Cuando el perímetro ya no está, la mentalidad de “zero trust” se vuelve abiertamente obsoleta

Hace una década, la ciencia ficción tecnológica veía en Zero Trust la solución definitiva al perímetro difuso. “No confíes en nada, verifica todo”, se convirtió en mantra. Pero en 2025, esa idea empieza a estrellarse contra su propio muro de cristal. No porque haya fallado, sino porque la realidad de la arquitectura empresarial la ha dejado atrás.

¿Por qué?

Porque los activos ya no viven en un mismo sitio. Aplicaciones en la nube, SaaS, entornos híbridos, IoT, edge computing… Lo que antes parecía “manejable” hoy es un enjambre en movimiento. Los viejos modelos “perímetro versus interior” son piezas de museo.

El usuario, además, es el nuevo perímetro. Trabaja desde casa, desde un aeropuerto o un café. Usa autenticaciones multifactor sin pestañear, pero sigue entrando a redes corporativas que aún piensan como en 2010.

Y los atacantes han cambiado el juego: ya no entran y salen. Se quedan. Habitan los entornos “permitidos”, disfrutan de accesos legítimos y hacen su picnic con datos privilegiados.

Entonces, ¿qué falla en Zero Trust?

Que muchos lo tratan como una lista de verificación. “VPN, check. MFA, check. Microsegmentación, check.” Pero no cuestionan la mentalidad. Siguen hablando de confianza: en el sistema, en el usuario, en el dispositivo. Como si bastara con poner una cerradura nueva mientras el robo se hace desde el tejado.

Síntomas de agotamiento:

– Microsegmentaciones tan finas que el propio control se vuelve ingobernable.
– Telemetría que produce más ruido que información útil.
– Movimientos laterales dentro de entornos “seguros” que se convierten en autopistas para el adversario.

El error no está en la tecnología, sino en el enfoque. Instalar Zero Trust y dar el asunto por cerrado es ignorar que el enemigo no se mueve según tus diagramas de red.

¿Qué viene después (o mejor dicho, ahora)?

Una seguridad basada en identidad, contexto y riesgo dinámico. No se trata solo de saber quién eres, sino desde dónde te conectas, qué haces, con qué dispositivo, en qué condiciones, qué señales anómalas acompañan tus acciones. La confianza ya no es binaria; es un continuo.

Necesitamos observabilidad profunda y respuesta adaptativa: telemetría viva, automatización inteligente y tiempos de reacción que se midan en milisegundos.

Las redes deben dejar de ser territorios para convertirse en servicios. Las aplicaciones son piezas, no monolitos, y la seguridad tiene que moverse con ellas.

Y lo más crucial: el modelo de riesgo debe centrarse en los datos verdaderamente críticos, no en carpetas genéricas. No todo el ruido merece atención. Lo importante es mapear qué vale la pena proteger y hacerlo con foco.

La ironía final:
Implementar Zero Trust como fin en sí mismo es poner un candado nuevo cuando el ladrón ya excava túneles bajo la casa.

La seguridad no se resuelve con siglas. Se resuelve con mentalidad.

En última instancia, la pregunta sigue siendo válida: “¿Podemos confiar en esto?” Pero la respuesta ya no es un sí o un no. Es un depende: ¿en qué grado, bajo qué condiciones, con qué monitoreo, con qué plan de revocación?

El mundo dejó de ser blanco o negro. La seguridad también.