Un exdirector de informática de la Casa Blanca explica por qué el modelo de confianza cero debe diseñar teniendo en cuenta cómo trabajan realmente las personas.
En la Casa Blanca, incluso algo tan simple como una lista de reproducción de música podría convertir en un riesgo para la seguridad.
Durante mi conversación con la exdirectora de informática de la Casa Blanca, Theresa Payton, en un episodio reciente del podcast The Segment , ella compartió cómo el presidente George W. Bush usaba un iPod Shuffle para compartir música con sus hijas. El problema era que al actualizar la lista de reproducción, esta se transmitía automáticamente al público.
Lo que parecía una característica inofensiva creó una posible exposición.
La solución no consistía en bloquear el dispositivo ni restringir su uso. En cambio, el equipo de Theresa diseñó protecciones invisibles alrededor del usuario. Como explicó, tuvieron que "permitirle vivir su vida mientras creaban a su alrededor redes de seguridad prácticamente invisibles".
Esa historia refleja algo fundamental sobre la ciberseguridad en la actualidad.
Dedicamos años a diseñar sistemas de seguridad, controles y requisitos de cumplimiento normativo. Mientras tanto, los atacantes se centraron en las personas. Estudian el comportamiento y aprovechan la fricción. Buscan discrepancias entre cómo se diseña la seguridad y cómo se emplea en la práctica.
Si el modelo de Confianza Cero pretende ofrecer resultados reales, debe partir de la historia del usuario humano como base.
Las matemáticas no cuadran. Y ese es el problema.
Theresa observa graves problemas en el estado actual de la ciberseguridad.
Señaló un marcado desequilibrio: estamos gastando aproximadamente 240.000 millones de dólares en ciberseguridad, mientras que se prevé que las pérdidas por ciberdelincuencia alcancen los 10,5 billones de dólares este año.
Su reacción fue simple: "Las matemáticas no cuadran".
Esa brecha pone de manifiesto un problema más profundo. La industria no carece de herramientas, marcos de trabajo ni financiación. Le faltan resultados.
Gran parte de ello se debe a cómo abordamos el cumplimiento normativo. Los marcos regulatorios son necesarios y las regulaciones son importantes. Pero, sin pretenderlo, influyeron en la forma en que las organizaciones conciben la seguridad.
Como dijo Theresa, estos marcos normativos "tienen muy buenas intenciones, pero podrían ser lo peor que nos pasó".
¿Por qué? Porque fomentan una mentalidad de lista de verificación.
Las organizaciones se centran en cumplir los requisitos en lugar de reducir los riesgos. Y los atacantes se aprovechan de eso. Entienden los controles y saben dónde están las deficiencias. Como resultado, pueden simplemente aplicar ingeniería inversa al sistema.
Aquí es donde se ha malinterpretado el concepto de Confianza Cero .
No se trata de cumplir con un estándar, sino de validar continuamente la confianza y limitar la exposición. Puede que el cumplimiento normativo te diga lo que se requiere, pero la filosofía de Confianza Cero te obliga a preguntarte qué es realmente efectivo.
La seguridad sigue estando diseñada para los compradores, no para los usuarios.
Theresa también abordó otro problema del sector que pasa desapercibido: la mayoría de las soluciones de seguridad están diseñadas para el comprador, no para el usuario.
Theresa describió cómo los proveedores suelen ver al comprador como el cliente principal, y no a las personas que realmente emplean la tecnología a diario.
Esa distinción es fundamental. Cuando la seguridad se diseña en torno a la adquisición en lugar del uso, se genera fricción. Y la fricción da lugar a soluciones alternativas.
Todos lo vimos. Políticas de contraseñas demasiado complejas. Controles que ralentizan los flujos de trabajo. Sistemas que exigen a los usuarios pensar como expertos en seguridad simplemente para poder realizar su trabajo.
Teresa lo resumió con una situación que resulta familiar. Cuando la gente se entera de que trabajas en seguridad, no te agradecen los controles complejos. Te cuentan todo lo que odian de ellos.
Esa desconexión es más que un problema de usabilidad. Es un problema de seguridad.
Si los usuarios eluden los controles, esos controles no protegen nada.
El modelo de Confianza Cero cambia eso al desplazar el enfoque de la restricción a la habilitación. Se trata de convertir el camino seguro en el camino más fácil.
Diseñar pensando en las personas cambia la forma en que funciona el modelo de Confianza Cero.
¿Qué significa realmente diseñar la seguridad pensando en las personas? El consejo de Theresa fue sorprendentemente sencillo: observar.
“Sentar en sus centros de atención telefónica, sentar en las instalaciones de los clientes y escuchen”, dijo. “Aprenderás muchísimo sobre lo que no funciona.”
Esa idea suele pasar por alto en ciberseguridad.
Dedicamos tiempo a modelar amenazas y a crear controles, pero no el suficiente a comprender cómo interactúan esos controles con los flujos de trabajo reales.
Cuando empiezas a observar, surgen patrones:
- Donde los usuarios experimentan fricción
- Donde fallan los procesos
- Donde la gente crea soluciones alternativas
Esas señales son la base para un mejor diseño. Y es aquí donde la Confianza Cero se vuelve práctica.
