WHITE PAPER

Implementación de un modelo
de seguridad Zero Trust en el
entorno hostil actual
Implementación de un modelo de seguridad Zero Trust en el entorno hostil actual 2

Resumen ejecutivo
Empresas de todo tipo persiguen la transformación digital, con el objetivo de aumentar el valor ofrecido al
cliente, operar con mayor eficiencia y agilidad, y fomentar la innovación. Sin embargo, aunque las empresas
empiezan a utilizar los nuevos flujos de trabajo en la nube y de DevOps para desarrollar su negocio digital,
la seguridad no ha evolucionado al mismo ritmo. La proliferación de aplicaciones en la nube y un conjunto
de trabajadores cada vez más móvil han reducido considerablemente la eficacia del perímetro de red. Las
aplicaciones, los datos, los usuarios y los dispositivos están saliendo de la zona de control de la empresa, lo
que aumenta significativamente la superficie de ataque. A medida que la infraestructura se vuelve cada vez
más permeable para implantar nuevos modelos de negocio, los ciberdelincuentes son cada vez más hábiles
y sofisticados, y están más motivados para hallar formas de sortear las medidas de seguridad. La seguridad
perimetral tradicional en ningún caso se diseñó para la realidad actual.

Ante la proliferación de ciberataques y las consiguientes filtraciones asociadas, ¿cómo pueden protegerse
las empresas? En este white paper se describe un paradigma de seguridad para el entorno hostil actual: Zero
Trust. En este modelo, no se confía nunca en los usuarios y dispositivos, y se presupone que el entorno es
hostil. Zero Trust pone de relieve que, en cuestiones de confianza, no se debe hacer distinción entre las redes
internas y externas. Con este modelo, se verifican siempre todos los dispositivos y solicitudes de acceso con
registros completos y análisis de comportamiento. Además, en este documento se abordan las razones por
las que el personal de TI debería plantearse la adopción de servicios en la nube y dejar a un lado la seguridad
perimetral.

La transformación digital es omnipresente

En la actualidad, la mayoría de los sectores han presenciado una importante
transformación digital. Y la tendencia va en aumento. Según IDC Research, la
inversión global en transformación digital alcanzará los 2,2 billones de dólares en IDC Research prevé que
2019, un aumento casi del 60 % desde 2016.1 la inversión global en
transformación digital
Las empresas están aprovechando las arquitecturas de nube y red avanzadas para alcanzará los 2,2 billones
ofrecer más valor a los clientes, además de aumentar la eficiencia operativa, la de dólares en 2019.1
agilidad y la innovación. La transformación digital beneficia a los consumidores,
ya que permite a las empresas ofrecer productos digitales, mejores servicios,
interacciones personalizadas y una experiencia de cliente excepcional. Los
empleados aprovechan las tecnologías digitales para comunicarse fácilmente
y colaborar online, con lo que se consigue mejorar la productividad y la moral.

El perímetro de confianza ha dejado de existir

A pesar de todas las ventajas que los servicios digitales aportan, las empresas
ven cómo su superficie de ataque aumenta en un panorama de amenazas cada
vez más hostil. Por este motivo, necesitan replantearse los fundamentos básicos 41 %
de la seguridad perimetral y la forma de proteger sus aplicaciones esenciales, DE CARGAS DE TRABAJO
datos y usuarios. EN LA NUBE PÚBLICA2

