El modelo de seguridad Zero Trust se ha consagrado como el nuevo estándar clave para poder afrontar las amenazas de ciberseguridad que sufren hoy en día las organizaciones. De alguna manera, se ha convertido en el nuevo estándar de facto para proteger entornos digitales híbridos y dinámicos. Según un reciente estudio publicado por DXC Technology bajo el título “The Trust Report: From Risk Management to Strategic Resilience in Cybersecurity”, el 83% de las organizaciones que han adoptado un modelo Zero Trust han logrado reducir los incidentes de seguridad, contribuyendo a una disminución significativa de los costes de recuperación y del soporte técnico asociados a los ciberataques.
Con el fin de conocer cómo lo están adoptando las compañías, la Revista Byte TI junto a ESET España y Ray Security que actuaron de patrocinadores, organizaron un almuerzo con expertos del sector bajo el título “El CISO ante el reto de aplicar Zero Trust y una correcta gestión de la ciberseguridad”. En un contexto marcado por la sofisticación de las amenazas, la creciente digitalización y la apertura a nuevos entornos tecnológicos, garantizar la seguridad ya no es solo una cuestión técnica, sino también de continuidad de negocio.
La mesa contó con la participación de Alfredo Delgado, director de Transformación y Tecnología, CIO, CTO, CISO de UMAS, Mutua de seguros; Daniel Damas, Head of IT Assurance & CISO en Nationale Nederlanden; David Moreno, CISO de Tendam Retail; Manuel Asenjo, CIO/CISO/CAIO en Ecija; David Hernán Gallardo, subdirector Centro de Operaciones de Seguridad de la Información en MAPFRE SA; Jaime Perea Amor, responsable de Gestión de Riesgos y Continuidad de Negocio en Carrefour; Alejandro Aliaga, CTO de ESET España; y Félix Prieto, Iberia & LATAM RSM en Ray Security.
Zero Trust y el cambio cultural que es necesario aplicar
Los participantes comenzaron exponiendo qué significa para ellos el concepto de Zero Trust y cuáles son los principales retos que supone su implementación. Un aspecto común para la mayoría de ellos comentó es que Zero Trust no es una tecnología nueva que se pueda adquirir e implantar de la noche a la mañana. Es, ante todo, una filosofía y un cambio cultural profundo que obliga a replantear cómo se gestionan los accesos, las identidades y los datos dentro y fuera de las organizaciones.
David Hernán Gallardo, subdirector del Centro de Operaciones de Seguridad de MAPFRE, resumió con claridad el núcleo del problema: la identidad se ha convertido en el nuevo perímetro. “En estos últimos años la seguridad de las compañías se ha centrado en ofrecer garantías de seguridad en la identidad, el nuevo perímetro, y es necesario securizar la identidad del usuario para proteger a la empresa de la mejor manera posible”, señaló. A ello añadió la complejidad del legacy tecnológico y la necesidad de añadir capas de seguridad que, a menudo, generan reticencias entre los usuarios.
Para David Moreno, CISO de Tendam Retail, “Zero Trust no es una tecnología nueva. La filosofía de no fiarse de nadie y tener que orquestar lo que pasa en casa es algo básico. Es un cambio cultural de tecnología y del departamento de sistemas, pero no debe serlo para la compañía. Mi reto es que el impacto en el usuario sea mínimo y que lo perciba como una mejora”.
Daniel Damas, CISO de Nationale Nederlanden, incidió en la dificultad de implementar este cambio cultural: “Es un cambio bastante difícil de implementar, de manera que trates continuamente de legitimar los accesos y segmentar los servicios. Los comportamientos de los usuarios son clave dentro de una política Zero Trust”.
Por su parte, Alfredo Delgado, de UMAS, Mutua de Seguros, comentó que ve a Zero Trust como una oportunidad para las organizaciones: “Lo veo como una oportunidad y un cambio transformacional en la empresa. Obliga a que los usuarios se sensibilicen y cambien determinados procesos. Es también un cambio de gobierno que trasciende más allá de lo meramente tecnológico”.
