Modelo actualizado de confianza cero de CISA

Por Danny Bradbury • 12 Septiembre 2023

La confianza cero podría haber sido alguna vez sólo una palabra de moda entre los analistas, pero ahora cuenta con el sello oficial de aprobación del gobierno de Estados Unidos. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado la segunda versión de una guía para implementar este modelo de seguridad. Promete ser algo más que simples estanterías porque se ha ordenado a las agencias federales que adopten principios de confianza cero con plazos ajustados.

¿Qué es la confianza cero?

Si bien el término "confianza cero" ha recibido mucha prensa últimamente, los conceptos subyacentes están bien establecidos. La frase surgió por primera vez en el sector de TI fuera de los círculos especializados en 2010 como parte de un informe de Forrester Research. Sin embargo, las ideas que representa (la necesidad de verificar todo en un entorno poco confiable) se remontan a mucho antes.

El Foro Jericho del Open Group anunció la erosión del perímetro de la red tradicional en 2004, llamándolo desperimetrización. A medida que las empresas intercambiaban datos con socios comerciales y ubicaban más activos fuera de la red central de la empresa, se hacía más difícil confiar en quienquiera que intentara conectarse sin pensar. En lugar del antiguo modelo de ciudadela, donde la red tenía una pared exterior dura e impermeable, las infraestructuras de TI se habían convertido más en un conjunto de campamentos, cada uno de los cuales albergaba algunos activos y necesitaba su propia protección.

Esto cambió la forma en que los sistemas de TI autenticaban a las personas. En el pasado, si tenías las credenciales para acceder a la red, eras confiable y podías ir a cualquier parte. La confianza cero abandona esa idea. En cambio, no hay ninguna barrera que superar. Todas las puertas digitales del lugar están cerradas con candado y debes tener algún tipo de llave.

La Casa Blanca compra

El gobierno de Estados Unidos ha aceptado el concepto de confianza cero, defendiéndolo primero a través de Orden Ejecutiva 14028 en mayo de 2021. En enero siguiente siguió con mandatos de confianza cero. Estos vinieron en forma de Memorando de Seguridad Nacional 8 (NSM-8), que instruyó su uso en la comunidad de seguridad nacional, y el memorando MS-22-09 de la Oficina de Gestión y Presupuesto. Este último ordenó a las agencias federales que implementaran medidas de confianza cero para fines del próximo año.

CISA, la agencia del Departamento de Seguridad Nacional que se encarga del aspecto de ciberseguridad del esfuerzo de seguridad nacional, guía a las organizaciones federales y al sector privado en temas como este. Publicó diligentemente su modelo de madurez de confianza cero en septiembre de 2021, según lo dispuesto en la Orden Ejecutiva. Este documento tenía como objetivo ayudar a las agencias en la transición al nuevo modelo.

La Agencia publicó una actualización de esta guía en abril de este año luego de un período de consulta pública. El cambio más significativo en la segunda versión es la adición de otra etapa de madurez en el viaje de una organización hacia el nirvana de confianza cero.

Originalmente había tres etapas: Tradicional, Avanzada y Óptima. Lo tradicional era efectivamente lo de siempre, prácticamente sin ninguna implementación cohesiva de confianza cero.

Las empresas del nivel tradicional que habían realizado algún trabajo con confianza cero lo habían mantenido en un alcance limitado. El modelo de madurez describe cinco pilares para dividir el trabajo de implementar la confianza cero, indicando la amplitud del cambio requerido. Estos pilares son Identidad, Dispositivos, Redes, Aplicaciones y Cargas de Trabajo, y Datos. Las empresas del nivel tradicional se centraron en el trabajo de confianza cero a nivel de pilar en lugar de adoptar un enfoque más cohesivo.

El modelo de madurez describe tres capacidades "transversales" que se extienden a través de cada uno de estos pilares para ayudar a las agencias federales y las instituciones del sector privado a abordar las necesidades de confianza cero de manera más amplia. Estas tres áreas son Visibilidad y Análisis, Automatización y Orquestación, y Gobernanza.

Los comentarios sobre la primera versión de la guía argumentaban que el salto entre Tradicional y Avanzado era demasiado significativo. En cambio, pidieron una etapa adicional que uniera los dos. CISA respondió agregando una etapa Inicial después de la Tradicional. También ajustó el lenguaje para las otras etapas más avanzadas en los cinco pilares para acomodar el nivel de madurez adicional.

Las empresas en la etapa inicial apenas están comenzando a automatizar tareas como asignar atributos y configurar ciclos de vida, dice la guía revisada. En este punto, están empezando a familiarizarse con las decisiones políticas y su aplicación. Otras tareas que recién están en marcha cubren el concepto de privilegio mínimo y la obtención de alguna forma de visibilidad cohesiva en todos los sistemas internos.

Como era de esperar, la gente pidió un paso adicional en el proceso de madurez de confianza cero. Esta nueva mentalidad de ciberseguridad representa un cambio tan amplio en la forma en que manejamos el acceso y la autenticación empresarial que ningún proveedor o producto puede hacerlo todo. Es más una disciplina que una categoría de producto, e implica cambios en toda la infraestructura y actualizaciones significativas de las políticas. Para muchas organizaciones, será un proceso lento, más parecido a encender mil velas que a accionar un solo interruptor, y este paso adicional les brinda un punto de partida más sencillo. Hacer que la rampa de acceso sea un poco menos profunda será un cambio bienvenido en la hoja de ruta para muchos.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury