5 áreas en las que el 'zero trust' no puede proteger a tu organización

Adoptar zero trust no es seguro contra los ciberataques. Los atacantes encuentran constantemente nuevas formas de eludir el zero trust, y esto ocurre a menudo porque no se ha tenido en cuenta todo lo que hay en el entorno de la organización. Entre los riesgos que se pasan por alto están los sistemas heredados, los dispositivos IoT no supervisados o el abuso de acceso privilegiado. 

El zero trust es un paradigma de ciberseguridad -una filosofía, en realidad- en el que cada usuario, cada dispositivo, cada mensaje se considera que no es de confianza a menos que se demuestre lo contrario. Es una alternativa al antiguo enfoque basado en el perímetro, en el que las cosas del exterior no eran de confianza y las del interior de las redes corporativas se consideraban automáticamente de confianza. En otras palabras, las empresas tenían una cáscara dura y un centro blando y pegajoso. 

En una era en la que el perímetro está en todas partes, en la que es tan probable que los empleados estén en casa como en la oficina, en la que los recursos informáticos están repartidos entre múltiples centros de datos, nubes y otros terceros, los antiguos enfoques ya no funcionan. El zero trust es la respuesta moderna a este problema. Y todo el mundo está de acuerdo. Según una encuesta de Okta a 700 empresas publicada en 2022, el 55% de las organizaciones ya tenían una iniciativa de zero trust en marcha -frente al 24% en 2021- y el 97% planeaba tener una en los próximos 12 a 18 meses. 

El zero trust no es una panacea. Según Gartner, hasta 2026, más de la mitad de los ciberataques se dirigirán a áreas que el zero trust no cubre y contra las que no puede proteger. "Hay dos grandes problemas con el zero trust. Uno es el alcance, como la tecnología heredada o la TI en la sombra. El segundo es que hay ataques que eluden los controles del zero trust ", afirma John Watts, analista de Gartner. 

Las empresas tardan en implantar el zero trust 

Sólo el 19% de las organizaciones ha implantado ya zero trust, según una encuesta de Cybersecurity Insiders a 400 profesionales de TI y ciberseguridad de Estados Unidos publicada en marzo. Mientras tanto, el 30% afirma que hay proyectos en marcha y el 38% que aún están en fase de planificación. Estas estimaciones pueden ser demasiado optimistas. Según Gartner, menos del 1% de las organizaciones cuentan con un programa zero trust maduro y medible, y sólo el 10% lo tendrá en 2026. 

Incluso cuando se ha implantado el zero trust, no significa que se hayan resuelto todos los problemas de seguridad. El zero trust tiene varios puntos ciegos, incluidos los sistemas heredados que no fueron diseñados para esta metodología, los usuarios privilegiados que hacen cosas que no deberían, los dispositivos IoT no supervisados, los sistemas de terceros y, por supuesto, el problema continuo de la gestión del cambio. 

5 áreas en las que el zero trust por sí solo no protegerá a las organizaciones 

1.     Legacy o sistemas heredados 

No todos los sistemas y aplicaciones se actualizan fácilmente a los principios de zero trust. Muchos sistemas heredados, por ejemplo, simplemente no tienen lo que hay que tener. El corredor de seguros PIB Group se fundó hace sólo siete años, pero desde entonces ha adquirido otras 92 empresas, la mayoría de ellas otras aseguradoras. Ha pasado de tener 12 empleados a 3.500. "Estamos adquiriendo muchas plataformas, y están escritas por su primo, que se ha ido a otro trabajo y no les está dando el soporte adecuado", explica a CSO el CISO Jason Ozin. 

Ni siquiera el actual sistema de recursos humanos de la empresa es compatible con el zero trust, afirma Ozin. "Ni siquiera admite la autenticación de dos factores. Admitirá nombre de usuario y contraseña. Admitirá listas blancas de IP". Pero las listas blancas de IP no son muy útiles cuando todo el mundo trabaja desde casa o desde otra ubicación remota. 

La empresa está a punto de cambiar a un nuevo sistema de recursos humanos, pero otros sistemas no se pueden sustituir tan rápidamente. Hasta que lo sean, Ozin tiene una solución. "Lo que podemos hacer es ponerle una envoltura de zero trust. Se le autenticará. ¿Vienes de un lugar que reconocemos? ¿Está utilizando dos factores? Una vez gestionada la autenticación, sólo entonces la envoltura pasará el tráfico al sistema heredado. El sistema legacy -por ejemplo, el actual sistema de recursos humanos- comprobará la dirección IP para asegurarse de que procede de la plataforma de zero trust. Algunos sistemas heredados son tan horribles que ni siquiera tienen nombre de usuario y contraseña, dice Ozin. "Pero nadie puede acceder a ellos si no es a través de los gatekeepers". 

