¿Por qué Microsoft, Google y Cisco consideran a este sistema como el futuro de la ciberseguridad empresarial?
El sistema zero trust es más seguro que sus competidores. Ese es el argumento que esgrimen empresas como Microsoft, Google o Cisco a la hora de comercializarlo, y los expertos consultados por Xataka para explicar el auge de esta tecnología de ciberseguridad que controla el acceso de los empleados en remoto a la red privada de una compañía.
La traducción literal de zero trust es confianza cero, y esa es la filosofía en la que se basa esta tecnología: monitoriza y autentifica continuamente a los usuarios que han accedido la red privada de la organización, incluso a los que están en la oficina de la compañía, de tal forma que, para ir consultando diferentes datos o usando distintas herramientas del sistema, el empleado tiene que pasar por un nuevo proceso de verificación cada vez.
"La principal diferencia de esta tecnología con respecto a otras como la red privada virtual (VPN, por sus siglas en inglés) es la desconfianza. Una VPN es como poner un guardia en la puerta, puede ser muy bueno, pero no se mueve de ahí. Pide las credenciales y, si son correctas, deja pasar al usuario. El sistema zero trust añade a ese guardia de la puerta otros dentro de las instalaciones que van preguntando de vez en cuando a todas las personas por su identidad, para descubrir si alguien se ha colado", explicó Rafael García, CTO de la compañía de seguridad informática Hack By Security, citado por el diario digital Xataka.
De esta forma, la arquitectura del sistema zero trust dificulta mucho más los ataques de los ciberdelincuentes, porque si vulneran la primera barrera de acceso a la red privada de la empresa, no comprometerán de una vez todos los datos de la organización, y para ir profundizando en el sistema tendrán que quebrar continuamente nuevas barreras de seguridad. Además, la empresa podrá monitorizar los pasos que han dado para descubrir cómo han logrado eludir el primer control y hasta dónde han llegado.
VPN: armas de doble filo
Román Vargas, consultor de ciberseguridad de Cisco España, asegura que el zero trust también ofrece mejor experiencia al usuario, porque las VPN no están preparadas para el enorme aumento del trabajo en remoto que hemos vivido, con un consumo de recursos mayor que antes de la pandemia.
Esto hace que, por ejemplo, se produzcan problemas de conexión en las videollamadas y que los usuarios se acaben desconectando de esas redes privadas para poder reunirse sin problemas.
"Ha habido un choque entre seguridad y experiencia del usuario, haciendo que muchos empleados simplemente no usen las VPN en su día a día, o que la activen selectivamente, poniendo en grave riesgo la seguridad de los datos", explica. Y por eso, asegura, muchas empresas están optando por pasar a sistemas de seguridad basados en la nube como zero trust, que evitan problemas de ese tipo.
Tanto García como Vargas señalan que el traslado de los dispositivos de trabajo a la casa de los empleados supone nuevos problemas de ciberseguridad. Porque esos equipos, al estar en un entorno doméstico, pueden ser usados para tareas no profesionales que acaben contagiando al equipo de un malware, y que éste pase a los sistemas de la empresa cuando el empleado se conecte.
"Si una empresa tiene muy bien definido cuál es su perímetro y no se va a salir de él en un tiempo prolongado, puede usar una VPN, lo normal es que funcione como debe. Pero situaciones como la actual pandemia hacen que una empresa ya no vea o sepa tan claramente cuál es su perímetro, porque los trabajadores están en sus casas", explica García.
Para el CTO de Hack By Security, por tanto, las VPN todavía pueden ser útiles y el paso hacia el zero trust será paulatino: "Tampoco hay que volverse loco y tirar todo lo actual a la basura. Todo debe tener una transición. No hace tanto tiempo las empresas desconfiaban de la nube y querían tener todo el control desde sus instalaciones. Ha costado hacerles ver las ventajas del uso de la nube. Con los sistemas zero trust pasará algo similar".
Para Vargas, en cambio, el cambio masivo al teletrabajo ya ha hecho que las VPN sean insuficientes para proteger el acceso remoto y, por ello, vaticina una transición más rápida hacia el modelo zero trust.
"Aunque en el caso de pocos trabajadores remotos las VPN seguirán haciendo su función, el modelo zero trust será la estrella de este año y los siguientes en el entorno empresarial. Con usuarios, dispositivos y nubes extendiéndose fuera del perímetro de red tradicional, se requieren nuevas aproximaciones de seguridad", asegura.
Desventajas del sistema zero trust
Pero no es oro todo lo que reluce. El sistema zero trust aporta más seguridad porque aumenta los procesos de verificación, monitorea a los usuarios y compartimenta los datos de la organización, haciendo que sea más difícil acceder a la información de la empresa. Es decir, que usa muchos más recursos, lo que se traduce en mayores costes y complejidad de instalación.
"No todo es tan bonito ni fácil. Implantar el sistema zero trust puede llevar un tiempo y es caro", explica García, quien añade que también dependerá de la complejidad que quiera cada empresa, porque con esta tecnología de confianza cero incluso se puede configurar la zona geográfica o el horario en el que no se permite acceder a determinados usuarios a la red. Y ese tipo de opciones encarecen la factura.
Confianza de las grandes tecnológicas
A pesar de que esté experimentando un gran auge a raíz de la pandemia de coronavirus, la tecnología zero trust no es nueva. Muchos de los conceptos que la respaldan ya se conocen desde principios del siglo XXI.
Sin embargo, las nuevas necesidades de seguridad derivadas del enorme aumento del trabajo en remoto han hecho que finalmente eclosione en un entorno que cada vez está más basado en la nube.
Las grandes tecnológicas lo tienen claro: es el futuro de la ciberseguridad empresarial. Cisco lleva cinco años desarrollando herramientas zero trust y afirma que ha llegado para quedarse definitivamente. Microsoft afirmó hace unos días, tras su presentación trimestral de resultados, que esta tecnología "es la piedra angular de una protección eficaz, la base de la resiliencia de las organizaciones y el futuro de la seguridad".
Google anunció recientemente que han puesto a disposición de sus clientes BeyonCorp Enterprise, una serie de productos zero trust que la compañía californiana venía usando hasta ahora de forma interna.