La psicología de la confianza en la ciberseguridad (parte 2): La ilusión del perímetro de confianza

Los modelos de seguridad tradicionales se construyeron en torno a la idea de un perímetro confiable: se asumía que todo dentro de él era confiable y el objetivo era mantener a los actores maliciosos afuera. Pero ese modelo ya no se sostiene.

Ahora, los usuarios se conectan desde cualquier lugar, utilizando una combinación de dispositivos corporativos y personales, y acceden a datos en múltiples plataformas. El perímetro se ha disuelto. Y con él, la ilusión de seguridad interna.

Es algo de lo que los arquitectos de redes se están volviendo muy conscientes. Necesitan asegurarse de que el creciente número de usuarios y dispositivos puedan conectarse a la red. Esto incluye la conexión de dispositivos IoT no administrados, que, debido a su invisibilidad efectiva, crean un punto crítico de vulnerabilidad cuando la red está "protegida" por una herramienta heredada como una VPN.

Esta vulnerabilidad crítica está creciendo a medida que vemos avances a pasos agigantados en vehículos interconectados, edificios inteligentes, etc. De hecho, se prevé que el número global de dispositivos IoT aumente entre² y más del doble, pasando de 19 800 millones este año a más de 40 600 millones en la próxima década.

Cuanto más omnipresente se vuelva el IoT, mayores serán las vulnerabilidades en las redes tradicionales. La IoT introduce software propietario que a menudo carece de integración con las herramientas de seguridad y redes heredadas, lo que crea vulnerabilidades en sus defensas. Es más, los dispositivos IoT están aumentando más rápido que el número de empleados, lo que amplía rápidamente la superficie de ataque. Ahora que la IA se incorpora a estos dispositivos, sumado al surgimiento de la intención de la IA agencial, la arquitectura tradicional de castillo y foso resulta totalmente inadecuada.

Estas arquitecturas obsoletas no gestionan correctamente los permisos, una debilidad clave en un panorama donde el movimiento lateral sigue siendo una de las principales amenazas. Simplemente no son lo suficientemente sofisticadas para gestionar correctamente los permisos. Proporcionan amplio acceso a la red a usuarios y dispositivos con credenciales verificadas. Si esas credenciales se ven comprometidas, un pirata informático que las utilice puede eludir su "perímetro de confianza" y acceder a cualquier información confidencial alojada internamente sin realizar más comprobaciones.

¿En resumen? Nunca confíe, verifique siempre, porque ya no existe un perímetro seguro alrededor de su red.

La urgente necesidad de un replanteamiento psicológico
Parece un principio cínico: nunca confiar, siempre verificar. Sin embargo, esta filosofía fundamental del movimiento Zero Trust no se trata de ser paranoico, sino de estar preparado. Es un reconocimiento de que la confianza, si bien es esencial en las relaciones humanas, debe ganarse y verificarse continuamente en los sistemas digitales.

Entendiendo esto, podemos decir con seguridad que Zero Trust no es sólo un marco técnico. Es un cambio de mentalidad. Debemos proteger nuestro entorno digital de la amenaza de nuestro propio sesgo de familiaridad; debemos convertir la decisión de confiar en una acción objetiva en lugar de subjetiva para obtener la seguridad de que las políticas de seguridad se aplican de manera consistente. Al imponer el acceso con privilegios mínimos y realizar una autenticación continua, Zero Trust transforma la seguridad de una barrera estática en un sistema dinámico y adaptativo.

Este enfoque se alinea con la realidad actual de los ciberataques, donde la cuestión no es si ocurrirán, sino cuándo. Reconoce que las infracciones son inevitables y que los actores internos (ya sean maliciosos o comprometidos) pueden ser tan peligrosos como los externos.

Por supuesto, el phishing por correo electrónico no es la única forma en que un actor interno comprometido puede exponer datos. Los empleados que utilizan herramientas de inteligencia artificial públicas para acelerar las tareas laborales podrían compartir datos privados sin saberlo. Y, considerando el sesgo de familiaridad subyacente, también es menos probable que detecten la ingeniería social refinada por IA. Los piratas informáticos también están recurriendo a la IA para automatizar sus esfuerzos, dándoles mayor alcance y sofisticación en menos tiempo y con mucho menos esfuerzo. Esto aumenta la probabilidad de que capten a una víctima.

Es evidente que la IA es una amenaza generalizada y posiblemente terminará erosionando la confianza hasta el punto en que no confiemos en nada. Pero no todo es malo. Necesitamos replantear nuestra manera de ver la IA: puede ser un poderoso aliado, utilizado para aplicar de manera objetiva políticas de seguridad de un modo que elimine la confianza de la ecuación.

De la paranoia a la prudencia
Para los responsables empresariales, el camino a seguir es claro. Las amenazas están evolucionando. El perímetro ha desaparecido. Y la psicología de la confianza debe evolucionar.

Zero Trust ofrece una manera de lograr precisamente eso, no rechazando la confianza, sino redefiniéndola para un mundo donde el control a través de la verificación continua es la nueva base de la seguridad.

Para obtener más información, visite: https://explore.zscaler.com/emea-financial-services/

¿PARTE DE UN SECTOR ALTAMENTE REGULADO? Para las organizaciones que trabajan en sectores fuertemente
regulados , en particular los de servicios financieros, la necesidad de adoptar Zero Trust ahora es fundamental. Si recién está comenzando su recorrido, consulte la lista de características de Zscaler que debe
considerar antes de invertir en una arquitectura Zero Trust. Le brindará una descripción general de lo que necesita para incorporar el control y la resiliencia necesarios para navegar en nuestro complejo mundo. Detalles en nuestro libro electrónico sobre servicios financieros

²Statista, Número de conexiones de Internet de las cosas (IoT) en todo el mundo de 2022 a 2023, con previsiones de 2024 a 2034. Junio de 2025. Disponible en: https://www.statista.com/statistics/1183457/iot-connected-devices-worldwide/