+18,5 %
La transformación digital genera un profundo impacto tanto en la manera en
que las empresas distribuyen soluciones de TI como en su exposición a las
amenazas. Tradicionalmente, los usuarios han interactuado con aplicaciones EL MERCADO GLOBAL DE SERVICIOS EN LA
NUBE PÚBLICA AUMENTÓ EN UN 18,5 % EN
de manera fiable a través de redes de área local (LAN) privadas, redes de área 2017 A UN TOTAL DE 260 200 MILLONES DE
extensa (WAN) o redes privadas virtuales (VPN). Las empresas adoptaron la DÓLARES, FRENTE A LOS 219 600 MILLONES
seguridad perimetral, con el uso de firewalls, VPN y controles de acceso a la red DE 2016.3
(NAC), para mantener a los ciberdelincuentes lejos de las redes internas. Una vez
en la red, los usuarios gozaban de una confianza implícita para moverse por ella. 411 400 $ millones
A medida que las empresas experimentan la transformación digital, las reglas GARTNER PREVÉ QUE ESTE MERCADO ALCANCE
LOS 411 400 MILLONES DE DÓLARES EN 2020.4
del juego cambian. Cada vez son más las aplicaciones que residen en la nube,
Implementación de un modelo de seguridad Zero Trust en el entorno hostil actual 3

fuera de la zona de control tradicional del personal de TI. Los participantes de un estudio realizado por RightScale
afirmaron ejecutar el 41 % de sus cargas de trabajo en la nube pública.2 El mercado global de servicios en la nube pública
aumentó en un 18,5 % en 2017 hasta llegar a un total de 260 200 millones de dólares, frente a los 219 600 millones de
2016.3 Gartner prevé que este mercado alcance los 411 400 millones de dólares en 2020.4

Los empleados ya no se conectan principalmente desde dentro de las cuatro paredes de una oficina. Muchos de ellos
suelen conectarse mientras están de viaje o acostumbran a trabajar de forma remota, se mueven por todo el mundo
y se conectan a redes que no están bien protegidas. El estudio global sobre teletrabajo de PGI ha revelado que el 79 %
de los trabajadores del conocimiento de todo el mundo son teletrabajadores.5

Además, la idea de que un negocio digital solo emplee a trabajadores a tiempo completo es obsoleta. La mayoría de
las empresas dependen de proveedores, distribuidores, colaboradores y partners, los cuales necesitan acceder a ciertas
aplicaciones empresariales para llevar a cabo su trabajo. No es de extrañar que cualquier acceso de terceros aumente el
riesgo de que la información esencial de la empresa caiga en malas manos. Además, con la proliferación de políticas de
tipo BYOD (“traiga su propio dispositivo”), el personal de TI tiene menos control sobre los dispositivos que los usuarios
utilizan para acceder a las aplicaciones y los datos corporativos.

Por otro lado, los ciberdelincuentes saben sortear el firewall

cada vez mejor. Algunos entran con credenciales de usuario
SEGÚN IDC RESEARCH, EL 57 % DE LOS
de confianza; otros, mediante enlaces o archivos adjuntos
maliciosos. Symantec Research puso de manifiesto que
57 %
ENCUESTADOS PIENSA QUE SU EMPRESA
la tasa de malware de correo electrónico ha aumentado ES VULNERABLE A UN ACCESO REMOTO
considerablemente: de 1 de 220 mensajes enviados con
malware en 2015 a 1 de 131 mensajes en 2016.6 Es más,
NO AUTORIZADO.
una vez que los atacantes consiguen entrar en una red,
no se detectan durante un promedio global de 146 días.7
Según IDC Research, el 57 % de los encuestados considera
a su empresa vulnerable a un acceso remoto no autorizado,
mientras que el 76 % prevé un aumento del acceso remoto  % EL 76 % DE LOS ENCUESTADOS ESPERA
en los próximos dos años.8 Las pérdidas derivadas del acceso 76 UN AUMENTO DEL ACCESO REMOTO EN
remoto no autorizado son elevadas. De media, las empresas LOS PRÓXIMOS DOS AÑOS.8
planean dedicar 6,5 millones de dólares a esta causa.9

La seguridad perimetral tradicional

es insuficiente
A medida que aumenta el número de aplicaciones, datos, dispositivos y usuarios corporativos que salen del perímetro,
y de ciberamenazas que entran en él, la seguridad perimetral tradicional deja de ser suficiente.

