En 2010, John Kindervag, entonces analista de Forrester, publicó el paper “No More Chewy Centers: Introducing The Zero Trust Model of Information Security”, una propuesta que rompía con la visión clásica de la seguridad perimetral —el “castillo con murallas”— y planteaba una idea disruptiva: no confiar nunca de manera implícita y verificar siempre cada acceso, usuario o dispositivo. Quince años después, Zero Trust no es solo un concepto teórico, sino un principio rector que guía normativas, estrategias empresariales y la oferta de la mayoría de los fabricantes de ciberseguridad.
Los primeros años de Zero Trust se movieron en el terreno conceptual. Fue la iniciativa BeyondCorp de Google la que, a partir de 2014, demostró en la práctica que era posible un modelo de acceso basado en identidad y contexto, sin depender de una red corporativa “de confianza”.
El gran salto llegó en 2020, cuando el NIST publicó la guía SP 800-207, que estableció una arquitectura de referencia para implantar Zero Trust en redes, aplicaciones y datos. Poco después, Estados Unidos lo convirtió en política pública obligatoria: la Orden Ejecutiva 14028 y las directrices de la OMB marcaron hitos concretos para que todas las agencias federales migrasen hacia este modelo.
En Europa, el impulso regulatorio ha venido de la mano de NIS2 y de las guías de ENISA, que en la práctica empujan a las organizaciones críticas a adoptar medidas alineadas con los principios de Zero Trust: autenticación fuerte, segmentación y control continuo de acceso.
Un modelo en adopción mayoritaria
La evolución regulatoria se traduce en adopción real. Según el informe State of Zero Trust Security 2023 de Okta, seis de cada diez empresas ya tienen una iniciativa en marcha y otro tercio planea activarla en los próximos 18 meses. Por su parte, Gartner estima que para 2025 más del 60 % de las organizaciones utilizarán Zero Trust como punto de partida de su estrategia de seguridad, aunque advierte de que muchas no llegarán a materializar plenamente sus beneficios.
En la práctica, los proyectos suelen empezar por la gestión de identidades y accesos, con el despliegue de MFA resistente a phishing y la evaluación del estado de los dispositivos. Después llegan los pasos más complejos: la microsegmentación de redes, la protección de datos y la visibilidad transversal en entornos híbridos y multicloud.
Adoptar Zero Trust no es un camino lineal ni exento de dificultades. A pesar de su popularidad y de la presión regulatoria que lo impulsa, muchas organizaciones descubren que trasladar los principios de confianza mínima a su realidad tecnológica y operativa implica chocar con obstáculos importantes. Desde la resistencia cultural y la complejidad de los entornos híbridos hasta la herencia de infraestructuras legadas, el tránsito hacia Zero Trust pone de manifiesto una deuda tecnológica acumulada durante años y obliga a repensar procesos, herramientas y prioridades.
Las organizaciones se enfrentan, principalmente, a cinco grandes retos:
- Complejidad técnica y cultural. No basta con desplegar tecnología; requiere cambiar mentalidades y procesos.
- Legado tecnológico. Aplicaciones antiguas, protocolos heredados y redes planas dificultan la microsegmentación.
- Identidad como nuevo perímetro. La protección efectiva depende de controles sólidos de autenticación y autorización, algo que no todas las empresas tienen maduro.
- Visibilidad y datos. La telemetría y la capacidad de correlacionar eventos en tiempo real son esenciales para verificar de manera continua.
- Fragmentación de herramientas. Muchas compañías han acumulado soluciones puntuales, lo que complica la gestión y eleva costes. De ahí la apuesta creciente por plataformas integradas de SASE o SSE.
Impacto en el mercado: de soluciones a plataformas
Zero Trust se ha convertido en un auténtico motor de mercado y en uno de los principales catalizadores de innovación en la industria de la ciberseguridad. El paso natural de este modelo conceptual hacia la práctica se ha materializado en el Zero Trust Network Access (ZTNA), una de sus aplicaciones más directas y visibles. ZTNA traslada los principios de confianza mínima al acceso remoto: en lugar de abrir toda la red como ocurre con las VPN tradicionales, concede únicamente acceso granular a la aplicación o recurso autorizado. Esta evolución ha reconfigurado de forma profunda la forma en que las organizaciones entienden la conectividad segura.
Al mismo tiempo, la necesidad de reducir complejidad y costes ha impulsado la convergencia de funciones en plataformas SASE (Secure Access Service Edge) o SSE (Security Service Edge), que integran en un único marco capacidades de red y seguridad previamente dispersas. La estandarización en torno a NIST 800-207 y al modelo de madurez de CISA ha marcado la pauta en compras públicas y privadas, convirtiéndose en guías de referencia para integradores y responsables de seguridad. Y en el ámbito europeo, NIS2 refuerza su papel como “estado del arte”, garantizando que Zero Trust seguirá siendo protagonista en las inversiones tecnológicas de los próximos años, tanto en sectores regulados como en empresas privadas que buscan anticiparse a los nuevos requisitos normativos.
Mirando hacia adelante
Quince años después de su nacimiento, Zero Trust es mucho más que un eslogan. Ha pasado de ser un modelo teórico a una filosofía de seguridad asumida por gobiernos, empresas y proveedores tecnológicos. El futuro apunta a extender sus principios más allá del acceso humano: hacia las identidades de máquina, la protección nativa del dato y la automatización basada en telemetría.
El reto ya no es definir qué es Zero Trust, sino cómo hacerlo realidad sin añadir complejidad. Y en ese camino, el mercado seguirá evolucionando de productos aislados a plataformas integradas, capaces de ofrecer seguridad continua en un entorno donde no hay lugar para la confianza implícita.
