Como en cualquier gremio, en la ciberseguridad también se acuñan, cada cierto tiempo, términos que sintetizan una tendencia o filosofía emergente. Si resultan suficientemente atractivos, se ponen de moda y se instrumentalizan para adaptarlos a los discursos de venta o concienciación. A veces tanto que llegan a confundir: si se usa por todos y para todo, es difícil distinguir cuándo se está aplicando correctamente el término.
Zero trust fue usado por primera vez en 2010 por John Kindervag. Una época “oscura” en ciberseguridad, donde los atacantes habían profesionalizado el malware, la ciberseguridad no era prioridad para las empresas y la industria no estaba suficientemente madura para afrontar el reto. Hasta entonces, la ciberseguridad de una red corporativa siempre se concibió como un “castillo” al que había que proteger. Fosos, muros, torres y vigilancia militar de cara al exterior para disfrutar de una supuesta tranquilidad y confianza en su interior. Spoiler: no funcionaba. Los atacantes penetraban en la red/castillo como caballo de Troya y una vez dentro, campaban a sus anchas. El por entonces incipiente viaje a la nube, donde los sistemas ya estaban repartidos en muchos otros lugares, no facilitaba este proceso.
El enfoque de zero trust le puso nombre al cambio y por fin se entendió que no solo las fronteras deben ser vigiladas, sino también los “ciudadanos”. Desde el interior de la red, cada solicitud de acceso a los recursos, sin importar su origen, debe ser verificada y autenticada, eliminando la confianza implícita. No se debe confiar en nadie, ya sea dentro o fuera de una red, sin antes verificar. Es como si dentro del castillo se instalaran sistemas de identificación para pasar de una estancia a otra, validaciones para acceder a lugares más secretos o controles policiales aleatorios. En vez de asumir que todo lo que está dentro de la red de una empresa es seguro, se verifica y se controla constantemente el acceso a recursos, datos y sistemas. Esto se logra mediante autenticación estricta (segundos factores, control de acceso basado en identidad, autorización y autenticación continua), controles de acceso (segmentación de red…), monitoreo continuo de las actividades (gestión de dispositivos centralizadas, EDRs), políticas de prevención de pérdidas y acceso a datos en la nube, etc.
Esto se traduce en un nuevo arsenal de herramientas que por un lado deben ser integradas y administradas por la organización, y por otra adoptadas por los usuarios, que deben incorporar a su rutina la confirmación de que son confiables, tanto ellos como sus actividades además de la razón por la que necesitan acceder al dato. El enfoque de zero trust, por tanto, resulta imprescindible para limitar el libre movimiento de los atacantes por la red interna. Pero a cambio, nos obliga a estresar en cierta medida al administrador y al usuario. Por fatiga o desconocimiento, el asunto es que se nos da muy mal sostener esos hábitos en el tiempo y terminamos por rebajar nuestra atención. Como ya mencioné en otro artículo, la actitud de alerta permanente no escala.
Por tanto, no sorprende a nadie que es necesario un esfuerzo adicional para que esta actitud de cero confianza se delegue en herramientas diligentes y bien configuradas, y así la buena seguridad se vuelva transparente y discreta para los usuarios. Pero como en la Física, nada se transforma, todo va a algún sitio. La confianza no puede desaparecer sin más. Se da la paradoja entonces de que para implementar una política de zero trust, en realidad lo que debemos conseguir es delegar eficazmente nuestra confianza en los administradores, en las herramientas para implementarla y en el propio usuario. Los administradores deben configurar convenientemente las herramientas para que sean lo más transparentes posible. Las herramientas deben tener alta disponibilidad, funcionar como prometen y contener el menor número de vulnerabilidades posible. Y, por último, los usuarios deben respetar las políticas, adaptarse a las circunstancias y seguir siendo productivos sin que les genere rechazo.
Así que la política de zero trust implica no eliminar la confianza por completo, sino delegarla sabiamente. Y para conseguir algo tan trascendental es necesario un plan muy estudiado a largo plazo, que ponga el foco en los elementos que sostendrán esa confianza: usuarios, herramientas y administradores de la compañía. Para que se pueda aplicar una política de zero trust que funcione, se les debe otorgar no solo la confianza, sino además los recursos necesarios para que manejen esa responsabilidad de la mejor manera posible.