La Era del Zero Trust: Desconfía Primero, Protege Después

Panel: Neuron IT FORUM

En un entorno digital donde la sofisticación de los ciberataques crece más rápido que la capacidad de las organizaciones para defenderse, los modelos tradicionales de seguridad ya no son suficientes. La premisa de “confiar en lo interno y desconfiar de lo externo” ha quedado totalmente superada. Hoy, la única postura verdaderamente viable es una: Zero Trust.

Durante el panel “La Era del Zero Trust: Desconfía Primero, Protege Después”, expertos de alto nivel compartieron una visión profunda sobre cómo este modelo está transformando la ciberseguridad en México. La conversación —moderada por Aimé Pimentel, líder de WOMCY México— reunió a Gabriel Lomelí, CISO de Yo Te Presto, y Eduardo Zamora, Regional VP NOLA de SailPoint, quienes analizaron los retos, la madurez del mercado, las brechas culturales y el papel emergente de la identidad digital como columna vertebral de la seguridad moderna.

---

Zero Trust: más que tecnología, una filosofía empresarial

Los panelistas coincidieron en que Zero Trust no es un producto, ni una herramienta, ni un “plugin” que se instala. Es un cambio de mentalidad.
Significa partir de un principio simple:

“Nunca confíes. Siempre verifica.”

Como lo expresó Gabriel Lomelí, Zero Trust rompe el viejo paradigma del “castillo y la muralla”:
Antes, todo lo que estaba fuera era peligroso, y todo lo que estaba dentro era confiable.
Hoy, incluso dentro del perímetro —la red corporativa, la oficina, la VPN, la nube— también existe riesgo.

Con ese enfoque, Zero Trust se apoya en tres pilares esenciales:

• Identidad: verificar de forma continua que cada usuario y cada dispositivo sea quien dice ser.
• Privilegios mínimos: nadie accede más allá de lo estrictamente necesario.
• Visibilidad y segmentación: monitoreo permanente de flujos, comportamientos y accesos.

Eduardo Zamora enfatizó que el concepto requiere automatización, gobernanza de identidades y una integración profunda con el ecosistema multinube. En su visión, Zero Trust ya no es solo una estrategia de seguridad, sino un lenguaje de confianza digital que conecta tecnología, procesos y comportamiento humano.

---

México: ¿adopción real o aspiracional?

Una de las discusiones más interesantes del panel giró en torno a la madurez de Zero Trust en México.

• Para el sector fintech, dijo Gabriel, la adopción está ya en un nivel 8 o 9, pues estas empresas “nacieron digitalmente” y con marcos regulatorios que impulsan controles estrictos.
• Pero a nivel país, Eduardo reconoció que todavía estamos en un punto cercano al 6.
  Aunque existe interés, muchas organizaciones permanecen en transición entre la teoría y la ejecución real.

El anuncio reciente del borrador de una Ley de Ciberseguridad en México fue mencionado como un parteaguas. Su existencia podría acelerar la adopción, obligar a las empresas a profesionalizar sus prácticas y cerrar lagunas de cumplimiento que hoy permiten que sectores como retail, salud o manufactura permanezcan rezagados.

“Lo que antes era ‘si quiero’ ahora será ‘tengo que’. La regulación será un detonador real de madurez.”

---

El verdadero reto: la cultura interna

Ambos panelistas fueron enfáticos: el principal obstáculo NO es la tecnología. Tampoco el presupuesto. Es la cultura.

Cambiar la mentalidad de todos los niveles —desde el operativo hasta el C-Level— implica romper paradigmas profundamente enraizados:

• “Aquí nunca pasa nada.”
• “Somos una empresa familiar, todos nos conocemos.”
• “Eso es para corporativos, no para nosotros.”
• “La seguridad hace lento el trabajo.”

Para avanzar, Zero Trust debe ser un proyecto patrocinado desde arriba: si la dirección general no es el principal sponsor, la iniciativa está destinada a ser incompleta o a quedarse en un documento.

La cultura no se compra. No se implementa con licencias. Se construye con entrenamiento, comunicación y coherencia organizacional.

