Zero Trust en la vida real ¿Como frenar el malware en la vida real?

PorNodier Alexander García 2 min read
0

Seguramente si has escuchado alguna vez el concepto ZeroTrust, sabrás que habla de la confianza cero...



Zero Trust es una de las tendencias actualmente de moda en el ámbito de la ciberseguridad. Hace tan solo unos años se la consideraba como un enfoque algo académico centrado en la "microsegmentación" y luego en la autenticación multifactor. Ahora se la considera de modo más general como un conjunto de principios rectores que requiere permisos explícitos para todo acceso y uso de recursos digitales. En resumen, es simplemente la manera correcta de abordar la ciberseguridad. 

 Antes de entrar en materia, veamos como la psicología cambia nuestra confianza o miedo a algo...

¿Viajarías en coches autónomos?



Según los informes de AAA, el miedo hacia los vehículos autónomos persiste entre los conductores en Estados Unidos. Las encuestas realizadas por la organización revelan una aprehensión continua por parte de una parte significativa de la población en lo que respecta a confiar en la tecnología de conducción totalmente autónoma.

Aunque ha habido un ligero aumento en la confianza en comparación con años anteriores, un porcentaje considerable de conductores sigue manifestando temor a viajar en vehículos sin conductor. Por ejemplo, datos de principios de 2025 indican que, si bien la confianza aumentó ligeramente, 6 de cada 10 conductores estadounidenses todavía reportan tener miedo a viajar en un vehículo autónomo. Esto muestra que, a pesar de los avances y la creciente presencia de esta tecnología (como los robotaxis en algunas ciudades), la aceptación pública total aún enfrenta barreras significativas.   AAA: Fear in Self-Driving Vehicles Persists | AAA Newsroom

Todo lo que necesitas saber sobre el coche autónomo - ATRIA Innovation

  • ¿La gente teme más a las cosas tangibles que a lo intangible?
  • ¿Por que no esta tan generalizado el miedo a usar contraseñas débiles o hacer ciertas actividades de riesgo en cuanto a la vida digital se refiere?

El poderoso influjo del sesgo de optimismo contribuye significativamente a la subestimación de los riesgos digitales. Los individuos a menudo creen que tienen menos probabilidades de experimentar eventos negativos en línea en comparación con otros (mentalidad de "a mí no me pasará"). Esta "ilusión de invulnerabilidad" lleva a la complacencia con respecto a las prácticas de seguridad. El sesgo de optimismo puede influir negativamente en las actitudes hacia la adopción de medidas preventivas de ciberseguridad. What is The Optimism Bias In Cyber Security | CybSafe


  • ¿El temor a un delincuente en la vida real es más grande?
  • ¿El miedo a poner en riesgo la vida es mas grande?

Es importante examinar el miedo relativo a los delincuentes en la vida real frente a las situaciones generales que amenazan la vida (accidentes, desastres naturales, enfermedades graves). Los estudios sugieren que las amenazas modernas como la electricidad y los accidentes automovilísticos desencadenan el miedo más intenso, potencialmente debido a su inmediatez percibida y al potencial de daño grave. La intensidad del miedo no siempre es directamente proporcional al carácter objetivo de la amenaza y está mediada por las normas culturales y las experiencias individuales.  Digital Immortals: Fear of Death, Human Longevity & Homo Digitalis Species - E424 — BRAVE Southeast Asia Tech Podcast Community: Singapore, Indonesia, Vietnam, Thailand, Malaysia & Philippines

Estas preguntas psicológicas sobre nuestra dimensión del miedo nos revelan que muchas veces tendemos a subestimar lo que sucede con la vida digital, lo que nos lleva a pensar que somos inmortales, como una especie de una segunda vida, y la realidad es que lo que sucede en la vida digital esta cada vez más ligado a nuestra vida real, a nuestra identidad, lo que nos lleva al concepto de la confianza, ¿Será que estamos más predispuestos a desconfiar más en unas cosas que otras?

Confiarias, en Chat GPT ¿Todos tus secretos?

Tal parece que mucha gente lo hace...


Según este informe de Visual capitalist, el uso principal de la IA Generativa ha sido que sea terapeuta.

