Zero Trust en entornos híbridos: cuando la identidad y la cadena de suministro se convierten en el nuevo perímetro

Por Miguel López Calleja, Regional Sales Director South Europe, Barracuda

Durante años, la ciberseguridad se ha construido alrededor de una idea sencilla: proteger un perímetro claramente definido. Firewalls, redes segmentadas y accesos controlados delimitaban un “dentro” seguro y un “fuera” potencialmente hostil. Sin embargo, ese modelo ya no responde a la realidad actual. La adopción masiva del cloud, el trabajo híbrido, la proliferación de APIs y la dependencia creciente de terceros han hecho que ese perímetro, tal y como lo conocíamos, simplemente deje de existir.

En este nuevo escenario, muchas organizaciones han abrazado el concepto de Zero Trust como respuesta lógica. No obstante, en la práctica, sigue existiendo una brecha importante entre la teoría y la operación diaria. Zero Trust no es un producto ni un proyecto cerrado; es una estrategia operativa continua que debe escalar de forma coherente en ecosistemas cada vez más híbridos y distribuidos.

⇒ Guía para construir una estrategia de ciberresiliencia Leer ⇒ Por qué una plataforma integral de ciberseguridad supera a las soluciones puntuales Leer ⇒ Escalando Zero Trust: identidad y cadena de suministro como nuevo perímetro (Intervención de Barracuda Networks en Foro IT Digital Security) Ver

Uno de los errores más comunes al abordar Zero Trust es reducirlo a la sustitución de la VPN o a la implantación de autenticación multifactor. Aunque estos pasos son necesarios, están lejos de ser suficientes. En los entornos actuales, el verdadero perímetro ya no es la red: es la identidad digital.

Y no hablamos únicamente de identidades humanas. Hoy, aplicaciones, cargas de trabajo, cuentas de servicio y APIs generan un volumen creciente de identidades no humanas que, si no se gobiernan adecuadamente, amplían de forma silenciosa la superficie de ataque. Cada una de estas identidades representa un punto potencial de acceso que debe ser verificado de manera continua, contextual y bajo el principio de mínimo privilegio.

Zero Trust, para ser efectivo, exige que cada acceso se evalúe en función de quién accede, desde qué dispositivo, a qué recurso y en qué contexto, y que esa evaluación no sea puntual, sino constante. Cualquier enfoque que deje fuera a una parte de estas identidades está condenado a convertirse en una implementación parcial.

Otro desafío clave es la fragmentación. Muchas organizaciones avanzan hacia Zero Trust de forma desigual: controles sólidos en cloud, pero laxos en on-premise; usuarios bien protegidos, pero APIs expuestas; identidades gestionadas, pero dispositivos no verificados. El resultado es una falsa sensación de seguridad basada en silos que los atacantes saben explotar con facilidad.

Los marcos de madurez de Zero Trust, alineados con estándares como NIST, coinciden en que el progreso debe ser gradual y coordinado, apoyándose en pilares como identidad, dispositivo, red, aplicaciones y datos. Pero más allá del marco conceptual, el verdadero reto es hacerlo operativo sin añadir complejidad innecesaria.

Si Zero Trust incrementa la fricción operativa o dificulta la visibilidad, acaba generando resistencias internas y atajos peligrosos. Escalarlo con éxito requiere automatización, coherencia entre entornos y una visión unificada que evite duplicidades y brechas de confianza implícita.

A esta complejidad se suma un factor cada vez más crítico: la cadena de suministro digital. Proveedores, integradores, software de terceros y APIs externas introducen nuevas identidades y accesos que amplían el perímetro de forma constante. En muchos incidentes recientes, los atacantes no han necesitado comprometer directamente a la víctima final; les ha bastado con explotar la confianza implícita depositada en un tercero.

La seguridad de la cadena de suministro ya no puede tratarse como un problema separado. Cada proveedor es, en la práctica, una extensión del entorno digital de la organización. Si sus accesos no se controlan bajo principios Zero Trust —verificación continua, mínimo privilegio y visibilidad—, se convierten en un punto de entrada privilegiado para el atacante.

Reducir la dispersión de proveedores, consolidar capacidades de seguridad y aplicar controles coherentes a terceros no es solo una cuestión de eficiencia, sino de resiliencia operativa.

La conclusión es clara: Zero Trust no es un fin en sí mismo, sino un medio para lograr una seguridad más adaptable, escalable y sostenible. Tratar la identidad —humana y no humana— como el nuevo perímetro, aplicar controles coherentes en entornos híbridos y extender estos principios a la cadena de suministro son pasos imprescindibles para cerrar la brecha entre el diseño y la realidad.

El objetivo final no es únicamente reducir el riesgo, sino permitir que la seguridad acompañe al crecimiento del negocio sin convertirse en un freno. En un ecosistema digital cada vez más interconectado, solo un enfoque Zero Trust verdaderamente operativo permitirá a las organizaciones mantener el control, la visibilidad y la confianza, incluso cuando el perímetro ya no existe.

Desde Barracuda ayudamos a las organizaciones a afrontar estos retos desde una visión integral de la ciberseguridad. Nuestro enfoque combina protección avanzada del correo electrónico, aplicaciones, datos, identidades, redes y entornos cloud, junto con capacidades de detección, respuesta y resiliencia frente a incidentes. En un contexto marcado por entornos híbridos, dependencias externas y una superficie de ataque en constante expansión, el objetivo es reducir la complejidad, mejorar la visibilidad y reforzar el control sin frenar la operativa del negocio. Solo así es posible construir una seguridad sostenible, capaz de adaptarse al cambio y de proteger a las organizaciones frente a amenazas cada vez más sofisticadas y distribuidas.