---

El usuario: el eslabón más débil… y también la primera línea de defensa

Uno de los momentos más potentes del panel fue cuando Eduardo Zamora afirmó:

“Los atacantes ya no hackean. Se loguean.”

Hoy, la mayoría de las brechas no provienen de fallas tecnológicas, sino de:

• Credenciales expuestas,
• Accesos heredados,
• Usuarios sin entrenamiento,
• Dispositivos desactualizados,
• Malos hábitos como compartir contraseñas.
  

Por eso, la educación del usuario final se vuelve crítica. No se trata de “alfabetización digital” —un término que el panel consideró excesivo—, sino de conciencia, responsabilidad y buena práctica. Cuando los empleados entienden las consecuencias de un ataque, se convierten en aliados naturales de la defensa.

El ejemplo cotidiano es claro:
tras ver noticias de ciberataques, muchos usuarios piden ayuda para verificar su segundo factor de autenticación. La conciencia crece.

---

La identidad: el nuevo perímetro

Uno de los consensos más contundentes fue que la identidad es el corazón del Zero Trust.
Ya no importa desde dónde se conecte un usuario ni si está dentro o fuera de la red corporativa.
Lo que importa es:

• Quién es,
• Qué permisos tiene,
• Por qué los tiene,
• Por cuánto tiempo,
• Su comportamiento corresponde a lo esperado.

La inteligencia artificial se vuelve un arma de doble filo: permite automatizar la supervisión, pero también obliga a controlar qué accesos usa la propia IA para operar, entrenarse o tomar decisiones.

Governance + IA + automatización son, en esta nueva era, un ecosistema indivisible.

---

¿Qué viene en los próximos tres años?

En la visión de los panelistas, Zero Trust evolucionará hacia:

1. Confianza dinámica

Los accesos se ajustarán automáticamente según el contexto:

• Ubicación, horario, dispositivo, conducta, riesgo.

2. Inteligencia artificial gobernada

La IA no solo ejecutará procesos, sino que también deberá ser regulada, auditada y controlada como cualquier usuario.

3. Mayor regulación nacional

Con una ley de ciberseguridad formalizada, las organizaciones estarán obligadas a migrar a modelos más maduros de protección.

4. Estrategias unificadas SASE / identidad / nube

Todo estará conectado: nube, dispositivos, SaaS, identidades, APIs, endpoints.

---

Recomendaciones finales para las organizaciones que aún no comienzan

Los expertos dejaron una guía clara para quienes están en etapas tempranas:

1. Empieza con lo que ya tienes

Zero Trust no requiere comprar todo desde cero.
Muchos controles ya existen: identidades, permisos, logs, segmentación básica.

2. Construye visibilidad

No puedes proteger lo que no ves.
Audita usuarios, accesos, dispositivos y flujos de información.

3. Define procesos antes de comprar tecnología

La tecnología será inútil si no existen políticas claras, responsabilidades definidas y procedimientos sólidos.

4. Capacita a tu gente

Sin cultura, todo se caerá tarde o temprano.

5. Busca asesoría experta

Zero Trust no es un proyecto que deba improvisarse.
Comparte aprendizajes con otras industrias, benchmarking y consultores especializados.

---

Conclusión: Zero Trust no es el destino. Es el camino.

Al cierre del panel, Eduardo Zamora dejó una frase que resume perfectamente la evolución de esta filosofía:

“Zero Trust no es el destino, es el camino.”

Y Gabriel Lomelí complementó:

“El verdadero riesgo no es no tener Zero Trust.
Es seguir creyendo que no lo necesitamos.”

El mensaje final para las organizaciones mexicanas es claro:
Zero Trust no solo protege.
Habilita el negocio, genera confianza entre clientes e inversionistas, y prepara a las empresas para un futuro donde la seguridad será parte del ADN operativo.

En una era en la que los atacantes no fuerzan puertas, sino que usan contraseñas legítimas, Zero Trust deja de ser una opción y se convierte en una responsabilidad estratégica.