Esto demuestra como confiamos mucho nuestra información a un ente como la IA, Siendo que esta es intangible, y pues el ejemplo anterior, la IA esta manejando un aspecto tangible de nuestra vida, la diferencia de percepción del temor es notoriamente diferente, pero también las implicaciones son diferentes...

Los Ataques de ingeniería social usan como motor el miedo o la confianza a su medida de conveniencia



Superar medidas de seguridad robustas como firewalls avanzados, contraseñas complejas de 16 caracteres (con una sólida combinación de mayúsculas, minúsculas, símbolos y baja predictibilidad), autenticación multifactor (MFA), o explotar vulnerabilidades de día cero para irrumpir en sistemas, es una tarea sumamente compleja y costosa.

En contraste, atacar el eslabón más fácil de vulnerar: el factor humano, resulta considerablemente más rentable. Disponer de todas estas capas de seguridad técnica significa que hemos fortalecido significativamente nuestras defensas.

Sin embargo, no podemos obviar que el miedo y la confianza son los mayores aliados para explotar las vulnerabilidades de seguridad más críticas. Y, a menudo, estos ataques se desarrollan de forma invisible para nosotros.

Mientras que podemos ver un vehículo desviarse por otra calle o ser testigo de un choque, no percibimos la discreta intercepción de datos, como una contraseña enviada a un sitio falso ('pepito.com') en lugar del destino legítimo ('paypal.com').

Estos conceptos, miedo y confianza, son elementos profundamente arraigados en nuestra psique. Lo que nuestra mente no puede dimensionar ni reconocer, se convierte en un punto ciego, impidiendo que le temamos o nos preparemos adecuadamente.

📌Los atacantes utilizan el miedo para manipular a las víctimas e impulsarlas a actuar de forma impulsiva. Inducen miedo o un sentido de urgencia para que las personas actúen precipitadamente. Algunos ejemplos incluyen amenazas de cierre de cuenta , acciones legales , pérdida de datos o arresto. La urgencia presiona para obtener respuestas rápidas, dejando poco tiempo para pensar críticamente. El miedo y la urgencia deterioran el pensamiento crítico y la toma de decisiones. Las oportunidades o solicitudes con plazos de tiempo limitados anulan la capacidad de pensamiento crítico, tácticas también utilizadas muchas veces como estrategias de ventas, para crear acción rápida.

📌Los atacantes también se basan en la confianza para manipular a sus víctimas. Se hacen pasar por marcas de confianza, agencias gubernamentales o figuras de autoridad. Las personas tienden a confiar, respetar o temer a la autoridad. También se hacen pasar por compañeros de trabajo, personal de soporte técnico o proveedores de servicios. Los atacantes aprovechan la tendencia a confiar en las personas y la renuencia a ser desagradables. La credibilidad es esencial; los atacantes investigan a sus objetivos para elaborar narrativas creíbles.

📌 La combinación miedo y confianza, es el coctel perfecto, confías en el delincuente, y tienes miedo de perder algo quizá diferente a lo que verdaderamente va a pasar y es como esta combinación busca jugar con tu mente, mientras que con el ejemplo del coche autónomo que mencionamos anteriormente, es un miedo tangible el cual ya nuestra mente asocia los posibles fallos de la tecnología digital con lo que podría pasar, pero seguramente alguien que en la vida real venga con pistola o tenga apariencia que nuestra mente asocia con delincuente seguramente lo primero que le tendríamos es miedo.

Los Cinco Principios de Cualquier Implementación de Zero Trust

Existen muchos marcos para ayudar a las organizaciones a avanzar hacia Zero Trust, como el Modelo de Madurez Zero Trust de CISA y el SP 800-207 de NIST sobre Arquitectura Zero Trust. Dado que cada empresa es diferente, estos marcos están diseñados para guiar -no para prescribir- el desarrollo de la estrategia y la hoja de ruta de Zero Trust, junto con la implementación y el cumplimiento. Si bien esto deja margen para la flexibilidad, todo programa Zero Trust eficaz debe compartir cinco constantes:

  1. Autenticación fuerte y adaptativa. Añadir una forma adaptativa de MFA con acceso inteligente basado en riesgos fortalece la seguridad de las contraseñas y proporciona importantes análisis del comportamiento del usuario en beneficio de todos. Las organizaciones pueden detectar amenazas potenciales más rápido, y los usuarios pueden acceder a los recursos de forma sencilla y segura.
  2. Aprobación y autorización continuas. Reautenticar y revalidar las identidades de los usuarios (después de sesiones de navegador web de alto riesgo o períodos de inactividad, por ejemplo) ayuda a garantizar que el usuario correcto tenga acceso a los recursos correctos.
  3. Acceso seguro y con privilegios mínimos. Conceder acceso de forma inteligente a recursos empresariales individuales, desde el endpoint hasta la nube, requiere controles avanzados de gestión de acceso privilegiado (PAM). Los enfoques más efectivos permiten el aprovisionamiento dinámico, como la concesión de acceso privilegiado Just-In-Time (JIT) por sesión para reducir los riesgos de acceso privilegiado permanente.
  4. Monitorización y atestación continuas. Así como el privilegio no es binario, tampoco lo son las decisiones de acceso. La monitorización continua es la mejor manera de entender qué está sucediendo y confirmar que debería estar sucediendo, mientras se detectan anomalías a medida que surgen y se mantiene una seguridad óptima del sistema.
  5. Protección de credenciales y autenticación. La gestión de privilegios en los endpoints es la piedra angular de una fuerte protección de endpoints, crítica para detectar y bloquear intentos de robo de credenciales (a través de abuso de software o memory scraping), aplicar el principio de mínimo privilegio de forma consistente (incluida la eliminación de derechos de administrador local) y aplicar un control de aplicaciones flexible (como listas blancas para fuentes conocidas) para defenderse contra malware y ransomware.

¿Por qué es necesario en la vida real?

Aumento de las amenazas cibernéticas: Con el incremento de ataques sofisticados y persistentes, confiar en perímetros de seguridad tradicionales ya no es suficiente. Zero Trust proporciona una defensa más robusta al verificar cada acceso y limitar los movimientos laterales dentro de la red.
Secuestros falsos de familiares, paquetes de Amazon falsos, entre otros tipos de amenazas que buscan que confiemos en el atacante, se han ido trasladando a métodos mas tradicionales como las llamadas telefónicas, e incluso videollamadas donde nos pueden generar deepfakes, en un mundo donde la IA Generativa ha evolucionado cada vez más rápido distinguir la verdad de la mentira y la ficción es cada vez un reto mayor, o incluso el uso de mascaras, como vemos acá en los videos.

 
El video de la izquierda (o arriba si nos ves desde el móvil) muestra como un hombre se ha hecho pasar por una mujer con una serie de mascaras, cabello, etc. El video a la derecha (o abajo si nos ves desde el móvil) nos muestra como alguien puede cambiar completamente su apariencia en tiempo real en una videollamada y hacer parecerse otra persona.


Trabajo remoto y entornos híbridos una vida más digital y conectada: La adopción masiva de diferentes formas de relacionarnos, trabajar, y hacer cosas desde cualquier parte del mundo, desde la distancia y/o la cercanía ha diluido los límites tradicionales de nuestra vida cotidiana y derribado fronteras. Zero Trust permite asegurar el acceso a recursos desde cualquier ubicación, garantizando que solo usuarios y dispositivos autorizados puedan conectarse.

Protección de datos sensibles: Al implementar controles granulares y monitoreo continuo, Zero Trust ayuda a prevenir filtraciones de datos y accesos no autorizados, protegiendo nuestra información sensible como puede ser lo que hacemos, etc.

Cumplimiento normativo: Este modelo facilita el cumplimiento de regulaciones y estándares de seguridad, al proporcionar trazabilidad y control detallado sobre quién accede a qué recursos y cuándo, si no tenemos esto en cuenta, seremos blancos de ataques posteriores.

Beneficios adicionales

  • Reducción de riesgos: Al eliminar la confianza implícita, se minimiza la superficie de ataque y se dificulta la propagación de amenazas, de que nos estafen, de propagar actividades que nos afecten a nuestra imagen, datos, financieramente e incluso nuestra vida.

