Zero Trust: cómo funciona el modelo de seguridad que no confía en nadie

Tiempo de lectura: 6 minutos

Los exchanges han sido hackeados, los fondos han desaparecido y las claves han sido comprometidas. En muchos casos no fue por falta de tecnología, sino porque el sistema asumía que quien estaba dentro era de confianza.

En un entorno donde los perímetros tradicionales se han disuelto, la confianza implícita es el mayor activo de un atacante. Zero Trust parte de la premisa contraria para eliminar esa ventaja automatizando un control estricto, continuo y en tiempo real. Bajo este modelo, la regla es categórica: nunca confíes, verifica siempre. Ya no importa la posición que ocupes en la organización; la seguridad se mide por tu capacidad de demostrar, a cada paso, que eres quien dices ser.

bitnovo_exchanges_hackeados_fondos

En cripto, un fallo de seguridad no se puede deshacer

A diferencia del sistema financiero tradicional, donde una transferencia fraudulenta se puede congelar o cancelar, la inmutabilidad de la blockchain no ofrece segundas oportunidades. Si un atacante vulnera el sistema, los fondos desaparecen en segundos.

Este factor eleva el coste de cualquier brecha a niveles críticos. Zero Trust no elimina el riesgo de sufrir un ataque, pero reduce drásticamente la superficie de exposición y limita el daño potencial. El modelo asume de antemano que una wallet, un puente entre cadenas o un smart contracts pueden ser comprometidos en cualquier momento.

En lugar de otorgar vía libre tras una primera validación, fragmenta el riesgo para asegurar que un solo fallo no signifique la pérdida total de los activos. Para entender cómo se llegó a este nivel de exigencia, primero hay que ver qué modelo intentamos dejar atrás.

bitnovo_blockchain_inmutabilidad_fondos

El modelo de castillo que ya no funciona

Durante muchos años, las empresas se centraron en proteger los perímetros de sus redes con controles de seguridad. Bajo este enfoque tradicional de seguridad, se levantaba una red interna protegida por un cortafuegos (firewall), donde todo lo que estaba dentro se consideraba seguro y fiable, otorgando acceso gratuito a aplicaciones, datos y recursos.

El gran problema es que este modelo asume erróneamente que las amenazas vienen exclusivamente de fuera y que el interior es intrínsecamente seguro. Los grandes hackeos a exchanges han seguido precisamente ese patrón: un atacante consigue vulnerar el perímetro, accede a un único punto y, al aprovechar la confianza implícita por defecto, realiza movimientos laterales con total libertad hasta localizar y comprometer los fondos.

Hoy en día, con empleados en remoto, servicios en la nube y aplicaciones descentralizadas, el perímetro de red ha desaparecido por completo, obligando a la industria a buscar un enfoque completamente nuevo.

bitnovo_modelo_castillo_firewall

John Kindervag y el modelo que cambió la seguridad en red

La solución a este vacío perimetral llegó en 2010. Zero Trust no nació como un producto comercial ni como un software específico, sino como un modelo estratégico formulado por John Kindervag mientras trabajaba como analista en Forrester Research. Su propuesta derribó el concepto de fronteras físicas e introdujo un marco diseñado para proteger los recursos de forma individual.

El principio de Kindervag fue directo: tratar cada solicitud de conexión, usuario o dispositivo como una amenaza potencial desde el segundo uno, sin importar su ubicación. Para que este marco funcione, la validación debe ser estricta, dinámica y evaluar variables contextuales en tiempo real: quién solicita el acceso, qué dispositivo utiliza, desde dónde se conecta y qué nivel de riesgo representa. Esta visión transformó la teoría de la seguridad, estructurándose en tres reglas operativas inquebrantables.

bitnovo_john_kindervag_forrester

Los tres principios que lo sostienen

Toda la arquitectura de Zero Trust se sostiene sobre tres reglas fundamentales que eliminan las suposiciones de seguridad:

Principio

 Cómo funciona

Ejemplo

Validación continua Nadie mantiene acceso indefinido. Cada solicitud se evalúa de nuevo en tiempo real analizando dispositivo, ubicación y comportamiento. Si tras iniciar sesión cambias de red o de país, el sistema bloquea la sesión y exige reautenticarse.
Privilegio mínimo Se otorga el acceso mínimo necesario para una tarea concreta. Al terminar, los permisos se revocan. Un redactor accede solo a su borrador por dos horas, no puede ver las wallets del exchange ni cambiar la configuración.
Suposición de vulneración El sistema opera asumiendo que ya ha sido comprometido. Se segmenta la red para frenar el movimiento lateral. Si un hacker vulnera la interfaz web, la microsegmentación evita que pueda saltar hacia los smart contracts donde están los fondos.

