Los equipos de seguridad tienen dificultades para mantener un control constante a medida que el crecimiento multinube, el aumento en las identidades de las máquinas y la rápida adopción de la IA aumentan la complejidad. Las configuraciones fragmentadas, la aplicación desigual de políticas y el acceso no controlado de máquina a máquina amplían la brecha entre la velocidad empresarial y la supervisión de la seguridad.
Al mismo tiempo, los sistemas de IA sancionados y de IA en la sombra introducen superficies de toma de decisiones mal gobernadas. Los controles débiles o faltantes siguen siendo el principal punto de falla, lo que resalta la necesidad de un enfoque unificado y automatizado para asegurar identidades, cargas de trabajo y operaciones impulsadas por IA.
El 36 % de las violaciones en la nube se remontan a una única causa principal: una mala configuración.1
En los entornos multinube e híbridos actuales, la superficie de ataque es el entorno. A medida que las instituciones financieras crecen, hay cuatro factores estructurales que merman constantemente su postura de seguridad. Al agravarse entre sí, crean brechas sistémicas que los controles perimetrales tradicionales nunca fueron diseñados para manejar.
Las identidades de las máquinas superan con creces en número a los humanos y, a menudo, quedan fuera de los modelos de gobernanza, lo que crea un riesgo no propio que es difícil de inventariar, auditar o explicar a los organismos reguladores.
Cada nube aplica controles de manera diferente, creando desviaciones de configuración y políticas desiguales que son difíciles de estandarizar y llevar a cabo en todos los entornos.
J.R. Rao
IBM Fellow y CTA de investigación de seguridad, IBM
La identidad es el eslabón más débil de la cadena. Una vez que se compromete la identidad, se acabó el juego. Usted obtiene todos los derechos y los privilegios y una puerta que le permite entrar. ”
En este punto, es justo preguntar: ¿sigue siendo relevante la confianza cero para los servicios bancarios y financieros modernos?
Para IBM, la respuesta es clara: la confianza cero ha evolucionado de un marco de seguridad a un modelo operativo fundamental para empresas reguladas y multinube.
Los pilares siguen siendo los mismos: aplicación coherente, verificación continua y visibilidad de principio a fin; sin embargo , las instituciones financieras no tienen dificultades con la estrategia, sino con la ejecución a escala, la auditabilidad y la demostración del control.
A medida que el software, los servicios y los agentes asumen más responsabilidades, la confianza cero debe evolucionar. El privilegio mínimo debe extenderse a los modelos y agentes, mientras que la violación de supuestos debe enfatizar la garantía continua, no las auditorías puntuales. Muchas estrategias fracasan en este punto porque el progreso real depende de controles que puedan demostrarse, auditarse y generar confianza de manera continua, requisitos que se ajustan directamente a las expectativas normativas del sector bancario y de los servicios financieros.
Para que la confianza cero cumpla su promesa, debe ejecutarse a través de un enfoque unificado basado en la identidad que haga que el comportamiento seguro sea medible, exigible y revisable de forma predeterminada. Aquí es donde IBM ayuda a las instituciones financieras a pasar de los conceptos de políticas a la realidad operativa.
La política de confianza cero solo se convierte en un obstáculo cuando se implementa de forma automática. Cuando se integra en las decisiones de identidad y acceso, la confianza cero puede ayudar a acelerar el negocio, al tiempo que fortalece la auditabilidad y la supervisión ejecutiva. Para los bancos y las instituciones financieras, esto significa una entrega digital más rápida sin aumentar el riesgo de supervisión.
Convertir los principios de confianza cero de la teoría en operaciones diarias requiere un conjunto de capacidades que funcionen juntas, no de forma aislada.
Autenticación y autorización
Identidades humanas
Los usuarios se mueven constantemente entre plataformas SaaS, sistemas internos, infraestructura en la nube y procesos de desarrollo, lo que genera dificultades y riesgos no controlados cuando no existe una capa de identidad unificada. Sin una base de identidad coherente, cada transición se convierte en una nueva decisión de acceso, una nueva política y una nueva oportunidad de fricción o riesgo.