Alejandro Aliaga, CTO de ESET España, aportó una perspectiva integradora clave al debate, subrayando que la estrategia de Zero Trust no consiste en inventar algo nuevo, sino en poner en común tecnologías ya existentes con una visión unificada. “La estrategia de Zero Trust es coger muchas tecnologías que ya estaban y ponerlas en común para proteger el perímetro común, que quizás ya estaba difuminado. Por parte de los fabricantes, la estrategia pasa por hacer las cosas más sencillas y trasladar a la dirección cuáles son verdaderamente los riesgos para adoptar la tecnología adecuada. Hay que hacérselo fácil al usuario, fomentar el cambio cultural y que el usuario vea que no hay fricción”, señaló.
Jaime Perea, responsable de Gestión de Riesgos en Carrefour, añadió la dimensión de la identidad y los roles como uno de los grandes retos operativos: “Gestión de identidades, por supuesto. Zero Trust exige una implicación por parte de toda la empresa para ser capaz de identificar los roles. Muchos roles implican mayor complicación.» Y Manuel Asenjo, de Ecija, señaló que en su caso el dato del cliente es el verdadero centro de gravedad: «Para nosotros, Zero Trust es el dato del cliente.»
El inventario y la priorización de activos: la asignatura pendiente
Uno de los momentos que mayor interacción produjo fue el hecho de abordar la cuestión del inventario de activos. Llevan décadas siendo el punto de partida de cualquier estrategia de seguridad y, sin embargo, siguen siendo el talón de Aquiles de las organizaciones.
David Hernán Gallardo lo describió con precisión: “El inventario es la pieza fundamental para saber qué proteger. Con la llegada de DORA y demás regulaciones, parece que el inventario se ha quedado olvidado. Hemos protegido de forma tradicional todo lo de on-premise y con la adopción del cloud y el término time to market, se deja de lado y no se tiene control de la superficie global de ataque”.
David Moreno, de Tendam Retail, no ocultó su frustración: “Llevo trabajando 30 años en temas de tecnología. Después de 25 años seguimos hablando de lo mismo: el inventario. No sabemos exactamente lo que hay. Las exigencias ahora son mayores y la tecnología más compleja de aplicar. Es un tema cultural”. Una reflexión que encontró eco en Alfredo Delgado: “En el caso de DORA, es negocio con los datos de impacto el que tiene que definir y hacer un plan de continuidad para priorizar servicios”, dijo.
En este punto, Félix Prieto, Iberia & LATAM en Ray Security, señaló un punto de vista diferenciador basada en el uso de la inteligencia artificial para resolver precisamente el reto de la priorización dinámica de activos y permisos. “Aplicando técnicas de algoritmo e IA podemos definir, en tiempo real, cuáles son los datos que están siendo usados y cuáles no. El 94% de los datos no son usados por las compañías. Desde Ray Security ayudamos al control de los accesos de forma dinámica, especialmente con los permisos que están abiertos y no autorizados, para que se revoquen, o para predecir futuros posibles permisos con técnicas de IA. Damos una especie de add-on al control y la securización para minimizar la superficie de riesgo de ataque”.
La conversación derivó hacia el papel de la normativa como palanca de concienciación. Daniel Damas se mostró defensor de normativas como DORA y otras similares: “Vino a cambiar algo que antes era solo responsabilidad del CISO. Ahora, los directores son responsables, y los temas penales no van únicamente contra los CISOs. La conversación antes y después de DORA es muy diferente”. Alejandro Aliaga, de ESET, reforzó esta idea señalando que la regulación debe hacerse a favor de las organizaciones: “Hay que exponérselo así a la alta dirección. La certificación te hace estar en un entorno de mejora continua para la organización”.
El CISO: de su labor técnica a socio estratégico entre negocio y seguridad
Otro de los ejes del debate fue la evolución del rol del CISO. La ciberseguridad ha dejado de ser un asunto exclusivamente técnico para convertirse en una cuestión de negocio. Y eso exige un perfil diferente: capaz de hablar el idioma de la dirección, de traducir riesgos técnicos en impactos económicos y reputacionales, y de construir alianzas internas.
