Zero Trust Architecture: Del concepto a la implementación con Fortinet y pfSense
Zero Trust no es un producto que se compra — es un modelo arquitectónico que se construye. Guía práctica para implementarlo en una empresa mediana usando el stack que ya tienes, sin presupuesto enterprise.
El mayor mito de Zero Trust: "es demasiado caro para nosotros"
Cuando se habla de Zero Trust Architecture (ZTA), la primera reacción en muchas organizaciones medianas es la misma: "eso es para Google, Microsoft o los grandes bancos". La segunda reacción suele ser buscar el producto que "implementa Zero Trust" — y encontrar precios de cinco o seis cifras anuales.
Ambas reacciones parten de un malentendido fundamental: Zero Trust no es un producto ni una solución que se compra. Es un modelo arquitectónico, una filosofía de diseño de red y acceso. Y sus principios pueden implementarse progresivamente con el stack que la mayoría de los equipos de TI ya tienen disponible.
"Zero Trust no pregunta si confías en el usuario. Pregunta si puedes verificar que es quien dice ser, desde donde dice estar, usando lo que dice usar — cada vez que accede."
En esta guía verás cómo TechCorp Latam — empresa de 150 empleados con Fortinet FortiGate, pfSense y Ubiquiti como stack base — construye su arquitectura Zero Trust en 4 fases, sin reemplazar su infraestructura existente.
¿Qué es Zero Trust realmente?
El modelo Zero Trust fue formalizado por el NIST en la publicación SP 800-207 (2020) y se basa en un principio que rompe con décadas de diseño de red tradicional: ningún usuario, dispositivo o sistema es confiable por defecto, independientemente de si está dentro o fuera de la red corporativa.
El modelo perimetral tradicional funciona como un castillo con foso: si pasas el foso (el firewall), estás dentro y se confía en ti implícitamente. Zero Trust asume que el foso ya fue cruzado — que hay atacantes dentro de la red — y verifica cada acceso de forma explícita, independientemente de la ubicación.
El 80% de los ataques exitosos explotan credenciales válidas — no vulnerabilidades técnicas. Un usuario comprometido dentro de la red tiene acceso implícito a todo lo que su segmento alcanza. El ransomware de TechCorp Latam se propagó exactamente así: credenciales válidas + red plana = movimiento lateral sin fricción.
Los 3 pilares de Zero Trust
Zero Trust se estructura en tres principios que deben operar simultáneamente. No son opcionales ni secuenciales — son las tres patas del modelo.
Autenticar y autorizar explícitamente cada acceso, cada vez. MFA, análisis de dispositivo, contexto de acceso. Nunca confiar solo en la red de origen.
Otorgar solo el acceso mínimo necesario para la tarea específica. RBAC, acceso JIT (Just-In-Time), revisión periódica de permisos. Limitar el radio de explosión.
Diseñar como si el atacante ya estuviera dentro. Micro-segmentación, monitoreo de movimiento lateral, cifrado de tráfico interno, respuesta a incidentes activa.
Zero Trust en el contexto del NIST CSF 2.0 y CIS Controls
Si tu organización ya implementó el NIST CSF 2.0 o avanza en los CIS Controls, Zero Trust no es un programa paralelo — es la capa arquitectónica que materializa esos marcos en el diseño de la red.
| Pilar ZTA | Función NIST CSF 2.0 | CIS Controls relacionados |
|---|---|---|
| Verificar siempre | PROTECT (PR.AA) · GOVERN (GV.RR) | CIS 5 (Cuentas) · CIS 6 (Acceso) · CIS 12 (Red) |
| Mínimo privilegio | PROTECT (PR.AA) · IDENTIFY (ID.AM) | CIS 5 · CIS 6 · CIS 3 (Datos) |
| Asumir la brecha | DETECT (DE.CM) · RESPOND (RS.MI) | CIS 8 (Logs) · CIS 13 (Monitoreo) · CIS 17 (IR) |
NIST CSF 2.0 define qué lograr. CIS Controls define qué implementar técnicamente. Zero Trust define cómo diseñar la arquitectura que hace que esos controles sean efectivos. Los tres marcos se refuerzan mutuamente — y juntos forman un programa de seguridad completo.
Implementación práctica: Zero Trust con tu stack actual
La buena noticia es que Fortinet FortiGate, pfSense/OPNsense y Ubiquiti — el stack más común en empresas medianas de LatAm — tienen capacidades nativas para implementar los tres pilares de Zero Trust. No es necesario reemplazar la infraestructura existente. Es necesario configurarla correctamente.
