Durante décadas, la seguridad corporativa se construyó bajo una premisa que hoy ya no se sostiene: las organizaciones protegían su red corporativa mediante firewalls y VPN, confiando en que todo aquello que se encontraba dentro de la red, era seguro. Ese modelo funcionaba cuando los datos residían en servidores locales, los empleados trabajaban desde oficinas y las aplicaciones eran internas. Ese mundo ya no existe.
El modelo perimetral fue diseñado para entornos de TI centralizados, pero las organizaciones actuales operan en entornos distribuidos, híbridos y basados en la nube. La adopción masiva de servicios en la nube, el trabajo remoto, la movilidad y el uso de dispositivos personales ha difuminado el perímetro tradicional.
En la actualidad, los usuarios acceden desde cualquier lugar, las aplicaciones ya no viven sólo en el CPD y los datos están repartidos entre distintos entornos cloud y on-premise para ser accesibles desde cualquier lugar. Si el perímetro desaparece, la identidad pasa a ser el nuevo punto de control, siendo necesario poner el foco en la protección de identidades y en los accesos privilegiados. Según el último informe Thales 2026 Data Threat Report, el robo y la apropiación indebida de credenciales es el vector de ataque con mayor crecimiento en 2026. El perímetro no sólo ha desaparecido: confiar en él es un riesgo en sí mismo.
Es por ello por lo que la seguridad debe evolucionar hacia un modelo Zero Trust en el que cada acceso se valide de forma continua y en el que la protección acompañe a la aplicación, al usuario y a la API, independientemente del lugar donde se encuentren. Zero Trust pasa a ser una estrategia donde el objetivo es reducir la superficie de exposición, así como limitar el impacto de posibles incidentes, evitar movimientos laterales y proteger de manera más eficaz los entornos distribuidos y las aplicaciones modernas.
El significado real de Zero Trust
El concepto de Zero Trust se ha consolidado como un enfoque clave en la ciberseguridad moderna, aunque su alcance va más allá de una solución tecnológica concreta. Como explica Federico Vadillo, Senior Solutions Engineer en Akamai Technologies, se basa en eliminar la confianza implícita: no asumir que algo es seguro por estar dentro de la red o por haber superado una autenticación inicial.
En esta misma línea, Ángel Serrano, Senior Manager, Technical Solutions para Iberia en Palo Alto Networks, y Álvaro Fernández, Director de Ventas en Sophos Iberia, coinciden en señalar que “nunca se debe confiar, y siempre verificar”, donde cualquier usuario, dispositivo o aplicación debe validar su legitimidad en cada acceso.
El mayor consenso por parte de los expertos en ciberseguridad se encuentra en la necesidad de ofrecer una verificación continua. Ignacio Franzoni, director de ingeniería de soluciones en Netskope, amplía este concepto con la idea de “confianza adaptativa continua”. Según explica, no basta con comprobar la identidad al inicio, sino que el nivel de confianza debe evaluarse durante toda la sesión en función del contexto: quién accede, desde qué dispositivo, ubicación o incluso qué datos intenta utilizar. Si ese contexto cambia, el sistema debe ser capaz de reaccionar en tiempo real.
Los expertos coinciden en que debe aplicarse el principio de mínimo privilegio, que limita el acceso a los recursos estrictamente necesarios; por otro, la segmentación o microsegmentación de la red, que reduce la superficie de ataque y evita la propagación de amenazas. A ello se suma el análisis continuo del tráfico y del comportamiento para detectar anomalías. El objetivo común es reducir riesgos, frenar movimientos laterales y minimizar el impacto de posibles incidentes. En entornos cada vez más distribuidos y basados en la nube, Zero Trust se consolida así como una filosofía que no solo refuerza la seguridad, sino que también simplifica su gestión al exigir una validación constante de todos los accesos.
Estrategia para su correcta implementación
La implementación efectiva de una arquitectura Zero Trust exige a las organizaciones adoptar una estrategia estructurada, progresiva y alineada con el negocio, más allá de desplegar herramientas aisladas. Existe una opinión generalizada en que no se trata de un proyecto puntual, sino de una transformación continua de la arquitectura de seguridad.
