue diseñada como si todo ocurriera dentro de una misma red, aparece una falsa sensación de control.
Ahí es donde zero trust gana relevancia. No porque elimine todos los riesgos, sino porque se adapta mejor a una operación distribuida. En lugar de proteger solo el borde, protege cada solicitud de acceso.
Los principios de zero trust que sí importan
Hay mucha terminología alrededor de este modelo, pero para un director no técnico conviene quedarse con tres principios.
El primero es el acceso mínimo necesario. Cada persona debe tener solo los permisos que necesita para su trabajo actual, no para tareas pasadas ni posibles necesidades futuras. Este punto parece básico, pero en la práctica muchas empresas acumulan permisos por comodidad y nunca los revisan.
El segundo es la verificación continua. No basta con autenticarse una vez al iniciar el día. Si cambia el contexto - por ejemplo, un inicio de sesión desde otro país o desde un equipo no gestionado - el sistema debe pedir más pruebas o bloquear el acceso.
El tercero es asumir brecha potencial. En vez de diseñar como si nada malo fuera a pasar, se diseña para limitar el impacto cuando algo sí pasa. Si una cuenta se compromete, el daño debe quedar contenido y no propagarse por toda la organización.
Qué tecnologías suelen formar parte del modelo
Zero trust no se compra en una caja. Se construye combinando capacidades que muchas empresas ya tienen, aunque mal configuradas o infrautilizadas.
La gestión de identidades es el punto de partida. Si no se controla bien quién accede a qué, el resto pierde fuerza. Aquí entran la autenticación multifactor, las políticas de acceso condicional y la administración centralizada de usuarios.
Después viene la gestión de dispositivos. No tiene sentido permitir el mismo acceso a un portátil corporativo cifrado y actualizado que a un equipo personal sin controles. El estado del dispositivo debe influir en el nivel de acceso permitido.
También importa la segmentación. Un usuario de administración no necesita visibilidad sobre entornos técnicos, y un proveedor externo no debería moverse libremente por varias aplicaciones. Segmentar reduce superficie de ataque y mejora el control.
La monitorización y el registro de eventos completan el cuadro. No para vigilar por vigilar, sino para detectar comportamientos anómalos y responder con rapidez. Sin trazabilidad, la empresa solo descubre el problema cuando ya hubo daño.
Lo que cambia en una PYME al aplicar zero trust
Para una PYME de 50 a 200 empleados, zero trust no suele traducirse en una revolución visible para todos. Los cambios más valiosos son menos vistosos y más útiles: accesos mejor definidos, menos cuentas compartidas, validaciones adicionales para acciones sensibles, revisión de permisos, controles por perfil y salida ordenada de empleados o proveedores.
En muchos casos, el primer beneficio no es técnico sino operativo. Se reduce la dependencia de "la persona que sabe cómo está montado todo", se documentan reglas, se ordena la administración de identidades y se gana trazabilidad. Eso da control directivo.
También mejora la continuidad. Si una credencial se ve comprometida, la empresa tiene más opciones de contener el incidente. Y si un colaborador sale de la organización, revocar su acceso deja de ser un proceso manual disperso entre varias plataformas.
Cuándo conviene implementarlo
No todas las empresas necesitan el mismo nivel de madurez, pero hay señales claras de que conviene avanzar hacia zero trust.
Si la empresa ya usa Microsoft 365, aplicaciones en la nube y trabajo remoto, tiene sentido revisar este enfoque cuanto antes. Si además maneja información sensible de clientes, expedientes, datos financieros o procesos críticos de operación, retrasarlo suele salir más caro que ordenarlo.
También conviene actuar cuando aparecen síntomas típicos de improvisación tecnológica: permisos heredados, usuarios con acceso excesivo, cuentas genéricas, ausencia de MFA, proveedores que entran sin controles y equipos no gestionados conectándose a recursos clave. Ninguno de esos problemas se resuelve solo con comprar más software.
Eso sí, implementar zero trust no significa aplicar máxima restricción desde el primer día. Si se hace mal, genera fricción innecesaria y resistencia interna. El punto está en priorizar accesos críticos y construir políticas realistas.
Errores comunes al intentar aplicar zero trust
El más frecuente es tratarlo como un proyecto de infraestructura y no como una decisión de gobierno. Si la dirección no define criterios de riesgo, niveles de acceso y responsabilidades, el equipo técnico termina improvisando controles sin marco de negocio.
Otro error es pensar que MFA equivale a zero trust. La autenticación multifactor es necesaria, pero no suficiente. Si después del segundo factor el usuario conserva acceso amplio y permanente, el problema sigue ahí.
También falla mucho la implementación "por herramienta". Se activa una función del fabricante, pero no se revisan procesos, permisos ni excepciones. El resultado es una seguridad aparente que no cambia el riesgo real.
Y hay un error menos obvio: complicar demasiado el modelo. Una PYME no necesita replicar la arquitectura de una multinacional. Necesita controles proporcionales, bien documentados y sostenibles. Sin contratos abiertos, sin capas innecesarias y sin depender de configuraciones que nadie entiende seis meses después.
Cómo abordarlo sin frenar la operación
El camino más sensato suele empezar con un diagnóstico. No para hacer teoría, sino para responder cuatro preguntas: qué sistemas son críticos, quién accede a ellos, desde qué condiciones y con qué nivel de control actual.
A partir de ahí, conviene priorizar por impacto. Primero identidades, luego accesos privilegiados, después dispositivos y aplicaciones críticas. No todo al mismo tiempo. La seguridad mejora más cuando se ordena por riesgo que cuando se persigue una lista infinita de buenas prácticas.
En entornos con Microsoft 365, por ejemplo, suele haber margen rápido de mejora si se configuran bien el acceso condicional, MFA, la gestión de dispositivos y la revisión periódica de permisos. En consultorías como las que estructuramos bajo un enfoque tipo InnovaTIC360, este tipo de decisiones se traduce a roadmap, responsables, tiempos y criterios de inversión, que es lo que realmente necesita un director para avanzar.
Zero trust no promete perfección. Promete algo más útil: reducir la confianza implícita que hoy expone a muchas empresas sin que lo noten. Cuando la seguridad se diseña desde el negocio y no desde la improvisación, deja de ser un gasto reactivo y empieza a funcionar como un sistema de control.



