Auditoría de TI · Nivel Avanzado · Ciberseguridad
Las organizaciones están abandonando el modelo perimetral. El auditor que no entienda qué es Zero Trust no podrá evaluar si se está implementando bien — ni detectar cuándo es solo una etiqueta de marketing sobre controles obsoletos.
Durante décadas, la seguridad de la información funcionó bajo una premisa simple: todo lo que estuviera dentro de la red corporativa era confiable, y todo lo que estuviera fuera era una amenaza. Era el modelo del castillo y el foso. El firewall era el puente levadizo. Si lograbas cruzarlo, tenías acceso a casi todo.
Ese modelo está roto. El teletrabajo lo fragmentó. La nube lo disolvió. El ransomware demostró que el atacante más peligroso no entra por la ventana: entra por la puerta principal, con credenciales válidas robadas a un empleado. Y una vez adentro, se mueve lateralmente durante meses sin que nadie lo detecte.
Zero Trust es la respuesta arquitectónica a ese problema. Su principio es tan simple como radical: no confíes en nadie por defecto — ni dentro ni fuera de la red. Verifica siempre. Limita siempre. Monitorea siempre.
"Zero Trust no es un producto que se compra. Es una forma de diseñar, operar y auditar la seguridad de una organización. Por eso el auditor no puede ignorarlo."
Por qué Zero Trust es un tema de auditoría, no solo de TI
El auditor tiene tres razones concretas para entender Zero Trust:
| Reguladores y marcos normativos lo exigen | NIST SP 800-207 (2020), la directiva ejecutiva de la Casa Blanca sobre ciberseguridad (EO 14028) y el modelo de madurez Zero Trust de CISA ya son referencias auditables. En LATAM, reguladores financieros y de salud empiezan a citarlos en sus circulares. |
| Las organizaciones lo declaran sin implementarlo | Muchos CISO presentan "estrategias Zero Trust" al directorio. El auditor debe poder distinguir si hay una arquitectura real detrás de esa declaración o si es solo una narrativa sobre herramientas ya existentes renombradas. |
| El modelo perimetral genera hallazgos que Zero Trust elimina | Accesos sin MFA, movimiento lateral sin detección, confianza implícita en credenciales internas — todos son síntomas de un modelo perimetral roto. El auditor que entiende Zero Trust puede contextualizarlos dentro de una arquitectura de seguridad más amplia. |
Los 3 principios que definen Zero Trust
Zero Trust no es una tecnología específica. Es un conjunto de principios de diseño. El NIST los resume en tres mandatos fundamentales que el auditor debe conocer y poder verificar:
Principio 1 — Verificación explícita
Nunca se asume que alguien es quien dice ser. Cada solicitud de acceso — sin importar si viene de dentro o fuera de la red — debe ser verificada usando múltiples señales: identidad del usuario, dispositivo, ubicación, hora, comportamiento previo y sensibilidad del recurso solicitado.
Qué audita el auditor: ¿El sistema de autenticación evalúa múltiples factores de contexto en cada acceso o solo valida usuario y contraseña una vez?
Principio 2 — Acceso de mínimo privilegio
Cada usuario, dispositivo o aplicación recibe únicamente el acceso mínimo necesario para completar su tarea, durante el tiempo estrictamente necesario. El acceso amplio y permanente desaparece. El acceso se concede, se usa y se revoca. Nada permanece abierto por defecto.
Qué audita el auditor: ¿Los accesos son granulares y temporales, o siguen siendo amplios y permanentes con revisión anual?
Principio 3 — Asumir la brecha
Zero Trust parte de la premisa de que el atacante ya está dentro. Por eso, diseña controles para minimizar el radio de impacto cuando ocurre una brecha: micro-segmentación de la red, cifrado de todo el tráfico, monitoreo continuo y capacidad de contención rápida sin detener toda la operación.
Qué audita el auditor: ¿Un atacante que compromete una credencial interna puede moverse libremente por la red, o hay micro-segmentación que lo contiene?