Jaime Perea lo explicó de la siguiente manera: “Es un problema de lenguaje. Los de sistemas no siempre son capaces de trasladar lo que realmente es necesario. El CISO ha cambiado porque tiene que hablar un idioma nuevo con soft skills”. David Hernán Gallardo coincidió: “Cuando eres capaz de contarle a negocio lo que puede suceder, o con las auditorías internas que se realizan, es cuando puedes conseguir que el presupuesto sea mayor”.
La transparencia también fue comentada entre los asistentes como un activo estratégico. Hernán Gallardo señaló que “la transparencia a la hora de gestionar un ataque y llevar a cabo una buena comunicación de lo que te pase también ayuda a afrontarlo con naturalidad. Nadie está exento de sufrirlo”. Félix Prieto añadió que en las empresas donde ya se ha sufrido un ciberataque, la dirección es mucho más consciente, pero advirtió: “¿Y los que no han sido atacados? Hay empresas de gran calado con la idea de que a ellos no les va a tocar”.
Para Alejandro Aliaga de ESET España, todos los procedimientos, la cultura y la comunicación a la alta dirección se vuelven fundamentales para cualquier proceso. Cómo ellos quieren hacer esas inversiones para evitar la sensación de riesgo. “Tenemos que hacerles conscientes e implicarles hablando su idioma, con números, y exponiendo las consecuencias técnicas, legales y reputacionales”.
Daniel Damas compartió una iniciativa concreta para concienciar desde dentro: “En la compañía realizamos simulaciones internas de ataques de ransomware para poner a prueba a los empleados, siendo desplegadas sobre 650 equipos. El mayor problema no es el CEO, que está muy concienciado, sino proviene de gerencia o de los departamentos de finanzas. “Alfredo Delgado añadió que en sus últimas campañas de phishing, todo el mundo suele caer en enlaces que simulan ser de OneDrive; “Zero Trust ha demostrado una alta eficacia a la hora de bloquear e impedir este tipo de ataques”.
La cadena de suministro sigue siendo el eslabón más débil
La mesa dedicó especial atención a la gestión de terceros como uno de los vectores de riesgo más críticos y menos controlados. La cadena de suministro amplía la superficie de ataque de forma exponencial, y muchas organizaciones aún no han encontrado la manera eficaz de gestionarla dentro de su estrategia Zero Trust.
Jaime Perea fue muy descriptivo al respecto: “La cadena de suministro es tan fuerte como sus eslabones. Manejamos procesos críticos con contratos o negocio, y el problema es que el enemigo muchas veces está dentro porque no cumple con determinados requisitos y no se cambia. Cualquier regulación con gestión de terceros lo pone en el foco. Es imprescindible cuidar este apartado”.
David Moreno explicó cómo Tendam está abordando esto tecnológicamente: “A día de hoy nos apoyamos mucho en la revisión y cumplimiento contractual, junto con una revisión anual esperando que el proveedor sea sincero, apoyado con auditorías. A nivel tecnológico, estamos reemplazando accesos punto a punto con navegadores protegidos y máquinas virtuales”. Hernán Gallardo destacó que el problema se agrava con las pymes de la cadena de valor: “También están obligadas a cumplir con la normativa, y eso supone un problema mayor por contar con menos recursos”.
Alfredo Delgado añadió una reflexión sobre la concentración que esto puede generar en el mercado: “Iremos al proveedor que ya esté en una lista verde de cumplimiento. La pequeña empresa, que carece de infraestructura adecuada, perderá competitividad”.
Para Félix Prieto de Ray Security, los ataques vienen a través de terceros poco protegidos. “La empresa tiene que priorizar sus problemas a nivel de negocio y tener un rigor muy exhaustivo y dinámico utilizando técnicas de IA predictiva sobre todos los controles de acceso: qué tengo del pasado, qué no se usa, y con Zero Trust analizar qué puede venir en el futuro. Es un tema de priorización”, enfatiza.
La IA generativa como el nuevo paradigma de riesgo y control
La última parte del debate se adentró en el territorio más disruptivo: la confluencia de Zero Trust con la inteligencia artificial generativa y los agentes autónomos. Un escenario que plantea desafíos radicalmente nuevos para la gestión de identidades y el control de accesos.