Así apunta Ángel Ortiz, Director de Ciberseguridad en Cisco España, que insiste en que la adopción debe realizarse por fases para garantizar su éxito y evitar disrupciones. Propone una hoja de ruta que comienza con la migración de infraestructuras tradicionales como la VPN hacia la nube, continúa con la protección de aplicaciones críticas mediante Zero Trust Access, y culmina con la extensión de políticas unificadas a toda la organización, incluyendo dispositivos y sucursales.
En esta misma línea, Pablo Vera, vicepresidente regional de Iberia en Zscaler, destaca que el proceso debe evolucionar gradualmente, empezando por asegurar el acceso a Internet y aplicaciones SaaS, y ampliándose después a entornos internos, cargas en la nube o accesos de terceros, hasta lograr conexiones directas y seguras entre usuario y aplicación.
Desde una perspectiva más operativa, Daniel Largacha, director del Centro de Operaciones de Seguridad (SOC) de Mapfre, subraya la importancia de comenzar por el conocimiento del entorno: inventariar activos, identidades y datos. A partir de ahí, recomienda aplicar autenticación multifactor, mínimo privilegio y segmentación, apoyándose en tecnologías de monitorización como SIEM, EDR, NDR y herramientas de inteligencia para detectar y responder antes situaciones de riesgo.
Por su parte, Gabriela Zornoza, experta en seguridad híbrida y Hybrid Mesh en Check Point Software, apuesta por construir una arquitectura de seguridad tipo Hybrid Mesh, que funcione como una capa unificada y virtualizada sobre entornos híbridos y multicloud, con microsegmentación y gestión centralizada para garantizar coherencia global. Se debe analizar todo el tráfico y es fundamental adoptar una gestión unificada que permita administrar diversos entornos, como Azure, AWS, on-premise, bajo un enfoque Open Garden (integrable con otras tecnologías) para garantizar la consistencia global de Zero Trust.
Según Eutimio Fernández, Regional Sales Manager para Iberia en Thales Cybersecurity Products, “nuestros datos sobre Zero Trust del Security Outcomes Report de Cisco muestran que las organizaciones que no han iniciado su adopción tienen el doble de probabilidad de sufrir incidentes de seguridad que aquellas que han completado todos los pilares Zero Trust. Para ello, ponemos el foco en la protección del dato, proponiendo un enfoque por etapas que combine visibilidad, refuerzo de identidades con anclaje criptográfico y cifrado ubicuo. Este enfoque gradual evita el ‘rip and replace’ que puede causar interrupciones operativas críticas y facilita una adopción real y sostenida”, subraya el directivo.
Soluciones propuestas por las compañías
La adopción de una arquitectura Zero Trust no solo implica un cambio conceptual, sino también el despliegue de arquitecturas tecnológicas capaces de materializar sus principios en entornos reales. En este contexto, los principales proveedores coinciden en apostar por plataformas integradas, capaces de unificar visibilidad, control y protección en ecosistemas cada vez más distribuidos.
Federico Vadillo, de Akamai Technologies, destaca un enfoque basado en la convergencia de capacidades. Según explica, la compañía apuesta por integrar control de acceso, protección frente a amenazas y segmentación en un único marco. “Plataformas como Guardicore permiten implementar microsegmentación y Zero Trust Network Access (ZTNA) para usuarios y dispositivos, eliminando la necesidad de VPN tradicionales y verificando cada acceso de forma continua”, señala. Este modelo proporciona visibilidad y control en entornos híbridos y multicloud, reduciendo la superficie de ataque y facilitando una adopción escalable.
Desde Check Point Software, Gabriela Zornoza subraya la necesidad de una arquitectura Zero Trust completamente integrada que combine SASE, firewalls en múltiples formatos y FWaaS. “Esta arquitectura se apoya en herramientas de gestión potenciadas por IA para detectar amenazas y aplicar políticas de seguridad de forma consistente en toda la malla híbrida”, explica. Además, introduce un elemento diferencial: la protección de entornos de inteligencia artificial, donde soluciones como Lakera permiten asegurar aplicaciones, usuarios y sistemas de IA sin penalizar el rendimiento.
Por su parte, Ángel Ortiz, de Cisco España, plantea una arquitectura basada en la plataforma Cisco Security Cloud, que integra seguridad y networking. “Nuestra propuesta combina autenticación adaptativa con Cisco Duo, control de acceso con Cisco ISE y una capa unificada en la nube con Cisco Secure Access, que integra ZTNA, CASB, SWG y Firewall-as-a-Service”, detalla. A ello se suman capacidades como SD-WAN, visibilidad end-to-end con ThousandEyes y herramientas específicas para gobernar el uso de la inteligencia artificial, configurando un enfoque integral y centralizado.
