En los últimos años, el modo de trabajar ha cambiado de forma radical. Las empresas han adoptado modelos híbridos y distribuidos, con empleados, colaboradores y socios que se conectan desde sedes diferentes, desde casa o en movilidad. Aumentan los dispositivos en uso, a veces incluso personales, y paralelamente crecen las superficies de ataque y las amenazas, que hoy afectan a organizaciones de cualquier tamaño.

¿Cómo proteger (preventivamente) el acceso remoto a datos y aplicaciones empresariales, garantizando ese equilibrio adecuado entre seguridad y productividad? La respuesta se llama Zero Trust Network Access (ZTNA).

Qué es la arquitectura Zero Trust Network Access 

El modelo Zero Trust está reescribiendo las reglas de la seguridad IT. Una reciente investigación de Research and Markets estima, de hecho, que el mercado de las soluciones ZTNA crecerá con una tasa media compuesta del 20,4% hasta 2030. A decir verdad, este dato no sorprende si se considera lo fuerte que es la exigencia de proteger el acceso a los recursos empresariales en la época del trabajo distribuido.

Para comprender mejor ZTNA, conviene partir del concepto de Zero Trust. El National Institute of Standards and Technology (NIST) lo define como “un paradigma de ciberseguridad enfocado en el principio según el cual la confianza (Trust) nunca se concede implícitamente, sino que debe ser evaluada continuamente”. En otras palabras, la confianza no se concede por defecto, sino que debe ganarse y mantenerse continuamente.

El Zero Trust Network Access (ZTNA) representa la aplicación de este paradigma a las modalidades de acceso a la red y a los recursos empresariales, ya sean on-premise, en la nube o en un modelo híbrido. En lugar de conceder a un usuario la posibilidad de entrar en la red y moverse libremente, quizá previo ingreso de un ID y una contraseña, ZTNA adopta un enfoque más granular: el acceso se concede solo a las aplicaciones o recursos individuales necesarios, y tras un proceso de autenticación y autorización dinámico y profundo.

Por qué una VPN no basta

Durante décadas, la respuesta estándar a la necesidad de conectarse en remoto ha sido la VPN (Virtual Private Network), una solución simple, directa y funcional en una época en la que los recursos IT estaban concentrados en el centro de datos y en la red empresarial.

Como se ha visto, hoy el escenario es muy diferente: las aplicaciones no residen solo on-premise, sino que están distribuidas entre nubes y entornos SaaS. Los usuarios se conectan desde diversos dispositivos y, algo que no es en absoluto secundario, los cibercriminales han refinado sus técnicas y son capaces de aprovechar cualquier acceso para moverse lateralmente en la red, expandir su radio de acción y comprometer datos y aplicaciones críticas. En este contexto, la VPN muestra límites estructurales:

1. Garantiza acceso a una red entera en lugar de a recursos individuales;
2. No distingue los niveles de riesgo asociados a usuarios y dispositivos;
3. No ofrece mecanismos nativos de control dinámico.

 Zero Trust Access Network: cómo funciona, en la práctica

Adoptar un paradigma Zero Trust Network Access significa conceder el acceso a la red, a las aplicaciones y a los datos solo después de haber verificado de manera granular la identidad del usuario, la fiabilidad del dispositivo, las autorizaciones y el contexto de conexión.

Para comprender mejor su funcionamiento, imaginemos el recorrido de un usuario que, en remoto y con su propio smartphone personal (BYOD), decide acceder a un aplicativo empresarial: por ejemplo, a una plataforma SaaS dedicada a la fuerza de ventas.

Solicitud de acceso

 El usuario abre la aplicación en su smartphone. La solicitud es interceptada por un broker/controller ZTNA, que adquiere del terminal del usuario toda la información del caso, gestiona y orquesta todo el proceso de validación. 

Verificación del dispositivo, de la identidad y del contexto 

El broker ZTNA adquiere la solicitud e inicia un proceso de validación a lo largo de dos directrices principales: el control del dispositivo y la autenticación del usuario.

• Device trust: el broker controla el dispositivo desde donde parte la conexión. Verifica si está autorizado, si pertenece a la empresa o es un BYOD (Bring Your Own Device), si el sistema operativo está actualizado, si están activos el antivirus y la endpoint protection.

• User identity: la identidad del usuario suele verificarse mediante autenticación multifactor (MFA), integrada con los directorios empresariales (ej. Active Directory, Azure AD). Solo una combinación favorable de dispositivo confiable y usuario autenticado permite incrementar el nivel de trust y, por tanto, proceder más allá.