La pandemia fue una de las principales motivaciones para pasar al zero trust, al igual que el rápido crecimiento de la empresa, aunque la pandemia ya había terminado cuando PIB empezó a implantar el zero trust. "Mi plan es deshacerme de todos y cada uno de los sistemas legacy que tenemos", dice Ozin. "Pero, en realidad, eso nunca va a ocurrir. Dentro de seis años no me extrañaría seguir utilizándolo". 

Pero se necesitan recursos y dinero para actualizarlo todo. "Hemos decidido hacerlo en ciertos elementos de alto riesgo para empezar", dice. 

2.     Dispositivos IoT 

Ozin dice que hay montones de dispositivos IoT en la organización. "Tengo IoT que ni siquiera conozco". Esto es un problema, especialmente cuando, por ejemplo, una oficina local decide poner un sistema de portero automático sin hablar primero con nadie. "Lo están instalando y el tipo dice: '¿Me das la clave de acceso WiFi a la red? Y puede que alguien se la dé", dice Ozin. 

Sin zero trust en todas las pasarelas WiFi, la empresa utiliza una solución alternativa: una red separada para dispositivos no aprobados que no tiene acceso a ningún dato corporativo. PIB también dispone de herramientas que le permiten realizar auditorías para asegurarse de que sólo los dispositivos aprobados se conectan a la red principal. 

Watts, de Gartner, coincide en que IoT y OT pueden plantear retos de seguridad a las empresas. "Es más difícil implantar una postura de zero trust para esos dispositivos y sistemas. Tienen menos garantías de identidad". Si no hay usuario, entonces no hay cuenta de usuario, dice. "No hay una buena forma de autenticar si algo debe estar en la red. Se convierte en un problema difícil de resolver". 

Algunas empresas excluirán IoT y OT de su ámbito de zero trust porque no pueden abordar este problema, dice Watts. Algunos proveedores, sin embargo, ayudarán a las empresas a asegurar estos sistemas, dice. De hecho, Gartner ha publicado una guía de mercado para asegurar los sistemas ciberfísicos que incluye a Armis, Claroty y Dragos. "Pero una vez implantadas estas tecnologías, hay que confiar más en los proveedores. Si tienen sus propias vulnerabilidades y desafíos, los atacantes encontrarán un punto débil", explica Watts a CSO. 

3.     Acceso privilegiado 

El riesgo de amenazas internas es un problema para todas las empresas. El zero trust no servirá de nada en los casos en los que un privilegiado pueda tener permiso válido para acceder a recursos sensibles, porque este empleado es de confianza. 

Otras tecnologías pueden reducir el riesgo, afirma Ozin. "Alguien puede tener todos los privilegios, pero ¿de repente está en internet a las 3 de la mañana? Puedes poner análisis de comportamiento junto al zero trust para detectarlo. Nosotros lo utilizamos como parte de nuestro EDR [endpoint detection and response] y como parte de nuestro inicio de sesión Okta. También tenemos un programa de prevención de pérdida de datos: ¿están imprimiendo 60 páginas cuando normalmente no imprimen nada?". 

Las amenazas internas son un riesgo residual importante después de que se hayan implantado los controles de zero trust, afirma Watts de Gartner. Además, las personas de confianza pueden ser engañadas para que filtren datos o permitan a los atacantes entrar en los sistemas mediante ingeniería social. "Las amenazas internas y los ataques de toma de control de cuentas son los dos riesgos que persisten en un mundo perfecto de zero trust", afirma. 

También está el correo electrónico de empresa comprometido, en el que las personas con acceso al dinero de la empresa son engañadas para que envíen los fondos a los malos. "Un correo electrónico corporativo comprometido podría ser un deep fake que llama a un miembro de la organización y le pide que transfiera dinero a otra cuenta", dice Watts. "Y nada de eso toca realmente ninguno de tus controles de zero trust". Para hacer frente a esto, las empresas deben limitar el acceso de los usuarios para que, si se ven comprometidos, el daño sea mínimo. "Con una cuenta privilegiada, esto es difícil", dice. El análisis del comportamiento de usuarios y entidades puede ayudar a detectar amenazas internas y ataques de toma de control de cuentas. La clave está en desplegar la tecnología de forma inteligente, para que los falsos positivos no impidan a alguien hacer completamente su trabajo. 

Por ejemplo, una actividad anómala podría activar un control adaptativo, como cambiar el acceso a sólo lectura o bloquear el acceso a las aplicaciones más sensibles. Las empresas deben asegurarse de no dar demasiado acceso a demasiados usuarios. "No es sólo un problema tecnológico. Hay que contar con las personas y los procesos que lo respalden", afirma Watts. 

Según la encuesta de Cybersecurity Insiders, el 47% afirma que el acceso excesivo de los empleados con privilegios es uno de los principales retos a la hora de implantar el zero trust. Además, el 10% de las empresas afirma que todos los usuarios tienen más acceso del que necesitan, el 79% dice que algunos o unos pocos usuarios lo tienen, y sólo el 9% afirma que ningún usuario tiene demasiado acceso. Un estudio de Dimensional Research, realizado en nombre de BeyondTrust, descubrió que el 63% de las empresas declararon haber tenido problemas de identidad en los últimos 18 meses que estaban directamente relacionados con usuarios o credenciales privilegiados. 