Durante mucho tiempo, las empresas han protegido las redes empresariales con distintos perímetros, o DMZ, que
incluyen dispositivos de control de acceso (dispositivos VPN, proveedores de identidad, autenticación de inicio de
sesión único y multifactorial, cliente-servidor), seguridad (firewalls de aplicaciones web, prevención de pérdida de datos,
firewalls de última generación, puertas de enlace web seguras) y distribución y rendimiento de aplicaciones (optimización
y equilibrio de carga). Sin embargo, estas arquitecturas perimetrales no se concibieron para optimizar la experiencia
de los usuarios que acceden a las aplicaciones desde una gran variedad de ubicaciones. Tampoco se diseñaron para el
software como servicio (SaaS) o las aplicaciones alojadas en la nube. Para abordar esto, los departamentos de TI tienen
que repetir estas pilas con frecuencia para garantizar la redundancia y alta disponibilidad en distintas regiones y centros
de datos, según sea necesario, lo que aumenta el coste y la complejidad.

Conforme las aplicaciones migran a la nube, las empresas ya no tienen el mismo control: la seguridad de red tradicional
basada en paquetes, puertos y protocolos no funciona cuando las empresas no gestionan la totalidad del entorno de
aplicaciones y la red.

En un futuro inmediato, las empresas seguirán ejecutando aplicaciones tanto in situ como en la nube. Deberán utilizar un
conjunto de soluciones de control de acceso y seguridad que posiblemente no funcionen bien entre sí, y no dispondrán
de un lugar para gestionar y controlar de forma centralizada estas tecnologías. Los sistemas fragmentados conllevan un
mayor riesgo y una visibilidad reducida.

Por si esto fuera poco, la seguridad perimetral subyacente y local (los muros de protección) se ha quedado obsoleta.
Los delincuentes suelen acceder a redes empresariales mediante nombres de usuario y contraseñas legítimos, o bien
Implementación de un modelo de seguridad Zero Trust en el entorno hostil actual 4

mediante la instalación de malware que busca los puntos

débiles de las soluciones de seguridad existentes. Un
informe reciente reveló que el 91 % de los ciberataques
comienzan con una técnica de phishing concebida para
91 % UN INFORME RECIENTE REVELÓ QUE EL 91 %
DE LOS CIBERATAQUES COMIENZAN CON UNA
robar credenciales de usuario auténticas.10 Las soluciones
perimetrales no hacen nada para proteger los datos y TÉCNICA DE PHISHING CONCEBIDA PARA ROBAR
aplicaciones empresariales de los ataques que se originan CREDENCIALES DE USUARIO AUTÉNTICAS.10
en el interior del perímetro.

La nueva era de Zero Trust

Con la seguridad perimetral tradicional ya agonizante, ¿qué deben hacer las organizaciones para proteger las
aplicaciones, los datos y al personal ante el aumento de amenazas de ciberseguridad de gran repercusión? La respuesta
está en la implementación de un modelo de seguridad Zero Trust que cambie el mantra tan común de "confiar, pero
verificar" a "nunca confiar, siempre combrobar".

Originalmente promovido por Forrester Research, un modelo de seguridad Zero Trust asume que nada queda dentro y
que ningún dispositivo es de confianza. Trata a todas las aplicaciones como si se enfrentara a Internet, y considera que
toda la red está en riesgo y es hostil. Entre los componentes básicos del modelo Zero Trust, se incluyen:

• Garantizar que el acceso a todos los recursos sea seguro, independientemente de la ubicación o el modelo
de alojamiento.

• Adoptar una estrategia de "privilegios mínimos" y aplicar estrictamente el control de acceso para limitar los
riesgos asociados al exceso de privilegios de usuario.

• Inspeccionar y registrar todo el tráfico en busca de actividades sospechosas para mejorar la detección
y respuesta de seguridad.