Modelo perimetral vs. Zero Trust: la diferencia que el auditor debe reconocer
| Dimensión | Modelo perimetral (legacy) | Zero Trust |
| Premisa central | "Si estás dentro de la red, eres de confianza" | "No confío en nadie. Verifico todo, siempre" |
| Dónde está el control | En el borde de la red (firewall, VPN) | En cada recurso, usuario y dispositivo |
| Autenticación | Una vez al ingresar a la red, luego acceso libre | Continua, contextual y por recurso |
| Movimiento lateral | Posible y frecuente una vez dentro | Bloqueado por micro-segmentación |
| Acceso remoto | VPN da acceso amplio a la red completa | Acceso solo al recurso específico requerido |
| Monitoreo | En el perímetro, no dentro de la red | Continuo en cada sesión, dispositivo y flujo |
| Radio de impacto de una brecha | Alto: una credencial comprometida puede dar acceso a toda la red | Contenido: la brecha queda limitada al segmento afectado |
Los 5 pilares auditables de una arquitectura Zero Trust
El modelo de madurez Zero Trust de CISA organiza la arquitectura en cinco pilares. Cada uno tiene controles auditables concretos que el auditor puede evaluar sin necesidad de conocimiento técnico profundo:
| PILAR 1 Identidad |
La identidad es el nuevo perímetro. Cada usuario debe ser autenticado de forma continua y contextual. Qué auditar: MFA obligatorio para todos los usuarios — especialmente los privilegiados —, gestión de identidades centralizada, revisión periódica de accesos y detección de comportamientos anómalos (inicio de sesión desde ubicaciones inusuales, horarios atípicos, volúmenes de descarga extraordinarios). |
| PILAR 2 Dispositivos |
No solo el usuario debe ser verificado: el dispositivo desde el que accede también. Un usuario legítimo en un equipo comprometido es una brecha. Qué auditar: inventario completo de dispositivos (MDM), validación del estado del dispositivo antes de conceder acceso (parches al día, cifrado activo, antimalware actualizado), política de dispositivos personales (BYOD) con controles equivalentes. |
| PILAR 3 Redes y entornos |
La red ya no es el perímetro de confianza: es el medio de transporte. Qué auditar: micro-segmentación de la red (los sistemas críticos están aislados entre sí), cifrado del tráfico interno (no solo del externo), eliminación progresiva de la VPN como mecanismo de acceso amplio, y separación de entornos de desarrollo, pruebas y producción. |
| PILAR 4 Aplicaciones y cargas de trabajo |
Cada aplicación debe verificar de forma independiente quién accede y qué puede hacer. Qué auditar: autenticación a nivel de aplicación (no solo de red), control de acceso basado en roles y atributos (RBAC/ABAC), gestión segura de APIs y tokens de acceso, y revisión de permisos entre aplicaciones (acceso de sistema a sistema sin intervención humana). |
| PILAR 5 Datos |
El dato es el activo que se protege. Todo lo anterior existe para que el dato correcto llegue a la persona correcta en el momento correcto y de ninguna otra manera. Qué auditar: clasificación de datos por sensibilidad, cifrado en reposo y en tránsito, controles de prevención de pérdida de datos (DLP), trazabilidad de acceso a información sensible y política de retención y eliminación segura. |
Caso real — Por qué el modelo perimetral ya no alcanza
Una entidad del sector salud en LATAM implementó VPN como única medida de acceso remoto para sus 600 empleados durante la pandemia. Ningún control adicional. Quien tenía VPN, tenía acceso a la red completa — incluyendo el sistema de historia clínica, el servidor de nómina y las bases de datos financieras.
Un atacante comprometió las credenciales de un auxiliar administrativo mediante phishing. En 4 horas de movimiento lateral sin detección llegó al servidor de historia clínica. En 6 horas exportó 47,000 registros de pacientes. La red entera estaba plana: sin micro-segmentación, sin monitoreo interno, sin alertas de comportamiento anómalo.
Con una arquitectura Zero Trust básica: el movimiento lateral habría sido bloqueado en el primer segmento. El auxiliar administrativo no habría tenido acceso a historia clínica. La brecha habría quedado contenida.