En el caso de Fortinet, Gorka Sainz, director de Ingeniería de Sistemas de Fortinet Iberia, explica que la arquitectura gira en torno a la plataforma Fortinet Security Fabric. “El núcleo es ZTNA, que permite verificar continuamente a usuarios y dispositivos antes de conceder acceso a aplicaciones concretas, aplicando el principio de mínimo privilegio”, afirma. Este enfoque se apoya en componentes como FortiGate, FortiClient y FortiAuthenticator, que trabajan de forma coordinada para validar identidad, postura de seguridad y actividad en tiempo real.
Desde una perspectiva corporativa, Daniel Largacha, de Mapfre, describe una arquitectura zero trust basada en la protección avanzada de identidades y dispositivos, junto con segmentación y seguridad en la nube. “Integramos capacidades como CASB, CSPM, SASE, UEBA y CWPP para aplicar políticas homogéneas y construir un modelo de acceso adaptativo”, explica. Todo ello se articula desde el SOC, donde la monitorización continua y el análisis de miles de millones de eventos diarios permiten tomar decisiones en tiempo real, apoyadas además por automatización.
En el ámbito de plataformas unificadas, Ignacio Franzoni, director de ingeniería de soluciones en Netskope, pone el foco en la consolidación. “Nuestra plataforma Netskope One integra CASB, SWG y ZTNA en un único entorno, gestionado desde un solo agente en el dispositivo del usuario”, afirma. Además, el tráfico se procesa a través de la red global NewEdge, lo que garantiza que la seguridad no afecte al rendimiento ni a la experiencia del usuario.
Ángel Serrano, de Palo Alto Networks, coincide en la importancia de la integración, pero añade el papel clave de la inteligencia artificial. “Nuestra arquitectura combina red, nube, operaciones de seguridad e identidad en una plataforma impulsada por IA”, explica. Soluciones como Prisma Access, Cortex Cloud o Cortex XDR permiten unificar la protección y automatizar la respuesta, mientras que nuevas capacidades se orientan a asegurar entornos de IA generativa y agentes autónomos.
Por su parte, Álvaro Fernández, de Sophos Iberia, propone una arquitectura centrada en la simplicidad y la sincronización que pueda eliminar los silos de seguridad. “Sophos Workspace Protection sustituye las VPN tradicionales conectando a los usuarios solo con las aplicaciones necesarias, mientras que Sophos Endpoint añade detección y respuesta avanzada”, indica. Todo ello se gestiona desde Sophos Central, una consola unificada que proporciona visibilidad completa.
En el ámbito de la protección del dato, Eutimio Fernández, de Thales Cybersecurity Products, destaca un enfoque basado en la criptografía. “Nuestra arquitectura se articula en torno a la protección de claves con HSM, el cifrado de datos en tránsito y en reposo, y plataformas como CipherTrust para gestionar y monitorizar accesos en tiempo real”, explica. Este modelo sitúa el dato en el centro de la estrategia Zero Trust.
Finalmente, Pablo Vera, vicepresidente regional de Iberia en Zscaler, pone el foco en la transformación del modelo tradicional. “Nuestra arquitectura Zero Trust Exchange conecta de forma segura a usuarios, dispositivos y aplicaciones sin exponer la red corporativa, permitiendo accesos directos basados en identidad, contexto y riesgo”, señala. Este enfoque elimina la superficie de ataque y evita movimientos laterales.
A esta visión se suma Gonzalo Echeverría, Country Manager de Zyxel Iberia, quien apuesta por una seguridad multicapa con gestión centralizada. “Los firewalls deben aplicar los principios de Zero Trust tanto dentro como fuera de la red, apoyados por inteligencia artificial que analice el tráfico y detecte amenazas en tiempo real”, concluye.
En suma, las propuestas planteadas reflejan una clara tendencia: arquitecturas integradas, basadas en la nube, con fuerte componente de automatización e inteligencia, capaces de aplicar de forma consistente los principios de Zero Trust en cualquier entorno.