  • Visibilidad y control mejorados: Zero Trust ofrece una visión más clara de las actividades dentro de la red, permitiendo una respuesta más rápida y eficaz ante incidentes de seguridad.

  • Adaptabilidad: Este enfoque se adapta a entornos tecnológicos en constante cambio, como la adopción de la nube, IoT y dispositivos móviles.


Ejemplos de porque Zero Trust es importante

Servicios Bancarios y Financieros: Más Allá del Fraude a Gran Escala

Si bien las brechas de datos masivas en el sector financiero son titulares frecuentes y un motivo obvio para Zero Trust, los problemas también pueden surgir a menor escala debido a una verificación laxa en los procesos cotidianos.

Imagina un escenario en el que intentas acceder a tu cuenta bancaria o realizar una transacción y se te dificulta o deniega el servicio porque el sistema, basándose en un nombre similar y una fecha de nacimiento coincidente con otro cliente, marca tu actividad como sospechosa o asocia erróneamente información de la otra persona a tu perfil. Aunque eventualmente se resuelva, la frustración, el tiempo perdido y el potencial impacto en tus finanzas ilustran el fallo en la verificación explícita en cada paso del proceso.

En la banca telefónica, por ejemplo, confiar únicamente en preguntas de seguridad basadas en información que podría ser conocida por otros (como fecha de nacimiento o dirección antigua) sin una verificación de identidad multifactorial y contextual continua, abre la puerta a que un atacante con información parcial pueda acceder a datos sensibles o realizar acciones no autorizadas en nombre del cliente legítimo. La implementación de Zero Trust requeriría verificar la identidad del interlocutor de manera rigurosa y continua durante la llamada, no solo al principio, y limitar las acciones permitidas basándose en un análisis de riesgo en tiempo real.

Servicios Gubernamentales y Acceso a Prestaciones: Errores con Consecuencias Significativas

Los servicios gubernamentales manejan una vasta cantidad de información personal sensible y la correcta identificación es vital para la prestación de servicios y la prevención del fraude. Los errores en la verificación de identidad pueden tener graves consecuencias para los ciudadanos.

Considera el caso de una persona a la que se le deniegan prestaciones sociales, se le asigna un historial crediticio incorrecto, o incluso se le marca con antecedentes penales de otra persona con un nombre similar y una fecha de nacimiento cercana. Estos errores, a menudo resultado de sistemas heredados que dependen de coincidencias parciales en las bases de datos y de procesos de verificación manual propensos a errores, demuestran una clara falta de principios de Zero Trust.

Un enfoque Zero Trust en los servicios gubernamentales implicaría verificar rigurosamente la identidad de cada individuo que accede a un servicio o solicita una prestación, utilizando múltiples factores y fuentes de datos confiables, y aplicando el principio de mínimo privilegio para asegurar que solo se acceda a la información estrictamente necesaria para la tarea en cuestión.

Industria de las Telecomunicaciones: Suplantación de Identidad y Servicios No Solicitados

La suplantación de identidad en la industria de las telecomunicaciones es un problema persistente que puede llevar a que se activen líneas telefónicas o servicios a nombre de una persona sin su conocimiento o consentimiento. Esto a menudo ocurre porque los procesos de verificación de identidad al contratar un servicio no son lo suficientemente robustos y se basan en la coincidencia de algunos datos personales obtenidos de forma ilícita.

Una persona puede enterarse de que tiene una deuda o contratos a su nombre que nunca solicitó solo cuando recibe avisos de cobro o su historial crediticio se ve afectado. Esto es una falla directa de la confianza implícita donde el proveedor de servicios asumió que la persona que proporcionó algunos datos básicos era el titular legítimo de la identidad.

La aplicación de Zero Trust en este sector demandaría una verificación de identidad multifactorial más estricta al momento de la contratación y para cualquier modificación de cuenta sensible, posiblemente incluyendo la verificación biométrica o el uso de credenciales digitales seguras, además de la validación cruzada con fuentes de datos confiables, para asegurar que la persona que interactúa es realmente quien dice ser y tiene la autorización para realizar esas acciones.