David Hernán Gallardo expuso una reflexión que caló entre los asistentes: “Los agentes no dejan de ser un empleado más de la organización, pero con funciones potenciadas y una mayor velocidad de ejecución. Operan en modo 24×7, con lo que el control y la monitorización deben ser constantes. Volvemos al problema de tener que controlar tanto a los humanos como a los agentes”.
Daniel Damas fue más allá, planteando la complejidad técnica que esto supone: “Un comercial va con un agente de IA con acceso legítimo a información del cliente. Esto se resuelve con tecnologías nuevas como Open FGA, una plataforma de código abierto diseñada para gestionar permisos y políticas de autorización complejas la cual se construye dinámicamente de la cartera del agente. Supone un paradigma nuevo para la compañía, meternos en las entrañas para que la IA sepa si la persona que está en el chat tiene acceso a nivel de registro”. Y en cuanto a la protección frente a prompt-injection, Damas reconoció: “Todos los días hay una forma nueva de atacarte con la IA. Es potente en ambos sentidos”.
Manuel Asenjo advirtió del escenario futuro: “Cuando los agentes de IA interactúen entre sí de forma autónoma —sin intervención humana en cada paso— los ataques de prompt-injection se volverán mucho más difíciles de detectar y contener, porque no habrá un humano que pueda identificar el comportamiento anómalo. Un agente podrá ser manipulado por otro agente malicioso pasando desapercibido”.
Alejandro Aliaga, de ESET, recalcó el incremento de vectores de entrada que trae consigo la IA y la importancia de extender las medidas de seguridad ya existentes a estos nuevos contextos. “Ahora vamos a tener muchos más puntos de entrada: el correo electrónico, un asistente que resume los correos, una API que autorizas y que puede ser otro punto de entrada de ataque, librerías LLM de dudosa procedencia… Muchos de los problemas con IA podemos extrapolarlos a problemas que ya teníamos previamente. El problema base es el mismo, pero hay que usar las nuevas herramientas para combatirlo”.
Félix Prieto, de Ray Security, cerró este bloque subrayando que Zero Trust, por sí solo, no es suficiente ante los retos que plantea la IA: necesita capas adicionales de control del dato. “Zero Trust es importante, pero no solo en acceso, sino en quiénes están accediendo a esos datos, con qué criticidad y en qué momento. Zero Trust pone herramientas de control, pero hay que controlar los datos de forma dinámica, especialmente con la llegada de la IA. Zero Trust necesita de otras capas a su alrededor que aborden también el control de acceso y la gestión del dato”
Alejandro Aliaga, CTO de ESET España, lanzó un mensaje de fondo que apunta a la gobernanza como principio rector: cada nueva tecnología que entra en la organización debe ser gobernada desde el primer momento, no prohibida. La ciberseguridad eficaz no pasa por bloquear la innovación, sino por controlarla con criterio. Félix Prieto, de Ray Security, incidió en la necesidad de un control dinámico y predictivo del acceso a los datos, especialmente en un entorno donde la IA amplía la superficie de riesgo de forma continua.
Conclusiones y puntos clave del debate
Aunque la mayoría de los responsables de TI reconoce el valor estratégico del modelo Zero Trust, su implementación total sigue siendo un proceso lento y desigual. Así, los CISOs identifican los sistemas heredados legacy como la principal barrera para su mayor adopción, tanto por la falta de interoperabilidad como por los costes de modernización que implica su sustitución o integración. A esta limitación técnica se suman factores organizativos. En muchos casos, los departamentos de ciberseguridad operan de forma fragmentada respecto al resto de la estructura, lo que dificulta la coherencia en las políticas de acceso y control
Los participantes en la mesa dejaron claro que Zero Trust es un camino que exige visibilidad sobre los activos, control de las identidades y los datos, cultura organizativa orientada a la seguridad, y una conversación fluida entre los departamentos de tecnología y negocio. En un entorno donde los agentes de IA, la computación cuántica y las amenazas persistentes avanzan a velocidad de vértigo, la pregunta ya no es si una organización será atacada, sino cuándo, y cuán preparada estará para poder responder.
