Ir al contenido
Red y Acceso

¿Qué es ZTNA (Zero Trust Network Access)?

ZTNA (Zero Trust Network Access, o acceso a la red con confianza cero) es un modelo de seguridad que verifica a cada usuario y a cada dispositivo antes de dar acceso a una aplicación específica, y nunca confía en nadie solo por estar 'dentro de la red'. Sigue el principio 'nunca confíe, siempre verifique': el acceso se concede por aplicación, no a la red entera, y se puede revocar en cualquier momento.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona el ZTNA

En lugar de abrir la red entera tras un login, el ZTNA trata cada solicitud de acceso como no confiable hasta probarla. La verificación ocurre cada vez, no solo en la entrada.

1

Verifica la identidad

Confirma quién es el usuario con autenticación fuerte, casi siempre con una segunda verificación (MFA). La contraseña sola no basta.

2

Verifica el dispositivo

Comprueba que el equipo esté en condiciones seguras: actualizado, con protección activa. Un dispositivo comprometido no pasa.

3

Concede solo la aplicación correcta

Concede acceso a ese sistema específico, no a la red entera. El resto de la infraestructura queda invisible para el usuario.

4

Reevalúa todo el tiempo

La confianza no es permanente: si cambia el comportamiento, el lugar o el riesgo, el acceso se reevalúa o se corta al instante.

Fuente: Cyber Encyclopedia de N-able y NIST SP 800-207 (Zero Trust Architecture).

ZTNA y VPN: la diferencia que importa

  • Acceso: la red entera o solo la aplicación La VPN funciona como el puente levadizo de un castillo: quien entra circula por dentro. El ZTNA es como la tarjeta de un hotel, que abre solo su cuarto: acceso a una aplicación a la vez.
  • Confianza: una vez o siempre La VPN confía tras el login inicial. El ZTNA reverifica en cada acceso, porque una sesión se puede secuestrar.
  • Si roban una cuenta En la VPN, el atacante con la credencial anda por la red. En el ZTNA, queda atrapado en un único recurso: el resto está invisible, lo que limita el movimiento lateral.
  • Trabajo remoto La VPN se hizo para pocos accesos ocasionales. El ZTNA nació para equipos distribuidos y la nube, sin cuello de botella ni exposición de la red.

Por qué la VPN sola se volvió un riesgo

70%
de las nuevas implementaciones de acceso remoto usarían ZTNA en vez de VPN para 2025, según la proyección de Gartner (frente a menos del 10% en 2021)
22%
de las brechas empiezan por una credencial robada (Verizon DBIR 2025)
$ 4,44 M
es el costo promedio de una filtración de datos (IBM 2025)

La VPN se hizo para otra época: pocas personas conectándose de vez en cuando a una red de oficina de confianza. Da acceso amplio tras un solo login, así que una credencial robada, la vía de entrada número uno (22%, Verizon DBIR 2025), deja al intruso andar y moverse lateralmente. Con el trabajo remoto y la nube, esa confianza amplia se volvió el riesgo. El ZTNA lo invierte: nunca confiar en la red, verificar cada solicitud, dar acceso solo a la aplicación específica. Por eso Gartner proyectó que, para 2025, al menos el 70% de las nuevas implementaciones de acceso remoto usarían ZTNA en vez de VPN, frente a menos del 10% en 2021. No borra la brecha (costo promedio de $ 4,44 millones, IBM 2025), pero la contiene: el atacante recibe un cuarto cerrado, no el edificio entero.

Cómo adoptar el ZTNA en la práctica

El ZTNA es más un cambio de mentalidad que el reemplazo de una herramienta. En la práctica, lo que sostiene un buen modelo de confianza cero es:

  1. Empiece por la identidad fuerteLa confianza cero empieza con MFA. Sin una segunda verificación, no hay 'nunca confíe, siempre verifique'.
  2. Acceso por aplicación, no por redDé a cada persona solo lo que necesita. El resto debe ser invisible, no solo bloqueado.
  3. Verifique la salud del dispositivoUn acceso legítimo desde un equipo infectado sigue siendo una puerta. Compruebe la postura del dispositivo antes de conceder el acceso.
  4. Menor privilegio, siempreEl acceso mínimo necesario, por el tiempo necesario. El privilegio que sobra es riesgo latente.
  5. Trátelo como un camino, no un interruptorMigrar de la VPN es gradual: empiece por las aplicaciones más críticas y el acceso remoto, y amplíe.

En la práctica

La pregunta que revela el riesgo de la VPN: si la credencial de un empleado se filtrara hoy, ¿el atacante llegaría a la red entera o a un único sistema?

Cómo trata Zamak el ZTNA

Zamak Technologies diseña el acceso por el principio de la confianza cero: identidad verificada, dispositivo comprobado y acceso concedido por aplicación, para que una credencial robada no abra la red entera. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde el acceso todavía es demasiado amplio. Forma parte de la Ciberseguridad del Método Zamak.

Preguntas frecuentes sobre ZTNA

¿Cuál es la diferencia entre ZTNA y una VPN?
La VPN da acceso amplio a la red tras un login (el modelo 'castillo con puente levadizo'). El ZTNA verifica cada acceso y concede solo la aplicación específica (una 'tarjeta de hotel'). Si roban una cuenta, la VPN expone la red; el ZTNA atrapa al intruso en un único recurso.
¿ZTNA es lo mismo que Zero Trust?
No exactamente. Zero Trust (confianza cero) es la filosofía de seguridad 'nunca confíe, siempre verifique', definida por el NIST. El ZTNA es esa filosofía aplicada al acceso remoto y a las aplicaciones. El ZTNA es una parte del Zero Trust, no el todo.
¿El ZTNA reemplaza a la VPN?
En la mayoría de los casos de acceso remoto, sí, y con más seguridad. La migración suele ser gradual: empieza por las aplicaciones críticas y crece. Algunas conexiones específicas todavía pueden usar VPN durante la transición.
¿El ZTNA necesita MFA?
Sí. La verificación de identidad fuerte, casi siempre con MFA, es el primer componente del ZTNA. Sin una segunda prueba, no hay cómo confiar en quien está del otro lado del acceso.
¿Una empresa pequeña necesita ZTNA?
Con equipo remoto, nube y acceso a sistemas desde fuera de la oficina, sí. Entregado como servicio gestionado, el ZTNA queda al alcance sin exigir un equipo de red grande, y reduce el riesgo de la VPN abierta.
¿El ZTNA es una herramienta que compro?
Más que un producto, es un modelo de acceso. Involucra herramientas, pero también política de menor privilegio y verificación continua. El valor viene de cómo se diseña el acceso, no solo del software instalado.

Términos relacionados

Amenazas y Ataques
Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Cumplimiento
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake