Por qué Zero Trust necesita acercarse al borde (Edge)

Zero Trust Architecture edge-based trust decisions NIST 800-207 drifting perimeter ZTA security
E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 
4 de junio de 2026
4 min de lectura
Por qué Zero Trust necesita acercarse al borde (Edge)

TL;DR

• Zero Trust requiere una verificación de baja latencia basada en el borde para dispositivos físicos. • La gobernanza centralizada a menudo crea cuellos de botella, forzando un almacenamiento en caché de políticas peligroso en el borde. • Confiar en datos de autorización obsoletos crea un "perímetro a la deriva" que debilita la seguridad. • Los marcos NIST 800-207 y CISA proporcionan la hoja de ruta para una verificación continua y consciente del contexto. • Las organizaciones deben equilibrar la velocidad de seguridad con una validación estricta y en tiempo real de la identidad y los dispositivos.

Por qué Zero Trust necesita acercarse al borde (Edge)

Existe una tensión silenciosa creciendo en el mundo de la Arquitectura Zero Trust (ZTA). Por un lado, tenemos la gobernanza rígida y centralizada que hace que ZTA sea tan atractiva. Por otro, tenemos el requisito complejo y real de una toma de decisiones de baja latencia basada en el borde (edge).

La promesa central de Zero Trust es simple: nunca confiar, siempre verificar. Pero cuando trasladas esa teoría a un edificio físico (piensa en controladores de puertas, escáneres biométricos o sensores industriales), la parte de "siempre verificar" comienza a fallar. Si un controlador de puerta tiene que hacer ping a un servidor central para verificar tus credenciales cada vez que pasas tu tarjeta, te quedarás ahí parado durante mucho tiempo.

Este es el punto de fricción. Las organizaciones están luchando por separar la toma de decisiones de políticas de la aplicación de las mismas sin sacrificar la seguridad o la velocidad.

La trampa del "perímetro a la deriva"

Chuck Davis, vicepresidente de Seguridad de la Información Global en Hikvision, ha visto esto suceder demasiadas veces. Para mantener los sistemas funcionando durante una interrupción de la red, las empresas a menudo extienden la vida útil de sus cachés de políticas. Es una "solución rápida" clásica para problemas de conectividad, pero es peligrosa.

Cuando permites que un dispositivo opere con datos de autorización obsoletos, ya no estás practicando realmente Zero Trust. Básicamente, estás creando un "perímetro a la deriva". En esencia, has vuelto al modelo de la vieja escuela del que intentabas escapar, donde se confía en un dispositivo simplemente porque se confiaba en él ayer. Es una regresión de seguridad disfrazada de necesidad operativa.

El impulso hacia ZTA es implacable. Se proyecta que el mercado global crezca a una tasa compuesta anual (CAGR) del 27.5% hasta 2026, y el Departamento de Defensa de EE. UU. está respaldando ese cambio con casi mil millones de dólares solo en el presupuesto de 2025. Todos se están moviendo hacia esto, pero no todos lo están haciendo bien.

Nuevo informe de la industria destaca la necesidad crítica de decisiones de confianza basadas en el borde en arquitecturas Zero Trust

Imagen cortesía de Help Net Security

Los marcos de trabajo que nos guían

El estándar NIST 800-207 es la base aquí. Nos alejó de la mentalidad de "castillo y foso" (donde una vez dentro de la VPN, tienes acceso a todo) hacia un modelo de verificación continua y consciente del contexto.

La mayoría de las organizaciones ahora se apoyan en el Modelo de Madurez Zero Trust de CISA para mantener sus proyectos encaminados. Divide el desafío en cinco pilares manejables: Identidad, Dispositivos, Redes, Aplicaciones/Cargas de trabajo y Datos. Es una hoja de ruta sólida, pero requiere un cambio fundamental de mentalidad. Debes dejar de pensar en "confiar pero verificar" y empezar a vivir bajo el lema "nunca confiar, siempre verificar".

Principio central de ZTA Impacto operativo
Autenticación continua Elimina las sesiones de confianza persistentes.
Validación basada en contexto Asegura que el acceso esté vinculado al estado de riesgo actual.
Acceso de menor privilegio Limita el movimiento lateral de actores maliciosos.
Acceso Just-in-Time (JiT) Reduce la duración del riesgo para tareas específicas.

El dilema de la aplicación en el borde

El verdadero dolor de cabeza comienza cuando intentas forzar la infraestructura física dentro de una caja definida por software. En un mundo perfecto, el Punto de Decisión de Política (PDP) y el Punto de Aplicación de Política (PEP) son distintos. Pero en el mundo real, si tu PEP necesita un viaje de ida y vuelta a un servidor central para cada transacción, la latencia se convierte en un obstáculo insuperable.