La confianza cero aborda esto anclando el acceso humano en una fuente de identidad unificada. Al integrarse con proveedores de identidad existentes, como Active Directory, Okta, Ping o LDAP, los bancos y las instituciones financieras pueden aplicar la autenticación multifactor (MFA) resistente al phishing, emitir tokens de corta duración y tomar decisiones de acceso que se adapten al riesgo, incorporando señales y la postura del dispositivo en tiempo real.
A medida que los usuarios se mueven entre entornos, la política viaja con ellos. En lugar de volver a autenticarse a través de controles desconectados, el acceso se evalúa de manera coherente, cerrando rutas comunes de movimiento lateral, reduciendo la proliferación de cuentas y dando a los equipos de seguridad el control sin ralentizar a los creadores.
Con esta base establecida, las identidades se gestionan en un solo lugar, la MFA se aplica de forma predeterminada, el acceso a entornos y pipelines se rige a través de roles claros, y el aislamiento y las aprobaciones se realizan automáticamente en segundo plano, por lo que el personal se mueve más rápido, mientras que la institución reduce la exposición.
Identidades de máquinas
Las identidades de las máquinas superan ahora en número a las identidades humanas por un margen considerable, lo que genera un riesgo silencioso y creciente cuando no se gestionan adecuadamente. Los secretos que permanecen activos durante mucho tiempo, las claves de API sin gestionar y la confianza implícita entre sistemas generan un riesgo silencioso, pero de gran alcance.
El modelo de confianza cero considera la identidad de las máquinas como una superficie de control de primer orden, y aplica de forma predeterminada credenciales de corta duración, rotación automatizada y políticas como código. Las cargas de trabajo, las plataformas, las etapas de CI/CD y los agentes de IA deben autenticarse antes de acceder a los recursos, utilizando credenciales de corta duración y alcance en lugar de secretos estáticos.
Con la política definida como código y aplicada automáticamente, los equipos obtienen trazabilidad de extremo a extremo sin esfuerzo manual. Los registros de auditoría se vuelven a prueba de manipulaciones y el cumplimiento se puede evidenciar continuamente a partir de cómo se otorga el acceso, lo que brinda a los bancos y otras instituciones financieras reguladas un registro defendible e integral de las decisiones de acceso.
En la práctica, las credenciales se emiten y rotan automáticamente, los secretos se extraen solo cuando es necesario y los certificados TLS se gestionan de extremo a extremo. En conjunto, estos patrones proporcionan a los sistemas una forma coherente de demostrar su identidad y de limitar a qué pueden acceder.
Acceso
De humano a humano
El acceso a la infraestructura tradicional se creó en torno a la confianza de red estática: VPN, hosts bastión y credenciales permanentes que persisten mucho después de que se necesitan. Estos modelos generan fricción para los ingenieros y puntos ciegos para los equipos de seguridad.
La confianza cero reemplaza ese modelo con la autorización basada en sesiones. En lugar de otorgar acceso persistente, los ingenieros se autentican, solicitan un destino específico y reciben un token de autorización de un solo uso. Las credenciales se negocian por sesión y se revocan automáticamente cuando finaliza esa sesión.
El resultado reduce los permisos permanentes, el uso compartido de contraseñas y los túneles no gestionados. Los ingenieros pueden obtener acceso rápido y confiable sin demoras en la emisión de tickets, mientras que los equipos de seguridad obtienen registros de auditoría completos y grabaciones de sesiones cuando sea necesario, cumpliendo con las expectativas de auditoría, riesgo y supervisión sin generar fricciones en el flujo de trabajo.
De máquina a máquina
A medida que las aplicaciones se distribuyen más, la comunicación de servicio a servicio se transforma en una de las áreas más difíciles de proteger. Las listas de direcciones IP permitidas y los límites de red no se adaptan a diferentes nubes y entornos, y son frágiles por naturaleza.