En lugar de aplicar controles generales y estáticos, puede implementar políticas basadas en cómo interactúan realmente los sistemas y los usuarios. Se puede aplicar el principio de mínimo privilegio con precisión y reducir la exposición sin ralentizar a las personas.
La segmentación juega un papel clave en este caso.
Al comprender los patrones de comunicación entre sistemas, se pueden limitar las conexiones innecesarias. Si algo está comprometido, no puede mover libremente. El radio de la explosión está contenido.
Así es como Zero Trust ofrece resultados reales. No bloqueando todo, sino controlando lo que importa.
La IA hace que el problema humano sea imposible de ignorar.
Si antes la industria podía ignorar esta brecha, ahora ya no puede. La IA está forzando la situación.
Theresa describió la IA como "el acceso más privilegiado y la amenaza interna más preocupante".
Los sistemas de IA tienen acceso a datos, flujos de trabajo y decisiones a gran escala. Operan más rápido que los humanos. Y en muchos casos, se despliegan con una supervisión limitada.
Eso crea un nuevo tipo de riesgo, no solo en lo que respecta al mal uso, sino también a la visibilidad y el control.
Theresa planteó preguntas clave que toda organización debería hacer:
- ¿Dispones de registros inmutables de lo que hace la IA?
- ¿Puedes verificar cómo se llegó a esa decisión?
- ¿Cuentan con un sistema de gobernanza que incluya la voz del cliente?
Estas son preguntas de confianza cero.
Todos se basan en los mismos principios: verificar continuamente, limitar el acceso y monitorear el comportamiento.
Y refuerzan la necesidad de visibilidad.
Sin comprender cómo interactúa la IA con su entorno, no podrá establecer límites de confianza, detectar anomalías ni contener riesgos.
La próxima frontera: datos y riesgo cuántico
Más allá de la IA, Theresa vislumbra otro desafío en el horizonte: la computación cuántica.
Hizo hincapié en que muchas organizaciones aún no abordaron por completo el ciclo de vida de sus datos.
No todos los datos tienen el mismo valor. Algunas cosas pierden relevancia rápidamente, mientras que otras permanecen vigentes durante años o tienen valor indefinidamente.
En un mundo post-cuántico, esa distinción importa. Si hoy se roban datos y se descifran más tarde, el impacto sigue siendo real.
Theresa lo expresó con claridad: las organizaciones necesitan comprender "la verdadera vida útil de los datos y su valor a lo largo del tiempo".
Eso requiere un enfoque más profundo de la clasificación de datos, el control de acceso y la arquitectura.
También refuerza la importancia del principio de Confianza Cero.
Si limita el acceso, monitorear el uso y controla las vías de comunicación, reduce la probabilidad de una exposición a gran escala. Aunque los datos se vean comprometidos, su impacto se mantiene contenido.
Qué deben hacer los responsables de seguridad en respuesta
La buena noticia es que no tienes que empezar de cero. Solo necesitas cambiar el enfoque.
Esto es lo que recomendó Theresa:
- Considera el cumplimiento como un punto de partida, no como un objetivo. Debería proporcionar estructura, pero no garantiza la resistencia frente a las amenazas modernas.
- Invierte en comprender cómo trabajan realmente tus usuarios. Tomar el tiempo para observar, escuchar e identificar las fricciones.
- Prioriza la visibilidad. Es necesario comprender cómo se comunican los sistemas y cómo fluyen los datos.
- Aplicar con inteligencia. Emplee la segmentación para aplicar el principio de mínimo privilegio donde más importa. Esto limitará el movimiento lateral y permitirá contener las brechas desde el principio.
No son ideas nuevas, pero deben aplicar conjuntamente. Ahí es donde el concepto de Confianza Cero se convierte en realidad.
Por qué seguir haciendo lo mismo no solucionará los problemas de ciberseguridad.
La ciberseguridad se encuentra en un punto de inflexión. La IA está acelerando los ataques. La computación cuántica está transformando el riesgo. Y la brecha entre el gasto y los resultados sigue ampliar.
No podemos cerrar esa brecha haciendo más de lo mismo.
Teresa hizo una observación importante. El progreso no se producirá a la velocidad de las máquinas. Sucederá al ritmo de la confianza y el aprendizaje compartido.
Esto significa que las organizaciones deben replantear cómo diseñan la seguridad, y no solo qué implementan.
El modelo de Confianza Cero ofrece una vía de avance, pero solo si se implementa con la mentalidad adecuada. Esa mentalidad comienza por priorizar cómo la gente lo usará realmente.
Si la seguridad no funciona para el usuario, no funciona en absoluto. Y si no solucionamos eso ahora, la brecha entre lo que gastamos y lo que protegemos no hará más que seguir creciendo.
Escucha el episodio completo de The Segment: A Zero Trust Leadership Podcast en Apple Podcasts, Spotify, o Nuestro sitio web.
%20(1).webp)
%20(1).webp)
%20(1).webp)
.webp)