Larga vida a la nube

A medida que los usuarios, los dispositivos, los datos y las aplicaciones evolucionan, las capacidades para implementar
el enfoque Zero Trust deben existir en la nube y utilizar Internet como red principal. En lugar de utilizar firewalls que
bloquean IP y puertos, la seguridad basada en la nube debe centrarse en la capa de aplicación y los protocolos de nivel
superior. El uso de controles de seguridad basada en la nube debería ofrecer a las empresas la capacidad de cerrar sus
firewalls y ocultar sus aplicaciones del resto de usuarios de Internet. De esta forma, son los servicios de autenticación
y autorización los que controlan el acceso de los dispositivos gestionados y no gestionados a las aplicaciones,
independientemente de que sean locales, se ejecuten en una plataforma de infraestructura como servicio (IaaS),
como Amazon Web Services, o sean aplicaciones SaaS.

Los controles de seguridad basada en la nube deben

verificar que todas las solicitudes de DNS salientes
proceden de dispositivos de la empresa, como portátiles
y dispositivos del Internet de las cosas (IoT), a fin
de garantizar que no se dirigen a sitios maliciosos o
inapropiados. La solución también debe supervisar y
analizar el comportamiento del tráfico en busca de signos
de actividades sospechosas, tales como la comunicación
con un servidor de mando y control (CnC) o la exfiltración
de datos, y alertar inmediatamente al personal de TI de
cualquier problema.

La implementación del modelo Zero Trust a través de

la nube resuelve la mayoría de los retos que plantea
una seguridad de red perimetral obsoleta. Garantiza
que los usuarios autenticados tengan acceso autorizado
únicamente a las aplicaciones permitidas. Evita también que los dispositivos infectados accedan a sitios web maliciosos
o inapropiados, o que se conecten a infraestructuras de CnC maliciosas que puedan tomar el control de los ordenadores
de los usuarios y sustraer datos. Además, puede bloquear el malware para que este no se desplace lateralmente por
la red.

Uso de Zero Trust con la nube

Las empresas pueden reducir su superficie de ataque mediante el uso de un servicio en la nube para implementar
un modelo de seguridad Zero Trust mientras disfrutan de las ventajas en lo relativo a agilidad, alcance y costes que
ofrece Internet.
Implementación de un modelo de seguridad Zero Trust en el entorno hostil actual 5

Acceso protegido
Las empresas que experimentan una transformación digital
tienen la necesidad de proporcionar a los empleados, Aplic. SaaS
proveedores, consultores y otros partners un acceso Aplic. 5
rápido, fácil y seguro a las aplicaciones alojadas detrás del
firewall desde cualquier dispositivo y en cualquier parte en
EMPRESA
el mundo. Las tecnologías de acceso tradicionales suelen Aplic. 1
utilizar una gran variedad de dispositivos de hardware y Aplic. 2
software para dar acceso a la red a cualquier usuario que SOLUCIÓN EN LA NUBE Aplic. 3
emplee las credenciales adecuadas. Sin embargo, los Aplic. 4
estudios han demostrado que la mayoría de las filtraciones
son producto del robo o uso inadecuado de credenciales
de usuario válidas. Un modelo de seguridad Zero Trust www
asume que todos los usuarios presentan riesgo y no deben
ser de confianza.

El uso de la nube como una extensión de su infraestructura permite un acceso Zero Trust, al proporcionar la entrada solo
a las aplicaciones que los usuarios necesitan, y no a toda la red. Este principio de privilegios mínimos se aplica a todos los
dispositivos y aplicaciones en cualquier parte del mundo.

La seguridad basada en la nube no permite el acceso directo a las aplicaciones, ya que estas permanecen ocultas a
Internet y al público en general. La nube no solo se centra en la ruta de autenticación y autorización, sino también
directamente en la ruta de los datos del usuario, y es el único punto de entrada para que los usuarios obtengan acceso
a los recursos esenciales de la empresa. El servicio en la nube ofrece una conexión TLS segura de autenticación mutua
desde el interior de la red corporativa o IaaS y distribuye la aplicación al usuario. Los proxies seguros aplican estrictos
controles de seguridad y autenticación. Estas capacidades aíslan las redes internas y aplicaciones IaaS de Internet y
trasladan la superficie de ataque al perímetro.