Retos y errores más habituales
Los datos del Cisco Security Outcomes Report muestran que, aunque el 86,5% de las organizaciones ya han iniciado la adopción de una arquitectura Zero Trust, sólo el 2% han alcanzado la madurez en todos sus pilares. Esta brecha entre adopción e implementación es el reto más crítico del sector. Los expertos coinciden en que uno de los errores más comunes es abordar este modelo de forma parcial o incompleta, lo que genera una falsa sensación de seguridad.
Así opina Ángel Ortiz, de Cisco España, que advierte que muchas compañías limitan la arquitectura Zero Trust al acceso remoto, dejando fuera aspectos críticos como la segmentación de red, las aplicaciones legacy o los dispositivos no gestionados. Además, señala que mantener esquemas tradicionales como las VPN —donde se autentica una vez y se concede acceso amplio— perpetúa la confianza implícita y facilita el movimiento lateral de los atacantes. A esto se suma la falta de visibilidad granular sobre la actividad de los usuarios, lo que dificulta la detección temprana de amenazas. “Si la seguridad introduce demasiada fricción, los propios empleados pueden intentar eludir los controles”, asegura Ortiz.
En esta línea, Álvaro Fernández, de Sophos Iberia, subraya que los errores más frecuentes son estratégicos. “Adquirir una solución puntual creyendo que se ha completado la transformación genera una falsa sensación de protección”, explica. También advierte del riesgo de confiar únicamente en la autenticación inicial sin analizar la actividad posterior, así como el hecho de no integrar nuevos entornos como la inteligencia artificial dentro del modelo Zero Trust.
Eutimio Fernández, de Thales Cybersecurity Products, insiste en que muchas organizaciones consideran haber implementado una arquitectura Zero Trust cuando solo han desplegado autenticación multifactor. “Sin revisar privilegios, segmentar la red y proteger el dato, el modelo queda incompleto”, afirma. Además, alerta sobre la cesión del control de claves de cifrado a proveedores cloud, lo que compromete la soberanía del dato. Otro error habitual es tratar la arquitectura Zero Trust como un proyecto estático, cuando en realidad requiere revisión y adaptación continua.
Desde una perspectiva más operativa, Gorka Sainz, de Fortinet Iberia, señala que uno de los principales retos es encontrar el equilibrio entre seguridad y continuidad del negocio. También advierte del error de implementar tecnologías sin haber definido previamente una política clara de accesos y sin comprender los flujos reales del negocio, lo que suele derivar en infraestructuras complejas y poco efectivas. Para Pablo Vera, de Zscaler, “muchas organizaciones subestiman la magnitud del cambio, tratándolo como una solución aislada o intentando desplegarlo de una sola vez”. También señala la dependencia de infraestructuras heredadas y la falta de una gestión sólida de identidades como barreras clave.
Casos de despliegue con éxito de una arquitectura Zero Trust
Los casos de uso reales demuestran que una arquitectura Zero Trust no es solo un marco teórico, sino una estrategia con impacto directo en la seguridad, la operativa y la transformación digital.
Uno de los ejemplos más habituales lo explica Ignacio Franzoni, director de ingeniería de soluciones en Netskope, quien pone el foco en la gestión del acceso de terceros. “Un caso habitual es la fuga de datos por negligencia desde dispositivos externos”, explica. Tradicionalmente, a un proveedor o contratista se le concedía acceso mediante VPN, abriendo la red corporativa a equipos no gestionados. Con enfoques como Netskope Private Access o Enterprise Browser, el acceso se limita a la aplicación concreta, sin exponer la red. Además, se aplican políticas de prevención de pérdida de datos en tiempo real, permitiendo trabajar con la información sin posibilidad de descargarla o copiarla en dispositivos inseguros.
Desde una perspectiva más amplia, Ángel Serrano, de Palo Alto Networks, destaca varios casos internacionales que reflejan el impacto de Zero Trust a gran escala. Uno de ellos es el de un productor químico global que, en un contexto de crecimiento del trabajo remoto, pasó en pocas semanas de 20.000 a más de 70.000 usuarios conectados. Gracias a la adopción de este modelo, la compañía mejoró un 68% su visibilidad sobre la superficie de ataque y redujo en un 67% el número de proveedores, simplificando su ecosistema de seguridad.
