Zero Trust según la NSA: del acceso inicial al control continuo

Reducir el riesgo en un modelo Zero Trust implica supervisar cada acción dentro de una sesión. ¿Su estrategia incorpora validación continua?

16 abril 2026 Por Bill Munroe

Llevamos años hablando de Zero Trust, y con razón. La evolución de las amenazas y la creciente sofisticación de los ataques siguen poniendo de relieve la necesidad de adoptar un enfoque basado en la validación continua, dejando atrás la confianza implícita que durante tanto tiempo definió la seguridad tradicional.

Sin embargo, muchas implantaciones de Zero Trust se han centrado en reforzar el acceso inicial sin transformar realmente el modelo de control. El error no está en fortalecer la identidad, sino en seguir aferrándose a una mentalidad basada en el perímetro. Hoy, los atacantes explotan cada vez más identidades legítimas y credenciales válidas, lo que está redefiniendo el panorama de riesgo. Ya no basta con supervisar quién entra; lo que realmente importa ahora es entender qué sucede después de que esa identidad haya sido validada.

De la identidad al comportamiento

Pensemos en un escenario sencillo. Un empleado accede correctamente a la red utilizando autenticación multifactor (MFA) válida. Todo parece normal. Sin embargo, poco después empieza a descargar miles de registros de clientes a las tres de la madrugada desde un país desde el que nunca se había conectado antes. En un modelo estático, mientras el token de sesión siga activo, este comportamiento está permitido. En un modelo de autorización dinámica, en cambio, el sistema detecta que ese comportamiento no encaja con el patrón habitual del usuario y decide bloquear la acción o solicitar una verificación adicional.

Esto refleja un cambio de enfoque importante que la Agencia de Seguridad Nacional de Estados Unidos (NSA) subraya en su guía de implantación de Zero Trust. El control de acceso deja de entenderse como una decisión puntual para convertirse en un proceso continuo. En la práctica, verificar la identidad o el dispositivo al inicio es solo el punto de partida, ya que la autorización debe reevaluarse cada vez que cambian el contexto, el comportamiento o las condiciones de acceso. A partir de ahí, las decisiones se basan en lo que el usuario hace después de entrar, desplazando el foco desde la identidad hacia la acción.

Para lograrlo, es necesario implantar una evaluación basada en el comportamiento que ajuste los privilegios en función del contexto y que pueda interrumpir sesiones o exigir pasos adicionales cuando aumente el riesgo. De este modo, la confianza deja de ser un estado fijo y pasa a adaptarse a lo que está ocurriendo en cada momento.

Por supuesto, nada de esto funciona sin controles de seguridad capaces de evaluar la identidad, el estado del dispositivo, el contexto de acceso y la actividad del usuario durante toda la sesión. En este modelo, el acceso no es un evento puntual. Se reevalúa de forma continua en función de lo que el usuario intenta hacer, del recurso al que pretende acceder y de si las condiciones de confianza siguen cumpliéndose.

Por eso, Zero Trust depende de que la identidad y el acceso trabajen de forma conjunta a nivel de sesión. La autenticación establece quién es el usuario, pero la autorización continua determina si ese usuario debe mantener el mismo nivel de acceso a medida que cambian las condiciones. Si el riesgo aumenta durante la sesión, los privilegios pueden limitarse, puede requerirse una autenticación reforzada o incluso puede cancelarse el acceso por completo.

Para los MSP, esto cambia el enfoque: ya no se trata solo de conceder un acceso seguro, sino de controlar de forma continua lo que ocurre después de que ese acceso haya sido autorizado. El objetivo no es únicamente impedir entradas no autorizadas, sino también reducir el impacto de identidades comprometidas, tokens robados o comportamientos de riesgo dentro de la sesión.

Además, la inteligencia contextual no solo permite identificar anomalías. También ayuda a reducir los falsos positivos al comprender los patrones normales y distinguir entre variaciones legítimas y conductas de riesgo. En entornos gestionados con múltiples clientes, esta capacidad de correlación y análisis facilita la priorización y alivia la carga operativa cuando aumenta el volumen de señales.

Más allá del acceso: el verdadero reto para los MSP

En 2026, el riesgo ya no se define únicamente por el acceso no autorizado. Una de las amenazas más difíciles de detener es el uso indebido de identidades válidas, porque el usuario puede parecer legítimo en el momento de la entrada. Para los MSP, esto significa que la seguridad gestionada no puede detenerse en la autenticación. El foco debe desplazarse hacia el control de lo que ocurre dentro de la sesión, evaluando continuamente la actividad y limitando el impacto cuando cambia el nivel de riesgo.

También cambia la forma en que los MSP definen sus compromisos de servicio y gestionan las expectativas de los clientes. El valor ya no reside solo en bloquear accesos no autorizados en el inicio de sesión, sino en reducir el riesgo a lo largo de toda la sesión. Eso exige validar de forma continua las condiciones de acceso y limitar lo que un usuario, un dispositivo o una sesión pueden hacer cuando cambia la confianza. En la práctica, la conversación con el cliente deja de centrarse únicamente en la prevención para pasar a abordar el control continuo sobre accesos legítimos.

La guía de la NSA deja claro que Zero Trust no puede entenderse solo como una estrategia de verificación. El acceso es únicamente el punto de partida. La verdadera reducción del riesgo se produce cuando cada acción puede reevaluarse. La autenticación valida quién eres, mientras que la autorización continua —respaldada por múltiples capas de seguridad que supervisan la actividad en endpoints, redes e identidades— valida lo que haces. Solo cuando ambas dimensiones operan de forma coordinada, Zero Trust se convierte en una estrategia eficaz para reducir el riesgo operativo.

La guía de la NSA deja claro que Zero Trust no consiste únicamente en verificar la identidad en el momento del acceso. El acceso es solo el comienzo. La verdadera reducción del riesgo se produce cuando la confianza se reevalúa de forma continua a lo largo de la sesión y pueden adoptarse medidas a medida que cambian las condiciones. La autenticación confirma quién es el usuario, pero la autorización continua determina qué puede hacer ese usuario, durante cuánto tiempo y en qué condiciones. Cuando la identidad y el control de acceso funcionan juntos de este modo, Zero Trust deja de ser una comprobación de seguridad puntual para convertirse en un modelo práctico de reducción del riesgo operativo.

Archivado bajo: Tendencias de Ciberseguridad, Zero Trust, Socios de canal, Seguridad Administrada, Eficiencia operacional

Go to

De la identidad al comportamiento

Más allá del acceso: el verdadero reto para los MSP

Escape de la trampa de las VPN y proteja a su fuerza laboral remota

Verano, IA y Amenazas Basadas en Identidad: Una Llamada Estratégica de Atención para los MSPs

Los 5 errores más comunes en ciberseguridad que los MSP deben evitar