Autenticación
Para proporcionar a los usuarios un acceso seguro a aplicaciones y datos de gran valor, la seguridad basada en la nube
debe integrarse con los servicios de autenticación existentes (por ejemplo: Okta o Microsoft Active Directory), o bien
proporcionar sus propias soluciones de autenticación con características de seguridad avanzadas, como la autenticación
bifactorial o multifactorial. La solicitud de autenticación tanto para el dispositivo como para el usuario incrementa la
seguridad, ya que un atacante debe robar al menos dos identidades para obtener acceso a los recursos, lo que supone
una mejora significativa en comparación con los enfoques tradicionales.

La nube debe aumentar la seguridad mediante la autenticación de los usuarios fuera de la infraestructura de estos sin
necesidad de utilizar hardware ni software adicional.

Autorización
Mediante la adopción de una estrategia de acceso de privilegios mínimos y la aplicación estricta de controles de
acceso, las organizaciones reducen las vías disponibles para que los ciberdelincuentes y el malware obtengan un acceso
no autorizado. Una solución en la nube puede ser de ayuda, al proporcionar explícitamente acceso específico a las
aplicaciones en lugar de aplicar privilegios globales. Las organizaciones pueden definir políticas de seguridad para
todos los usuarios, dispositivos, aplicaciones y datos.

Defensas de seguridad por capas

Aunque una red Zero Trust controla de manera estricta el acceso a todos los
recursos de la red, las aplicaciones también son un blanco de los ataques
distribuidos de denegación de servicio (DDoS), inyecciones de lenguaje de
consulta estructurado (SQLi) y ataques a la capa de aplicación, entre otros. La
seguridad basada en la nube debe ofrecer nuevas capas de defensa que le
ayuden a protegerse contra estos ataques. Una protección DDoS garantiza la
seguridad ante los ataques que saturan las aplicaciones o los sitios objetivo con
solicitudes superfluas con el fin de sobrecargar los sistemas y poner en riesgo
el acceso de los usuarios legítimos a la aplicación. La seguridad en la capa de
aplicación ofrece protección contra ataques, como SQLi, que manipulan, dañan
o eliminan datos. Estas soluciones también protegen contra la técnica habitual
de usar los ataques DDoS como una maniobra de distracción; los delincuentes
difunden un ataque DDoS a la vez que atacan la capa de aplicación con SQLi
o scripts entre sitios (XSS).
Implementación de un modelo de seguridad Zero Trust en el entorno hostil actual 6

Inspección de todo el tráfico basada en proxy

Si bien los controles de acceso protegen las aplicaciones conocidas, muchos empleados y partners utilizan aplicaciones
basadas en Internet, como Google o Trello. Estas aplicaciones pueden impulsar la productividad del personal, pero
los sitios web también pueden alojar malware malintencionado o contenido inapropiado, como de incitación al odio
o pornografía. Además, los ataques de phishing, que utilizan enlaces a dominios maliciosos, van en aumento y son
una fuente de ataques de malware. Aunque la mayoría de las empresas ya cuentan con varias capas de protección,
la exfiltración de datos basada en DNS sigue siendo una importante brecha de seguridad para casi todas.

En lugar de resolver todas las solicitudes de DNS sin más, las empresas necesitan emplear controles de seguridad basada
en la nube para aplicar eficazmente inteligencia en tiempo real y ofrecer protección proactiva contra las amenazas en
constante evolución. Los servicios de seguridad basada en la nube deben ser capaces de actuar como un servidor rDNS,
comparar los nombres de dominio con una lista completa y actualizada de dominios maliciosos conocidos, aplicar su
inteligencia y administrar políticas que impidan que se procesen las consultas relativas a dominios maliciosos o con
contenido inapropiado. Dado que esta validación tiene lugar antes de que se establezca la conexión IP, las amenazas
se pueden detener en las primeras fases de la intrusión.

