El número de objetos conectados a la red no ha dejado de crecer. La nube ha sacado los datos de la aparente seguridad de la oficina. El teletrabajo ha traslado a los hogares las vulnerabilidades de la empresa. En los dos últimos años, las complejidades de la ciberseguridad no han dejado de multiplicarse.
Pero ¿y si una idea desarrollada hace 30 años pudiese volver a simplificarlo todo? El enfoque del zero trust o confianza cero no ha dejado de ganar defensores en un entorno en el que cada vez hay más incertidumbres y en el que los puntos débiles se multiplican. Aunque es difícil cumplirlo a rajatabla, el zero trust nos habla de una forma de reforzar la ciberseguridad desde la cultura corporativa y la forma de trabajar y dejando atrás las herramientas tecnológicas tradicionales.
Las vulnerabilidades más habituales de la seguridad informática
Durante 2021, la proporción de empresas que sufrieron ciberataques en todo el mundo aumentó del 38 % al 43 %. Según el Informe de Ciberpreparación de Hiscox 2021, los ciberatacantes aprovecharon, sobre todo, las vulnerabilidades en los servidores de la compañía, en la infraestructura en la nube, en las páginas web corporativas y en el personal de la empresa (vía phishing o ingeniería social, por ejemplo).
De acuerdo con el análisis de Hiscox, sigue siendo muy necesario abordar los ciberriesgos asociados al teletrabajo, ya que tener a parte de la plantilla trabajando en remoto aumenta las posibilidades de que los trabajadores sucumban a engaños. En el propio informe, un 58 % de las empresas encuestadas considera que por culpa del teletrabajo su organización es más vulnerable a los ciberataques.
Y es que, a pesar de los avances tecnológicos, buena parte de los ciberataques siguen aprovechando vulnerabilidades humanas. Según la organización ISACA, estas son las ocho debilidades más habituales de las empresas desde el punto de vista de la ciberseguridad:
- Falta de una estrategia clara para identificar sus necesidades de seguridad informática y tecnológica.
- Uso de redes no seguras, accesibles mediante cualquier dispositivo.
- Canales de comunicación no seguros a través de los que se intercambian datos confidenciales.
- Errores desconocidos en los sistemas que no son monitorizados.
- Sistemas obsoletos y sin actualizar.
- Falta de seguimiento de la red de la empresa en tiempo real. De hacerse, permitiría anticiparse a muchos de los ataques.
- Internet de las cosas ha multiplicado los puntos de conexión.
- Empleados poco preparados o no capacitados. Los errores humanos siguen estando detrás de la mayoría de ataques.
¿Qué es zero trust? No confíes, siempre verifica
Ante este complejo ecosistema de vulnerabilidades, el enfoque zero trust propone superar las limitaciones de las medidas de seguridad tradicionales, como los firewalls y las redes virtuales (VPN), centrando las estrategias de ciberseguridad en la verificación del usuario, del dispositivo y de las aplicaciones. Es decir, bajo la máxima de “no confíes, siempre verifica”, nunca se confía en ningún dispositivo por defecto, aunque hayan superado un firewall o estén conectados a una red aparentemente segura.
Este enfoque es completamente diferente al modelo más usado hasta ahora, basado en la seguridad perimetral. El enfoque tradicional establece una serie de capas o niveles de seguridad y asume que cualquier dispositivo que consiga conectarse a una red segura es seguro. En los últimos años, este modelo ha demostrado ser poco útil para entornos de trabajo complejos (con conexiones en remoto, sistemas en la nube y multitud de objetos IoT en la red). Así, incluso grandes corporaciones como Microsoft han abogado por superar la seguridad perimetral y apostar por el zero trust.
El enfoque de confianza cero está definido en detalle en el documento ‘SP 800-207, Zero Trust Architecture’, elaborado por el centro nacional de ciberseguridad y el instituto nacional de estándares de Estados Unidos. Aquí, se establecen tres grandes principios:
- Verificación explícita. Todos los usuarios, las ubicaciones y los dispositivos deben pasar un proceso de autenticación y autorización individual.
- Privilegios mínimos. Una vez autorizado, cada usuario o dispositivo debe recibir los permisos mínimos necesarios para el desarrollo de la actividad que va a llevar a cabo. La protección de datos debe estar por encima de todo.
- Asunción de las amenazas. Este enfoque presupone que los ataques y las brechas acabarán teniendo lugar. Así, monitoriza constantemente, verifica el cifrado de las comunicaciones y las redes y establece medidas para minimizar el alcance de los ataques.
El modelo zero trust se basa en un cambio de paradigma y de cultura de la ciberseguridad. Pero también puede apoyarse en nuevas tecnologías y procesos como los software de gestión de acceso e identidad, la autenticación de múltiples factores (AMF, por sus siglas en inglés) o la microsegmentación de red. Todo esto, claro, sin olvidar la necesaria formación de la plantilla, que debe ser consciente de las ciberamenazas y de las vulnerabilidades que suelen aprovechar los ataques.
Por Juan F. Samaniego
Imágenes | Unsplash/Towfiqu barbhuiya, Philipp Katzenberger, marcos mayer