🟡 Fortinet FortiGate
- NGFW con inspección SSL/TLS
- FortiClient ZTNA (reemplaza VPN)
- Segmentación por VDOM/VLAN
- FortiAuthenticator para MFA
- FortiAnalyzer para logging centralizado
- Políticas de acceso por identidad
🟢 pfSense / OPNsense
- Firewall con micro-segmentación VLAN
- WireGuard / OpenVPN como ZTNA alternativo
- FreeRADIUS para autenticación centralizada
- HAProxy para acceso basado en aplicación
- Suricata/Snort IDS/IPS integrado
- pfBlockerNG para threat intelligence
🔵 Ubiquiti UniFi
- Segmentación WiFi por VLAN/SSID
- Guest Network con portal cautivo
- Traffic Rules por grupo de dispositivos
- UniFi Network Application para visibilidad
- 802.1X en switches para acceso por puerto
- Integración con RADIUS para autenticación
La implementación paso a paso: de la red plana a Zero Trust
El camino hacia Zero Trust no es un proyecto de fin de semana — es un programa de transformación progresiva. El enfoque correcto es por fases, priorizando los cambios de mayor impacto primero y construyendo sobre cada capa completada.
-
Fase 1 — Identidad como nuevo perímetro (0-30 días)
El primer paso no es tocar la red — es fortalecer la identidad. Habilitar MFA en el 100% de las cuentas (empezando por las privilegiadas), revisar y depurar cuentas inactivas, implementar RBAC estricto y documentar quién tiene acceso a qué. En Fortinet: FortiAuthenticator. En pfSense: FreeRADIUS. En Azure AD: MFA nativo gratuito.
-
Fase 2 — Segmentación de red y micro-perímetros (30-60 días)
Dividir la red plana en zonas con tráfico controlado entre ellas. Mínimo: zona de usuarios, zona de servidores, zona de gestión, zona DMZ e IoT. En FortiGate: usar VDOMs o políticas inter-VLAN con inspección. En pfSense: VLANs con reglas de firewall explícitas — todo denegado por defecto, solo se permite lo necesario. En Ubiquiti: VLANs por SSID para WiFi.
-
Fase 3 — ZTNA en lugar de VPN tradicional (60-90 días)
La VPN tradicional da acceso a la red completa — exactamente lo opuesto a Zero Trust. ZTNA da acceso solo a la aplicación específica que el usuario necesita, con verificación de identidad y postura del dispositivo en cada sesión. FortiClient ZTNA es la opción nativa con FortiGate. Alternativa open source: WireGuard en pfSense con acceso por aplicación vía HAProxy.
-
Fase 4 — Monitoreo continuo y respuesta (90-180 días)
Zero Trust sin visibilidad es incompleto. Centralizar logs de todos los componentes (FortiGate, pfSense, endpoints, AD) en Wazuh o FortiAnalyzer. Crear reglas de detección para movimiento lateral (conexiones inusuales entre VLANs), escalada de privilegios y accesos fuera de horario. Integrar con el IRP definido en RESPOND del NIST CSF 2.0.
Intentar implementar todas las fases simultáneamente. La micro-segmentación mal planificada puede cortar el acceso a sistemas críticos si no se entiende bien el tráfico actual. Antes de implementar reglas restrictivas, monitorea el tráfico existente durante 2-4 semanas en modo "observación" para entender los flujos legítimos. Lo que no documentas, lo rompes sin saberlo.
TechCorp Latam: la hoja de ruta Zero Trust en 4 fases
Con el aprendizaje del incidente de ransomware y el programa NIST CSF 2.0 consolidado, TechCorp Latam inicia su transformación hacia Zero Trust. El objetivo no es perfección inmediata — es eliminar progresivamente la confianza implícita que permitió que el ransomware se propagara tan rápido.
🏢 TechCorp Latam — Estado Zero Trust (mes 3)
El incidente de ransomware mostró exactamente por qué la red plana es insostenible: una sola credencial comprometida tenía acceso de escritura al servidor de archivos de toda la empresa. Con la segmentación de Fase 2 completada, ese mismo escenario habría contenido el impacto a la zona del usuario comprometido — sin propagación al servidor. Zero Trust convierte un desastre en un incidente menor.
Conclusión: Zero Trust es un viaje, no un destino
Ninguna organización implementa Zero Trust de la noche a la mañana. Ni siquiera las más avanzadas tecnológicamente del mundo tienen una arquitectura ZT perfecta — siempre hay capas que fortalecer, flujos que verificar y controles que ajustar.
Lo que sí es posible — y necesario — es comenzar. Comenzar con la identidad, porque es el control de mayor impacto y menor costo. Seguir con la segmentación, porque elimina la propagación lateral que hace devastadores a los ransomware modernos. Y construir la visibilidad que convierte los incidentes de días en incidentes de horas.
TechCorp Latam no necesitó un presupuesto millonario para empezar. Necesitó un plan claro, el stack que ya tenía y la voluntad de configurarlo correctamente. Eso es exactamente lo que la mayoría de las empresas medianas de LatAm también tienen disponible hoy.
No hay comentarios.:
Publicar un comentario