La importancia del modelo Zero Trust aumenta de forma exponencial a medida que las empresas incorporan el uso de
dispositivos de IoT. Por ejemplo, puede que el personal de TI no tenga constancia de que un televisor conectado en una
sala de conferencias está enviando solicitudes a dominios maliciosos en Internet, una acción que podría considerarse un
indicio potencial de riesgo.

Inteligencia ante amenazas activas

"Verificar siempre" implica la necesidad de supervisar e inspeccionar continuamente la actividad del tráfico. El modelo
Zero Trust asume que incluso el tráfico que se origina en la LAN es sospechoso y, por lo tanto, se debe analizar y registrar
como si procediera de Internet. El análisis de comportamiento identifica patrones de tráfico sospechosos, como los que
indican la comunicación con un servidor de CnC o exfiltración de datos.

Conclusión
Al utilizar el modelo Zero Trust con una arquitectura basada en la nube, las empresas pueden adaptar la ciberseguridad
a la nueva realidad de la TI. Independientemente de que las aplicaciones y los datos residan en el centro de datos
o en la nube, las empresas pueden proporcionar a los usuarios, ubicados en cualquier lugar y con cualquier dispositivo,
un acceso seguro, sencillo y eficaz. Pueden impedir que los usuarios accedan a aplicaciones externas que contengan
malware que pudiera poner en peligro la red o que incluyan contenido inapropiado. Además, pueden supervisar el tráfico
en todo momento en busca de comportamientos sospechosos. De esta manera, las empresas pueden aprovechar al
máximo las últimas tecnologías para hacer posible la transformación digital, con la tranquilidad de saber que los datos
y aplicaciones de gran valor estarán protegidos.

Fuentes
1.
https://www.idc.com/getdoc.jsp?containerId=prUS41888916
2.
www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2017-state-cloud-survey
3.
https://www.gartner.com/newsroom/id/3815165
4.
https://www.gartner.com/newsroom/id/3815165
5.
https://www.ondeck.com/blog/your-complete-guide-to-the-remote-workforce-in-2017
6.
https://digitalhubshare.symantec.com/content/dam/Atlantis/campaigns-and-launches/FY17/Threat%20Protection/ISTR22_Main-FINAL-JUN8.pdf?aid=elq
7.
https://www.fireeye.com/company/press-releases/2016/fireeye-releases-first-mandiant-mtrends-emea-report.html
8.
https://www.akamai.com/us/en/multimedia/documents/report/remote-access-security-challenges-and-opportunities.pdf
9.
https://www.computerworld.com/article/3222829/security/state-of-remote-access-security.html
10.
https://www.darkreading.com/endpoint/91--of-cyber attacks-start-with-a-phishing-email/d/d-id/1327704?

Akamai, la plataforma de distribución en la nube más grande y respetada del mundo, ayuda a sus clientes a ofrecer las mejores y más seguras experiencias
digitales, independientemente del dispositivo, en cualquier momento y en cualquier lugar. La plataforma masivamente distribuida de Akamai no tiene parangón
en términos de escala, con más de 200 000 servidores repartidos en 130 países, lo que ofrece a los clientes un excelente rendimiento y protección contra las
amenazas. La cartera de soluciones de rendimiento web y móvil, seguridad en la nube, acceso empresarial y distribución de vídeo de Akamai está respaldada
por un servicio de atención al cliente excepcional y una supervisión ininterrumpida. Para descubrir por qué las principales instituciones financieras, líderes
de comercio electrónico, proveedores de contenidos multimedia y de entretenimiento, y organizaciones gubernamentales confían en Akamai, visite
www.akamai.com/es/es y blogs.akamai.com/es/, o siga a @Akamai en Twitter. Puede encontrar los datos de contacto de todas nuestras oficinas en
https://www.akamai.com/es/es/locations.jsp. Publicado en febrero de 2018.