Arturo Navarro

Español

English

Español

English

Tema

Zero Trust no es un producto, es una mentalidad

Zero Trust

10 mayo 2026 · 6 min de lectura

El problema con la narrativa del mercado

Cada fabricante de seguridad del mercado tiene ahora un "producto Zero Trust". Firewalls Zero Trust, VPNs Zero Trust, endpoints Zero Trust. La industria ha convertido un principio arquitectónico en un checkbox de marketing.

Después de implementar arquitecturas Zero Trust reales — con overlay networks, identidad criptográfica, y políticas de acceso granulares — puedo afirmar que Zero Trust no se compra, se construye.

Los tres pilares que realmente importan

1. Nunca confíes, siempre verifica

Este principio suena obvio, pero su implementación es todo menos trivial. Significa que cada servicio, cada microservicio, cada conexión debe autenticarse y autorizarse de forma independiente. No basta con un firewall perimetral.

En la práctica, esto requiere:

  • Identidad criptográfica para cada workload (SPIFFE/SPIRE, mTLS)
  • Políticas de acceso basadas en atributos, no en redes
  • Verificación continua, no solo en el punto de entrada

2. Acceso de mínimo privilegio

El principio de mínimo privilegio se aplica a todo: usuarios, servicios, APIs, y datos. Cada entidad solo debe tener acceso a lo estrictamente necesario para su función.

Con BlueUP, implementamos esto mediante:

  • NKeys Ed25519 para autenticación de servicios en NATS
  • Tokens Biscuit con atenuación: cada token puede ser restringido por el receptor
  • Dark Services en overlay networks: los servicios no tienen presencia en la red pública

3. Asumir la brecha

El diseño Zero Trust asume que el atacante ya está dentro. Esto cambia fundamentalmente la arquitectura:

  • Microsegmentación de servicios
  • Encriptación end-to-end entre todos los componentes
  • Detección lateral: monitorización del tráfico este-oeste, no solo norte-sur

Lecciones del mundo real

Realidad incómoda

El mayor obstáculo para implementar Zero Trust no es la tecnología — es la cultura organizacional. Los equipos que llevan años operando con VPNs y firewalls perimetrales necesitan un cambio de mentalidad profundo.

Lo que funciona:

  • Empezar con un caso de uso concreto, no con toda la organización
  • Demostrar valor rápido con un proyecto piloto
  • Medir la reducción de superficie de ataque en términos cuantificables

Lo que no funciona:

  • Comprar un "producto Zero Trust" y esperar que resuelva todo
  • Implementar Zero Trust sin resolver primero la gestión de identidades
  • Ignorar la experiencia de usuario — si Zero Trust hace que el trabajo sea más difícil, la gente buscará atajos

El futuro es la identidad

Zero Trust converge inevitablemente con la identidad digital soberana. Cuando cada workload, cada usuario, y cada dispositivo tiene una identidad criptográfica verificable, las redes se vuelven irrelevantes como perímetro de seguridad.

Esta es la tesis detrás de proyectos como BlueUP Connect y OpenZiti — redes overlay donde la identidad es el perímetro.

¿Implementando Zero Trust en tu organización? Hablemos: arturo@navarro-bores.com.

Cybersecurity · Technology · Leadership

© 2026 Arturo Navarro de la Cruz. All rights reserved.