Serrano también menciona el caso de NovaGroup, donde la implantación de una arquitectura Zero Trust permitió escalar rápidamente el acceso remoto seguro y lograr ahorros superiores al 50%, evidenciando que la seguridad puede ir de la mano de la eficiencia operativa. En el ámbito industrial, un fabricante global de bebidas consiguió resultados aún más contundentes: eliminar por completo los incidentes de ransomware —pasando de más de una decena anual a cero—, reducir un 75% los incidentes en endpoints y disminuir un 90% la complejidad operativa. Estos ejemplos ilustran cómo una arquitectura Zero Trust bien implementada puede transformar tanto la postura de seguridad como la gestión tecnológica.
Por su parte, Pablo Vera, vicepresidente regional de Iberia en Zscaler, subraya que muchas grandes organizaciones han sustituido infraestructuras tradicionales basadas en VPN y firewalls por una arquitectura Zero Trust nativas en la nube. Este cambio les ha permitido ofrecer acceso seguro a aplicaciones desde cualquier ubicación, mejorando la experiencia del usuario al reducir la latencia y simplificar los procesos de conexión.
Vera destaca casos en Europa como Siemens, Airbus, Novartis o MAN Energy Solutions, que han adoptado este enfoque para modernizar su seguridad, facilitar el trabajo distribuido y acelerar su transición hacia entornos cloud. En todos estos casos, una arquitectura Zero Trust no solo refuerza la protección frente a amenazas, sino que actúa como un habilitador clave de la transformación digital.
Evolución de Zero Trust con la llegada de la IA
La irrupción de la inteligencia artificial está marcando una nueva etapa en la evolución del modelo Zero Trust, ampliando tanto sus capacidades como su ámbito de aplicación. Los expertos coinciden en que la IA actúa como un catalizador que refuerza los principios del modelo, pero también introduce nuevos riesgos que obligan a adaptarlo.
Por un lado, varios especialistas destacan el papel de la IA como motor de una seguridad más inteligente y adaptativa. Gorka Sainz explica que la incorporación de IA permite analizar grandes volúmenes de telemetría de red y endpoints para detectar anomalías y ajustar políticas en tiempo real. En la misma línea, Pablo Vera subraya que estas capacidades permiten identificar comportamientos anómalos, mejorar la detección de amenazas y aplicar políticas dinámicas basadas en riesgo. Este enfoque supone un cambio clave: pasar de políticas estáticas a decisiones automatizadas y contextuales, donde cada interacción se valida de forma continua.
Desde un punto de vista operativo, Daniel Largacha coincide en que la IA potencia la capacidad de detección y respuesta. “Estamos desarrollando modelos analíticos que permiten ver donde antes no podíamos, reforzando la alerta temprana en un entorno donde las amenazas evolucionan rápidamente”, señala. Además, destaca el uso de IA para automatizar tareas operativas, reducir errores y acelerar la respuesta ante incidentes, configurando un modelo donde la tecnología escala la defensa mientras el factor humano mantiene el control estratégico.
Sin embargo, esta evolución también introduce nuevos vectores de riesgo. Eutimio Fernández advierte que la IA se ha convertido también en una herramienta ofensiva, capaz de generar identidades falsas, lanzar ataques de ingeniería social avanzados o desarrollar bots que aprenden y evolucionan. En este contexto, recalca que el principio de “nunca confiar, siempre verificar” es más relevante que nunca. Además, apunta a una tendencia emergente: extender la arquitectura Zero Trust más allá del acceso a la propia capa de aplicación, así como prepararse para futuras amenazas como la computación cuántica.
Por su parte, Ángel Ortiz pone el foco en un nuevo ámbito clave: la seguridad de los propios sistemas de inteligencia artificial. “Los principios de Zero Trust deben aplicarse también a los agentes de IA, con autenticación continua, mínimo privilegio y visibilidad sobre sus comunicaciones”, explica. Este enfoque busca controlar un entorno que hasta ahora resultaba opaco, como las interacciones entre modelos de lenguaje y los sistemas externos.
En definitiva, la llegada de la IA no sustituye a una arquitectura Zero Trust, sino que lo refuerza y lo expande. Las organizaciones deben no solo aplicar estos principios a usuarios y dispositivos, sino también a algoritmos, datos y agentes inteligentes, en un entorno donde la automatización y la verificación continua son más críticas que nunca.