4.     Servicios de terceros 

CloudFactory es una empresa de datos de inteligencia artificial (IA) con 600 empleados y 8.000 "trabajadores en la nube" bajo demanda. La compañía ha adoptado plenamente el zero trust, dice a CSO el jefe de operaciones de seguridad de la compañía, Shayne Green. "Tenemos que hacerlo, debido a la gran cantidad de usuarios que apoyamos". 

Los trabajadores remotos inician sesión con la autenticación de Google, a través de la cual la empresa puede aplicar sus políticas de seguridad, pero hay una brecha, dice Green. Algunos proveedores de servicios de terceros críticos no admiten el inicio de sesión único ni la integración del lenguaje de marcado de aserción de seguridad. Como resultado, los trabajadores pueden iniciar sesión desde un dispositivo no aprobado utilizando su nombre de usuario y contraseña, dice. "Entonces no hay nada que les impida salir de nuestra visibilidad". Los proveedores de tecnología son conscientes de que esto es un problema, según Green, pero se están quedando atrás y tienen que dar un paso adelante. 

CloudFactory no es la única empresa que tiene este problema, pero los problemas de seguridad de los proveedores van más allá de los mecanismos de autenticación que utilicen. Por ejemplo, muchas empresas exponen sus sistemas a terceros a través de API. Puede ser fácil pasar por alto las API al calcular el alcance de una implantación de zero trust. 

Se pueden tomar los principios del zero trust y aplicarlos a las API, dice Watts. Esto puede mejorar la seguridad, pero sólo hasta cierto punto. "Sólo puedes controlar la interfaz que expones y pones a disposición de terceros. Si el tercero no tiene buenos controles, eso es algo sobre lo que normalmente no tienes control". Cuando un tercero crea una aplicación que permite a sus usuarios acceder a sus datos, la autenticación en el cliente puede ser un problema. "Si no es muy fuerte, alguien podría robar el token de sesión", dice Watts. 

Las empresas pueden auditar a sus proveedores externos, pero las auditorías suelen ser una comprobación única o se realizan ad hoc. Otra opción es desplegar análisis que permitan detectar cuándo algo que se está haciendo no está aprobado. Permite detectar eventos anómalos. Un fallo en una API que se explota podría aparecer como uno de esos eventos anómalos, dice Watts. 

5.     Nuevas tecnologías y aplicaciones 

Según una encuesta realizada este año por Beyond Identity a más de 500 profesionales de la ciberseguridad en Estados Unidos, el manejo de nuevas aplicaciones era el tercer mayor reto para implantar el zero trust, citado por el 48% de los encuestados. Añadir nuevas aplicaciones no es el único cambio que las empresas pueden querer hacer en sus sistemas. Algunas empresas intentan constantemente mejorar sus procesos y mejorar el flujo de comunicación, afirma John Carey, director general del grupo de soluciones tecnológicas de AArete, una consultora global. "Esto está reñido con el concepto de confianza en los datos, que pone barreras a los datos que circulan libremente". 

Esto significa que si el zero trust no se aplica o no se diseña correctamente, la productividad puede verse afectada, afirma Carey. Un ámbito en el que esto puede ocurrir es el de los proyectos de IA. Las empresas disponen de un número cada vez mayor de opciones para crear modelos de IA personalizados y afinados, específicos para sus negocios, incluida, más recientemente, la IA generativa. 

Cuanta más información tenga la IA, más útil será. "Con la IA, queremos que tenga acceso a todo. Ese es el propósito de la IA, pero si se vulnera, tienes un problema. Y si empieza a revelar cosas que no quieres, es un problema", explica a CSO Martin Fix, director de tecnología de la consultora tecnológica Star. 

Hay un nuevo vector de ataque, dice Fix, llamado prompt hacking, en el que los usuarios malintencionados intentan engañar a la IA para que les diga más de lo que debería mediante una redacción inteligente de las preguntas que hacen. Una solución, dice, es evitar entrenar IA de propósito general con información sensible. En su lugar, estos datos podrían mantenerse separados, con un sistema de control de acceso que compruebe si el usuario que hace la pregunta tiene permiso para acceder a ellos. "Los resultados podrían no ser tan buenos como con una IA no controlada. Requiere más recursos y más gestión". 

La cuestión de fondo aquí es que el zero trust cambia la forma de trabajar de las empresas. "Los vendedores dicen que es fácil. Basta con poner un poco de seguridad en los bordes por donde entra tu gente. No, no es fácil. Y la complejidad del zero trust está empezando a salir a la luz", explica a CSO Deepak Mathur, responsable de zero trust para Estados Unidos de KPMG. Ese es uno de los grandes defectos de los que nunca habla el zero trust, afirma. Cuando las empresas implantan tecnologías de zero trust, tienen que cambiar los procesos. En cambio, con demasiada frecuencia se da por sentado que la gente arreglará los procesos.