A todo esto se añade una evaluación atenta del contexto de conexión: lugar desde donde parte la solicitud, franja horaria, red utilizada y eventuales comportamientos anómalos. Precisamente esta última dimensión, la del análisis del comportamiento, introduce el uso de técnicas de machine learning, capaces de atribuir un índice de riesgo a cada intento de acceso y de decidir, en tiempo real, si aceptarlo, someterlo a más verificaciones o bloquearlo del todo.

Aplicación de las políticas y controles de rol

Superada la fase de autenticación, se aplican las políticas empresariales basadas (habitualmente) en el paradigma del role-based access control (RBAC): el usuario puede acceder solo a las aplicaciones y a las funcionalidades previstas para su rol. 

Conexión segura y granular

El broker establece entonces una conexión cifrada end-to-end entre usuario y aplicación autorizada. No hay exposición de la red interna, ni posibilidad de explorar otros recursos: el acceso es dirigido, limitado e invisible para los usuarios no autorizados.

Posture check continuo

Una vez garantizado el acceso a los recursos “mínimos necesarios”, el sistema no se detiene y realiza un control continuo de la postura de seguridad, evaluando parámetros múltiples sobre todo a nivel de comportamiento. Por ejemplo, si se detectaran comportamientos anómalos como el intento de descarga masiva de archivos sensibles o un intento de acceso simultáneo desde geografías incompatibles, los privilegios de acceso serían inmediatamente revocados.

Los componentes de la arquitectura ZTNA

Para implementar una arquitectura ZTNA, es necesario que algunos componentes operen de modo sinérgico e integrado.

1. El corazón del sistema es el controller/broker ZTNA, que orquesta todo el proceso de acceso. Evalúa las políticas, autentica al usuario mediante el Identity Provider, analiza el comportamiento y verifica el estado de seguridad del dispositivo analizando la información que recibe del cliente. El controller no gestiona directamente el tráfico de datos de las aplicaciones, sino que instruye al gateway para hacerlo.
2. Gateway ZTNA. Se posiciona frente a la aplicación a proteger y se ocupa de aplicar las decisiones tomadas por el controller. El gateway gestiona el tráfico de red, crea el túnel seguro para el usuario y bloquea cualquier otro intento de conexión.
3. Identity Provider. Este componente, que forma parte de las soluciones de Identity and Access Management (IAM), tiene el rol de verificar la identidad del usuario. Se integra con el controller y con los directorios empresariales existentes para la autenticación, además de habilitar mecanismos de seguridad avanzados como MFA.
4. El policy engine es el conjunto de reglas y políticas que definen quién, qué, dónde y cómo puede acceder a un recurso determinado. Las políticas son dinámicas y se basan en varios atributos vistos anteriormente, como identidad del usuario, estado del dispositivo, ubicación y hora del día.

Por qué ha llegado el momento de cambiar 

Adoptar ZTNA significa emprender un camino de modernización ciertamente más complejo respecto a los enfoques tradicionales, pero también mucho más robusto, fiable y en línea con el escenario empresarial contemporáneo. Con el socio adecuado, las empresas pueden superar las dificultades iniciales y obtener ventajas concretas a varios niveles:

Seguridad preventiva 

Cada acceso es verificado y monitoreado, con una drástica reducción de los riesgos de compromiso y de movimiento lateral. 

Reducción de la superficie de ataque

El acceso está limitado solo a las aplicaciones autorizadas, sin exposición de toda la red interna.

Más productividad

El usuario llega directamente a los recursos que necesita, sin túneles complejos y con un impacto casi nulo en el rendimiento de las aplicaciones.

Modernización del trabajo

El modelo se adapta fácilmente a escenarios de trabajo híbrido, que hacen a los recursos (humanos) más productivos, además de atraer y retener a los mejores talentos. 

Nuestro compromiso con la seguridad preventiva

En Kirey, consideramos la seguridad un habilitador del crecimiento del negocio. Ofrecemos a nuestros clientes un ecosistema completo de competencias para proteger sus empresas y acompañarlas hacia modelos de trabajo modernos y productivos. En otras palabras, nos hacemos cargo tanto de la modernización infraestructural y aplicativa como de la gestión de los inevitables riesgos que derivan de ella. La adopción de un paradigma ZTNA es una de las medidas que adoptamos para alcanzar este objetivo.

Contáctanos para saber más y descubrir cómo iniciar juntos un camino hacia la seguridad en la era de el cloud: nuestros expertos están a tu disposición.