La confianza cero aplica controles basados en la identidad a cada conexión entre servicios de forma predeterminada. Una vez que los servicios tienen identidades, la autenticación y la autorización se aplican en cada llamada, permitiendo que las reglas de acceso de privilegio mínimo se apliquen de forma congruente, independientemente de dónde se ejecute el servicio.
Este enfoque permite:
- TLS mutuo (mTLS) para proporcionar una evidencia criptográfica de identidad de servicio.
- Políticas de tráfico basadas en la identidad que definen de forma centralizada qué servicios pueden comunicarse y en qué condiciones, eliminando las excepciones por entorno que causan una deriva en la confianza cero.
- Emisión y renovación automatizadas de certificados, lo que mantiene los sistemas actualizados sin transferencias manuales, mientras que el enrutamiento con reconocimiento de identidades aplica el acceso con privilegios mínimos de extremo a extremo.
Protección de datos y garantía continua
El modelo de confianza cero parte de la premisa de que se producirá una violación de la seguridad, un principio que encaja perfectamente con la gestión moderna de riesgos bancarios y financieros. La última línea de defensa son los propios datos.
Al extender los principios de confianza cero a la capa de datos, las organizaciones van más allá de las auditorías periódicas hacia la garantía continua, aplicando protecciones de datos de manera persistente para limitar el radio de explosión incluso cuando las identidades están comprometidas.
Esto incluye:
- Cifrado como servicio con controles de acceso detallados.
- Cifrado de datos transparente respaldado por claves gestionadas.
- Descubrimiento y corrección continuos de secretos filtrados o no gestionados en repositorios, imágenes y pipelines.
- Análisis continuo del cumplimiento de normas utilizando políticas como código para detectar la deriva de manera temprana y activar la corrección en bucle cerrado.
El resultado es una postura de seguridad en la que el cumplimiento de normas ya no es una iniciativa separada, sino un resultado medible de cómo se aplica el acceso y la protección de datos todos los días.
Los bancos y las instituciones financieras que pasan de un modelo de confianza cero basado en el perímetro a un enfoque moderno basado en la identidad para personas, máquinas y cargas de trabajo de IA, en todos los entornos, informan mejoras operativas medibles además de una seguridad más sólida:
- Las organizaciones que utilizan controles impulsados por la IA y la automatización reducen los costos de violación en un promedio de 1.9 millones de dólares.2
- La IA y la automatización también reducen el tiempo de contención en 80 días en comparación con las organizaciones que no las utilizan.2
- Los equipos de seguridad interna ahora detectan el 50 % de las violaciones de seguridad (frente al 42 % del año anterior).2
- Una detección temprana reduce los costos en comparación con las revelaciones de los atacantes.2
Estos resultados no son accidentales. Son producto de tratar la confianza cero como un modelo operativo. La automatización elimina las dificultades que supone la gestión manual de credenciales. La política unificada reemplaza los controles frágiles y unificados en todas las nubes. Y una postura basada en la identidad alineada con los requisitos normativos, de auditoría interna y de gobernanza de la IA permite que la seguridad se mueva a la velocidad del negocio, no que la ralentice.
Descubra cómo Commercial International Bank modernizó su postura de seguridad automatizando los controles de identidad, acceso e infraestructura.
La industria está de acuerdo: la confianza cero es la estrategia correcta y ahora es el estándar3. Las instituciones que avanzan la tratan como una disciplina operativa, no como un destino. Cuando la seguridad se integra en la forma en que se otorga, verifica y revisa el acceso de forma predeterminada, los equipos se mueven más rápido, las auditorías se vuelven más sencillas y la confianza se vuelve demostrable.
Koos Lodewijkx
Director de seguridad de la información, IBM
Un enfoque de confianza cero ofrece una mejor manera de abordar la complejidad de la seguridad que desafía a las empresas hoy en día. ”
Notas de pie de página
1 CrowdStrike. Global Threat Report 2024: Top 5 Cloud Security Challenges of 2024 and How to Mitigate Them.
2 IBM. Informe del costo de una filtración de datos 2025.
3 El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. lo formalizó cuando publicaron su famosa guía, SP 800-207: arquitectura de confianza cero” en 2020.