Si no puedes alcanzar una latencia inferior a 200 ms, tus sistemas de seguridad física se vuelven inutilizables. Pero, de nuevo, la respuesta no es simplemente almacenar las credenciales en caché indefinidamente. Así es como ocurren las brechas. En cambio, los líderes de seguridad están buscando algunas alternativas más inteligentes:

  • Políticas firmadas criptográficamente: Deja que los dispositivos de borde hagan el trabajo pesado utilizando políticas firmadas criptográficamente por la autoridad central. Esto mantiene la integridad intacta sin necesidad de un latido constante hacia el servidor central.
  • Credenciales de corta duración: Si debes usar tokens, haz que expiren rápidamente. Si un dispositivo de borde se ve comprometido, querrás limitar el radio de impacto.
  • Lógica explícita de seguridad ante fallos (Fail-Safe/Fail-Secure): No dejes tu estado de fallo al azar. Realiza una evaluación de riesgos. ¿La puerta permanece cerrada o abierta durante una interrupción? La seguridad y la protección a menudo chocan aquí, y necesitas un plan documentado.
  • Superficie de ataque reducida: ZTA es tu mejor defensa contra el movimiento lateral. Al segmentar la red, evitas que los hackers salten desde una impresora comprometida a tu base de datos central, una táctica común observada en vulnerabilidades en herramientas de acceso remoto heredadas.

¿Hacia dónde vamos?

Los datos son claros: el perímetro tradicional ha muerto. ZTNA creció un 87% año tras año entre 2021 y 2022, y casi la mitad de todas las organizaciones se encuentran actualmente en medio de un despliegue de Zero Trust.

Para aquellos en las trincheras, el objetivo es encontrar marcos de implementación estratégica que no traten los activos digitales y físicos como silos separados. Nos estamos moviendo hacia un mundo donde la identidad es el perímetro. No importa si estás iniciando sesión en una aplicación en la nube o entrando por la puerta de una sala de servidores: el proceso de verificación debe ser igual de riguroso.

El futuro de ZTA no se trata de control centralizado a expensas del rendimiento. Se trata de llevar esa inteligencia al borde. Las organizaciones que ganen serán aquellas que descubran cómo aplicar políticas estrictas y centralizadas a la velocidad del borde. Es un equilibrio delicado, pero es la única forma de construir una infraestructura moderna y verdaderamente resiliente.

E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 

Elena Voss is a former penetration tester turned cybersecurity journalist with over 12 years of experience in the information security industry. After working with Fortune 500 companies to identify vulnerabilities in their networks, she transitioned to writing full-time to make complex security concepts accessible to everyday users. Elena holds a CISSP certification and a Master's degree in Information Assurance from Carnegie Mellon University. She is passionate about helping non-technical readers understand why digital privacy matters and how they can protect themselves online.

Noticias relacionadas

Palo Alto Networks Issues Urgent Security Patch for Critical Vulnerability in PAN-OS and Prisma Gateways
CVE-2026-0257

Palo Alto Networks Issues Urgent Security Patch for Critical Vulnerability in PAN-OS and Prisma Gateways

Palo Alto Networks confirms active exploitation of critical CVE-2026-0257 in PAN-OS and Prisma Gateways. Patch immediately to prevent unauthorized VPN access.

Por Marcus Chen 6 de junio de 2026 4 min de lectura
common.read_full_article
NEAR Protocol to Integrate Quantum-Resistant Cryptography This Month to Enhance Network Security
NEAR Protocol

NEAR Protocol to Integrate Quantum-Resistant Cryptography This Month to Enhance Network Security

NEAR Protocol is integrating FIPS-compliant post-quantum cryptography this June to defend against future quantum threats. Learn how this upgrade affects you.

Por James Okoro 5 de junio de 2026 3 min de lectura
common.read_full_article
State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Por Marcus Chen 3 de junio de 2026 4 min de lectura
common.read_full_article
Law Enforcement Dismantles First Dedicated VPN Infrastructure Facilitating Global Ransomware Operations
First VPN

Law Enforcement Dismantles First Dedicated VPN Infrastructure Facilitating Global Ransomware Operations

International authorities have shut down 'First VPN,' a key infrastructure service used by ransomware gangs. Discover how the seizure exposed global cybercriminals.

Por Elena Voss 5 de junio de 2026 4 min de lectura
common.read_full_article