La seguridad Zero Trust es un modelo de seguridad de datos propuesto en 2010 por Forrester Research, que puede resumirse con el lema “nunca confíes, siempre verifica”. Bajo este modelo, no hay interfaces, redes, dispositivos o usuarios confiables o no confiables en tu infraestructura de TI, y todos son sospechosos hasta que se demuestre lo contrario.
Todo acceso a un sistema debe ser constantemente validado, los usuarios y las cargas de trabajo deben tener solo los privilegios mínimos necesarios para completar una tarea, y se debe utilizar la micro-segmentación para limitar el acceso a los recursos.
En resumen, “La confianza no es un concepto que deba aplicarse a usuarios, paquetes, tráfico de red o datos”, dice Forrester Research en su introducción al concepto.
El enfoque en la autenticación continua hace que el zero trust se confunda comúnmente con un tipo de firewall. Esto es comprensible ya que los firewalls han sido, durante más de 30 años, la principal herramienta disponible para los profesionales de seguridad para proteger sus redes.
Pero el control de acceso es solo una de las muchas facetas de la seguridad Zero Trust. El concepto va más allá de las redes y puede (y debe) aplicarse a otros aspectos de tu operación, como datos, usuarios, dispositivos, cargas de trabajo y más. Entre estos, el control de datos es uno de los más importantes, ya que los datos son cada vez más el objetivo de los ciberdelincuentes.
¿Cuánto valen tus datos?
Una brecha de datos puede dañar tu organización de muchas maneras. Primero, existe el daño a la imagen pública de la empresa: clientes, socios y proveedores confían en que tu empresa hará todo lo posible por proteger la información compartida. Una filtración representa una violación de esta confianza, lo que puede llevar a la pérdida de clientes, cancelación de contratos y desmantelamiento de asociaciones.
Además, los datos operativos como planes de negocio, estrategias de marketing o listas de clientes pueden usarse como moneda de cambio para extorsión. Los datos de los usuarios también pueden utilizarse de diversas maneras: información como números de tarjetas de crédito puede usarse para realizar compras fraudulentas. Incluso datos aparentemente inofensivos como nombres, fechas de nacimiento y direcciones de correo electrónico son valiosos, ya que pueden cruzarse con información encontrada en otras filtraciones para construir un perfil peligrosamente completo de un usuario, lo que puede conducir a ataques más serios, como el robo de identidad.
Cada brecha de datos tiene un costo, que incluye gastos operativos para analizar y reparar la falla que la originó, mitigación de impacto y compensación a los usuarios afectados, entre otros factores. Y con la promulgación de legislación dirigida a la protección de datos y privacidad, como el GPDR en Europa y la LGPD en Brasil, este costo está aumentando.
El Informe de IBM sobre el costo de una brecha de datos, de 2024, estimó que el costo promedio de una brecha de datos era de $164 por registro de Información de Identificación Personal (PII). Por supuesto, cuando ocurre una filtración, no abarca solo unas pocas docenas o cientos de registros.
Para darte una idea de la escala, en agosto de 2021, una filtración de datos en el operador telefónico estadounidense T-Mobile expuso datos de 76.6 millones de clientes. Esto resultó en un pago de US$350 millones en restitución a las víctimas, más gastos de US$150 millones para mejoras en las medidas de protección de datos. Aún así, en enero de 2023, la compañía fue víctima de una nueva filtración, esta vez exponiendo datos de 37 millones de clientes.
Cómo Zero Trust protege tus datos
La micro-segmentación y la restricción de privilegios de acceso son algunas de las características de zero trust que ayudan a prevenir filtraciones de datos, ya que bloquean lo que se conoce como “movimiento lateral” durante un ataque.
En una red no segmentada, un atacante podría usar un dispositivo vulnerable de baja importancia, como una impresora o un sistema de teleconferencia, como puerta de entrada para un ataque. Una vez dentro de la red, pueden encontrar formas de “saltar” a otros dispositivos con mayores privilegios de acceso hasta alcanzar su objetivo.
Por lo tanto, muchas empresas ya emplean la segmentación de red. Por ejemplo, aislando sistemas críticos, como aquellos que contienen datos de tarjetas de crédito de clientes o procesan nóminas, de aquellos que manejan inventario. Aún así, hay riesgos. Si un atacante obtiene acceso al área donde están los sistemas críticos, todos ellos y sus datos estarán al alcance.
La micro-segmentación lleva el concepto de particionamiento más allá, al nivel de hosts y tareas, y también se aplica a los permisos de acceso. Por ejemplo, en lugar de un permiso general de “acceso a la base de datos” para cada aplicación que pueda necesitarlo, a un cliente se le puede permitir acceder y escribir registros en un servidor de base de datos solo bajo un conjunto de condiciones específicas.
Otro buen ejemplo es que las técnicas de huella digital de dispositivos pueden usarse para permitir el acceso solo si la solicitud proviene de un dispositivo específico, o las listas de redes basadas en direcciones IP, ASN y geolocalización del usuario pueden usarse para filtrar el acceso. En nuestro ejemplo anterior, si un criminal intenta acceder a la base de datos usando el dispositivo incorrecto, o desde una ubicación no aprobada, se denegará el acceso.
Este enfoque ayuda a reducir la superficie de ataque, contener rápidamente las brechas, proteger aplicaciones críticas e incluso mejorar el compliance, ya que separar datos sensibles (como información de identificación personal) del resto es un requisito esencial en todos los estándares de seguridad.
Conclusión
El modelo zero trust es un enfoque moderno para gestionar requisitos de seguridad cada vez más complejos de las redes corporativas. No es un producto, sino un proceso. Para saber más sobre cómo Azion puede fortalecer tu infraestructura y ayudarte a comenzar a implementar un modelo de seguridad Zero Trust, contacta a nuestros expertos.