Cómo evalúa el auditor una implementación Zero Trust
El auditor no evalúa tecnología: evalúa el grado de madurez de los controles respecto a los principios Zero Trust. El CISA Maturity Model define cuatro niveles progresivos — Tradicional, Inicial, Avanzado y Óptimo — que permiten ubicar a la organización sin necesidad de conocimiento técnico profundo.
En la práctica, el auditor debe hacerle al CISO o al responsable de TI las siguientes preguntas estructuradas:
| # | Pregunta al responsable de seguridad | Señal de alerta si la respuesta es... |
| 1 | ¿Qué le impide a un atacante que comprometa una credencial de nivel medio moverse hacia sistemas críticos? | "El firewall" o "la VPN" — ambas son controles perimetrales, no internos. |
| 2 | ¿Qué sucede técnicamente cuando un empleado accede a un sistema crítico desde un café con wifi público? | "Lo mismo de siempre, solo que con VPN" — la VPN como único control es insuficiente. |
| 3 | Si mañana un empleado intenta descargar 10,000 registros de clientes a las 2 AM desde Polonia, ¿qué pasa? | "Lo sabríamos si alguien lo reporta" — ausencia de monitoreo continuo y detección automática. |
| 4 | ¿El tráfico entre sistemas internos está cifrado, o solo el tráfico que sale a internet? | "Solo el tráfico externo" — el tráfico interno sin cifrar es observable para quien esté dentro de la red. |
| 5 | ¿Cuál es el nivel de madurez Zero Trust actual según el modelo CISA, y qué está haciendo para avanzar al siguiente nivel? | "No lo hemos medido" o "Zero Trust no aplica para nosotros" — ausencia de hoja de ruta estructurada. |
Lo que el auditor debe documentar en su informe
|
01 El nivel de madurez Zero Trust actual de la organización por pilar (Tradicional / Inicial / Avanzado / Óptimo) |
02 Las brechas más críticas: qué principio Zero Trust no se cumple y cuál es el riesgo asociado |
|
03 Si existe una hoja de ruta Zero Trust formal con responsables, plazos y métricas de avance definidas |
04 Si la declaración "somos Zero Trust" del CISO está respaldada por evidencia técnica o es solo una narrativa |
|
05 Si el Comité de Auditoría o la Junta Directiva ha aprobado formalmente la estrategia Zero Trust y le ha asignado presupuesto |
|
Lo que el auditor debe recordar
Zero Trust no es una meta que se alcanza: es una dirección de viaje. Ninguna organización nace Zero Trust y muy pocas llegan al nivel óptimo en todos los pilares. Lo que el auditor evalúa no es si la organización es "Zero Trust" o no, sino si está moviéndose en la dirección correcta con controles verificables, una hoja de ruta concreta y el gobierno adecuado.
El auditor que entiende esto puede tener conversaciones estratégicas con el CISO, puede contextualizar los hallazgos de seguridad dentro de una arquitectura más amplia y puede agregar valor real al Comité de Auditoría más allá de señalar vulnerabilidades individuales.
"El auditor que domina Zero Trust no le dice a la dirección qué sistemas están vulnerables. Le dice si la organización está construida para sobrevivir cuando el atacante ya está adentro."
Marcos de referencia aplicables
|
NIST SP 800-207 Definición formal y arquitectura de referencia Zero Trust |
CISA ZT Maturity Model Modelo de madurez en 5 pilares con 4 niveles de evaluación |
ISO/IEC 27001:2022 Controles A.5.15 a A.8.5 aplicables a identidad y acceso |
NIST CSF 2.0 Función PR.AA (Gestión de identidades y accesos) y DE.CM |
Herramienta relacionada · Disponible para suscriptores Auditool
Checklist del Auditor — Control de Accesos
El punto de partida práctico para evaluar los controles de acceso
antes de abordar una arquitectura Zero Trust completa.
Acceso inmediato · Excel compatible · Sin costo adicional con tu suscripción Auditool
© Auditool.org · Todos los derechos reservados · Referencias: NIST SP 800-207, CISA Zero Trust Maturity Model, ISO/IEC 27001:2022, NIST CSF 2.0 · Contenido de uso exclusivo para suscriptores.
Y luego Agregar a la pantalla de inicio.
Escribir un comentario