¿Qué es ZTNA (Zero Trust Network Access)?
ZTNA (Zero Trust Network Access, o acceso a la red con confianza cero) es un modelo de seguridad que verifica a cada usuario y a cada dispositivo antes de dar acceso a una aplicación específica, y nunca confía en nadie solo por estar 'dentro de la red'. Sigue el principio 'nunca confíe, siempre verifique': el acceso se concede por aplicación, no a la red entera, y se puede revocar en cualquier momento.
Cómo funciona el ZTNA
En lugar de abrir la red entera tras un login, el ZTNA trata cada solicitud de acceso como no confiable hasta probarla. La verificación ocurre cada vez, no solo en la entrada.
Verifica la identidad
Confirma quién es el usuario con autenticación fuerte, casi siempre con una segunda verificación (MFA). La contraseña sola no basta.
Verifica el dispositivo
Comprueba que el equipo esté en condiciones seguras: actualizado, con protección activa. Un dispositivo comprometido no pasa.
Concede solo la aplicación correcta
Concede acceso a ese sistema específico, no a la red entera. El resto de la infraestructura queda invisible para el usuario.
Reevalúa todo el tiempo
La confianza no es permanente: si cambia el comportamiento, el lugar o el riesgo, el acceso se reevalúa o se corta al instante.
Fuente: Cyber Encyclopedia de N-able y NIST SP 800-207 (Zero Trust Architecture).
ZTNA y VPN: la diferencia que importa
- Acceso: la red entera o solo la aplicación La VPN funciona como el puente levadizo de un castillo: quien entra circula por dentro. El ZTNA es como la tarjeta de un hotel, que abre solo su cuarto: acceso a una aplicación a la vez.
- Confianza: una vez o siempre La VPN confía tras el login inicial. El ZTNA reverifica en cada acceso, porque una sesión se puede secuestrar.
- Si roban una cuenta En la VPN, el atacante con la credencial anda por la red. En el ZTNA, queda atrapado en un único recurso: el resto está invisible, lo que limita el movimiento lateral.
- Trabajo remoto La VPN se hizo para pocos accesos ocasionales. El ZTNA nació para equipos distribuidos y la nube, sin cuello de botella ni exposición de la red.
Por qué la VPN sola se volvió un riesgo
La VPN se hizo para otra época: pocas personas conectándose de vez en cuando a una red de oficina de confianza. Da acceso amplio tras un solo login, así que una credencial robada, la vía de entrada número uno (22%, Verizon DBIR 2025), deja al intruso andar y moverse lateralmente. Con el trabajo remoto y la nube, esa confianza amplia se volvió el riesgo. El ZTNA lo invierte: nunca confiar en la red, verificar cada solicitud, dar acceso solo a la aplicación específica. Por eso Gartner proyectó que, para 2025, al menos el 70% de las nuevas implementaciones de acceso remoto usarían ZTNA en vez de VPN, frente a menos del 10% en 2021. No borra la brecha (costo promedio de $ 4,44 millones, IBM 2025), pero la contiene: el atacante recibe un cuarto cerrado, no el edificio entero.
Cómo adoptar el ZTNA en la práctica
El ZTNA es más un cambio de mentalidad que el reemplazo de una herramienta. En la práctica, lo que sostiene un buen modelo de confianza cero es:
- Empiece por la identidad fuerteLa confianza cero empieza con MFA. Sin una segunda verificación, no hay 'nunca confíe, siempre verifique'.
- Acceso por aplicación, no por redDé a cada persona solo lo que necesita. El resto debe ser invisible, no solo bloqueado.
- Verifique la salud del dispositivoUn acceso legítimo desde un equipo infectado sigue siendo una puerta. Compruebe la postura del dispositivo antes de conceder el acceso.
- Menor privilegio, siempreEl acceso mínimo necesario, por el tiempo necesario. El privilegio que sobra es riesgo latente.
- Trátelo como un camino, no un interruptorMigrar de la VPN es gradual: empiece por las aplicaciones más críticas y el acceso remoto, y amplíe.
En la práctica
La pregunta que revela el riesgo de la VPN: si la credencial de un empleado se filtrara hoy, ¿el atacante llegaría a la red entera o a un único sistema?
Cómo trata Zamak el ZTNA
Zamak Technologies diseña el acceso por el principio de la confianza cero: identidad verificada, dispositivo comprobado y acceso concedido por aplicación, para que una credencial robada no abra la red entera. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde el acceso todavía es demasiado amplio. Forma parte de la Ciberseguridad del Método Zamak.