IAM, MFA y microsegmentación: las piezas que lo hacen funcionar 

Para llevar la filosofía de Zero Trust a la práctica, se necesitan herramientas técnicas específicas que automaticen el control estricto de la red. Estas son las cuatro piezas clave:

Pieza técnica

 Qué hace

Por qué es vital
IAM (Gestión de Identidades) Asigna y valida una identidad única a cada usuario y dispositivo. Nadie entra de forma anónima, el sistema sabe exactamente quién y qué intenta conectarse.
MFA (Autenticación Multifactor) Exige varios métodos de verificación para dar acceso. Una contraseña robada no basta. Un hacker necesitaría también tu huella o tu token de seguridad física.
Microsegmentación Divide la red en zonas pequeñas y estancas e incomunicadas entre sí. Si un atacante logra comprometer un segmento, la brecha queda contenida y no puede saltar hacia el resto del sistema.
Monitoreo Continuo Analiza el comportamiento y el tráfico en tiempo real. Cualquier anomalía activa una respuesta automática, bloqueando la conexión sospechosa de inmediato.

Los cinco pilares de Zero Trust

No basta con proteger la red si el dispositivo es inseguro, ni sirve verificar el dispositivo si los datos no están clasificados. Por eso, el modelo se divide en cinco ámbitos críticos que trabajan en sincronía:

  • Identidad: Se encarga de verificar minuciosamente a los usuarios que solicitan acceso utilizando herramientas como IAM y autenticación multifactor (MFA).
  • Dispositivos: Examina y controla cada ordenador, móvil o servidor que intenta conectarse. Si el terminal no está registrado o es inseguro, se le bloquea el acceso.
  • Redes: Aísla la infraestructura mediante microsegmentación y cifra todo el tráfico para que un atacante no pueda ver ni tocar los recursos valiosos.
  • Aplicaciones: Supervisa programas y API en tiempo real. Elimina los accesos estáticos y exige una validación dinámica continua mientras dure la sesión.
  • Datos: El objetivo final. La información confidencial se clasifica y se protege mediante encriptación, ya sea que esté guardada, en uso o viajando por la red.

bitnovo_validacion_continua_mfa

Exchanges, custodios y DeFi: dónde se aplica

Esta estructura por pilares es la que permite a las plataformas que gestionan criptomonedas operar de forma segura en un entorno complejo, marcado por el trabajo remoto, las aplicaciones interconectadas y las API abiertas. En el sector cripto, Zero Trust baja la teoría a la práctica del negocio en tres frentes críticos:

  • Verificación de cada acceso: No importa si la solicitud viene del director de la empresa o de una aplicación externa; todos tienen que demostrar su identidad cada vez que intentan entrar a un sistema.
  • Segmentación de sistemas críticos: Las plataformas dividen su infraestructura en partes independientes. Así, el panel donde un empleado atiende dudas de soporte está totalmente aislado de los servidores que controlan las wallets y los fondos.
  • Monitoreo continuo: El sistema analiza el comportamiento en tiempo real. Si una herramienta automatizada o un usuario intenta hacer algo fuera de lo común, la plataforma bloquea la acción al instante.

Por esta razón, los custodios institucionales y los exchanges regulados ya aplican los principios de Zero Trust. No solo lo hacen para blindar el capital de sus usuarios, sino también para cumplir con las normativas y requisitos de seguridad internacionales más exigentes de la industria.

bitnovo_privilegio_minimo_acceso

Por qué Zero Trust cuesta más de implementar de lo que parece

A pesar de sus evidentes ventajas, adoptar una arquitectura Zero Trust no consiste en comprar una licencia de software ni en instalar una solución mágica de la noche a la mañana, es un esfuerzo gradual y a largo plazo. Los principales obstáculos para su despliegue real en las organizaciones no suelen ser técnicos, sino operativos:

  • Infraestructura heredada: Gran parte de los sistemas actuales se diseñaron bajo el viejo modelo perimetral y no asimilan fácilmente los controles dinámicos.
  • Resistencia cultural: Obliga a los equipos de IT a cambiar procesos rutinarios ya establecidos, lo que genera fricciones operativas si la transición no se gestiona bien.
  • Cambio organizativo: Requiere el compromiso absoluto de la dirección para redefinir las políticas de la empresa desde cero. No es un proyecto tecnológico aislado; es una transformación en la cultura de seguridad.

bitnovo_microsegmentacion_redes

De hecho, Zero Trust no es una garantía absoluta de infalibilidad, sino una forma de diseñar sistemas asumiendo que las cosas van a fallar.

Leave a comment
Your email address will not be published. Required fields are marked *

    Recibe las últimas noticias sobre criptomonedas y los artículos más populares directamente en tu correo.


    De conformidad con el RGPD y la LOPDGDD, PRESSBROKERS S.L. tratará los datos facilitados, con la finalidad de enviar comunicaciones a los suscriptores. Para obtener más información acerca de cómo estamos tratando sus datos y cómo ejercer sus derechos de protección de datos, acceda a nuestra política de privacidad.