Inicio Educación Ciberseguridad Arquitectura Zero Trust en las universidades

Arquitectura Zero Trust en las universidades

Por

12 septiembre, 2025

Las universidades se han convertido en organizaciones sin perímetros. Con usuarios que se conectan a distancia —algunos de forma híbrida, otros de manera permanente—, la ciberseguridad tradicional ya no es suficiente. Es por ello que la arquitectura Zero Trust o confianza cero es tan conveniente para la seguridad de los ecosistemas universitarios de TIC. Se funda en un principio simple: nunca confiar, siempre verificar. Eso significa que, sin excepción, cuando un usuario busca acceder a los recursos universitarios, se verifica y autentica su identidad.

La arquitectura Zero Trust implica siempre el acceso con privilegios mínimos. Es decir, los usuarios sólo pueden utilizar los recursos justos para cubrir sus necesidades. Para determinar lo anterior, se toman en cuenta cinco aspectos fundamentales: identidad, dispositivos, redes, aplicaciones y cargas de trabajo, y datos. De manera complementaria, también deben considerarse la visibilidad de los dispositivos; el análisis de la actividad de los usuarios; la automatización y orquestación de procesos, y las políticas y procedimientos necesarios para una buena gobernanza de las TIC.

Ahora bien, implementar la arquitectura Zero Trust requiere una planeación cuidadosa, para no incurrir en gastos innecesarios. Comienza por la identificación de las principales vulnerabilidades de la universidad y la evaluación de las herramientas ya en uso. Una vez que se determina qué tanto contribuyen al modelo de confianza cero es cuando se debe buscar soluciones adicionales con propósitos específicos.

El punto más débil de la ciberseguridad universitaria suele ser el acceso a las redes y los recursos informáticos de la universidad. Eso se agudizó a partir de la pandemia, cuando se debió recurrir a las conexiones remotas que, de una u otra manera, se utilizan hasta hoy.

Modernizar para la arquitectura Zero Trust

Es por lo anterior que al implementar la arquitectura Zero Trust conviene empezar por modernizar la manera en que los usuarios se conectan. Esto implica adquirir soluciones para cubrir diversas necesidades:

●Acceso a la red de confianza cero (Zero Trust Network Access, ZTNA). De acuerdo con los principios del modelo, se asume como amenazas potenciales a cada usuario, dispositivo o segmento de red. En consecuencia, se implementan controles de acceso que verifican continuamente cada solicitud, independientemente de la ubicación, el usuario o el dispositivo. Se puede así proporcionar accesos adaptables y segmentados a aplicaciones y recursos con toda seguridad.

●Autenticación de múltiples factores (MFA), particularmente útil para atajar los ataques de phishing basados en ingeniería social.

●Soluciones de prevención de pérdida de datos (Data Loss Prevention, DLP) para para protegerlos.

●Microsegmentación de las redes, para dividirlas en pequeños y aislados y dificultar los movimientos de los atacantes dentro de la infraestructura de TIC. Facilitan el control granular de los accesos y el tráfico dentro de la red.

Cambiar el enfoque de ciberseguridad hacia la arquitectura Zero Trust en las universidades implica comprender que las herramientas tradicionales (como firewalls y sistemas de detección de intrusiones) ya no son suficientes. Eso es particularmente cierto en el caso de los usuarios remotos.

Los dispositivos y usuarios que se conectan en el campus, es decir, dentro del perímetro, suelen tener mayores niveles de protección y escrutinio. En cambio, con las soluciones tradicionales, los dispositivos remotos no ofrecen la misma visibilidad ni el control de la actividad de los usuarios.

Perímetro recuperado

En cambio, con la arquitectura Zero Trust se pueden crear conexiones directas y cifradas con total seguridad. Para ello, todo el tráfico fluye por la solución de confianza cero, incluido el de los cortafuegos y los sistemas de prevención de intrusiones. Eso permite bloquear con facilidad las descargas de malware y negar el acceso a sitios inseguros donde se origina el phishing.

De hecho, es una conexión más segura que la que permiten las redes privadas virtuales (VPN). Esto es porque los usuarios sólo acceden a las aplicaciones para las que están acreditados. No tienen acceso a otros recursos a través de la red.

Dicho control puede, inclusive, automatizarse. Por ejemplo, al iniciar sesión en Microsoft Entra ID (antes Azure Active Directory), se identifica al usuario y se comprueban sus credenciales. Luego, se conecta con la solución Zero Trust de la universidad para verificar la identidad del usuario y otorgarle los permisos específicos asociados a su rol en particular (estudiante, profesor, empleado).

El uso de la arquitectura Zero Trust implica instalar el agente de la solución en todos los dispositivos que accederán a las redes universitarias. Eso permite recopilar datos de telemetría tanto del dispositivo como de la red; se obtiene así visibilidad y se facilita detectar las ciberamenazas antes de que puedan actuar. Es decir, los propios dispositivos se convierten en un nuevo perímetro.

Por supuesto, implementar la arquitectura Zero Trust no se limita a la adquisición y configuración de soluciones tecnológicas. Como siempre, en la ciberseguridad el factor más importante es el usuario mismo. Por ello, es indispensable diseñar y establecer políticas para que la confianza cero sea efectiva.