¿Cómo podemos implementar Zero Trust en nuestra vida cotidiana?

Zero Trust como dijimos antes, es confianza cero, así como tendríamos miedo a que un vehículo autónomo se choque solo, debemos tener miedo a la realidad de nuestro entorno social, que es hostil y malicioso, y más allá de vivir con miedo, no es entrar en pánico, es tener precaución y ser más consciente de los riesgos, nos ayuda a dimensionarlo y no ser victima de los puntos ciegos con los cuales manipulan nuestra confianza y miedos.

Disclaimer: No me hago responsable de como te tomes esta información, por que probablemente te voy a enseñar a ser demasiado desconfiado de todo.

Hay ataques en la vida real como mencionamos antes que no somos capaces de dimensionarlos debido a que se juega con factores como la confianza y miedo, utilizando elementos no tangibles que no podemos identificar, pero en entornos que si afectan en nuestro entorno real de alguna manera.

Principio #1

Autenticación fuerte y adaptativa. Añadir una forma adaptativa de MFA con acceso inteligente basado en riesgos fortalece la seguridad de las contraseñas y proporciona importantes análisis del comportamiento del usuario en beneficio de todos. Las organizaciones pueden detectar amenazas potenciales más rápido, y los usuarios pueden acceder a los recursos de forma sencilla y segura.

¿Cómo podemos adoptarlo en la vida real? 

MFA Humano:

Ten una palabra clave, esto es útil para tus personas de confianza, como en tu circulo de amigos, familia, hijos, incluso porque no utilizarlos en entornos laborales, esto nos ayuda a validar a las personas que dicen ser una persona, evitamos que nos muestren caras falsas en videollamadas, llegue un enmascarado como en los videos anteriores, o simplemente en una llamada.

Piensa en la autenticación multifactor (MFA) tradicional en la seguridad informática. Generalmente se basa en al menos dos de tres factores:

  1. Algo que sabes: Una contraseña, un PIN.
  2. Algo que tienes: Un teléfono (para recibir un código SMS o usar una app de autenticación), un token físico.
  3. Algo que eres: Una huella dactilar, reconocimiento facial (biometría).

El "MFA Humano" se basa principalmente en el factor "Algo que sabes", pero aplicado a la interacción humana en lugar de a un sistema informático. La "palabra clave" es ese conocimiento compartido que funciona como un secreto para verificar la identidad.

¿Cómo adoptarlo en la vida real (más allá de lo ya mencionado)?

  • Validación en llamadas telefónicas: Si recibes una llamada de alguien que dice ser un familiar o amigo en apuros pidiendo dinero urgentemente, algo que lamentablemente es una estafa común. Antes de actuar, podrías tener la regla con tus seres queridos de siempre pedir la palabra clave en situaciones inesperadas o de supuesta emergencia. Si la persona al otro lado no sabe la clave, es una señal de alerta muy fuerte.
  • Confirmación en videollamadas: Aunque veas la cara de alguien en una videollamada, las tecnologías de "deepfake" (videos falsos muy realistas) están avanzando. En situaciones críticas, como discusiones sobre información sensible o transferencias importantes, pedir que mencionen la palabra clave podría ser una forma de verificar que es la persona real y no una IA imitando su apariencia y voz.
  • Encuentros presenciales inesperados: Imagina que alguien se presenta en tu casa o en un lugar diciendo que viene de parte de un amigo o familiar y necesita algo. Si tienes un sistema de "MFA Humano" establecido, puedes pedir la palabra clave para tener una confirmación adicional antes de confiar en esa persona.
  • Comunicación con niños: Es fundamental enseñar a los niños que no deben confiar en nadie que los recoja de la escuela o se les acerque, incluso si esa persona dice conocer a sus padres, a menos que puedan proporcionar la palabra clave secreta de la familia.
  • Comunicación en equipos de trabajo remotos: En un equipo que trabaja a distancia y se comunica constantemente por chat, correo o videollamada, tener una palabra o frase de verificación podría ser útil antes de compartir información confidencial o autorizar acciones importantes, especialmente si hay dudas sobre la autenticidad de una solicitud.

¿Por qué funciona (y por qué no es perfecto)?

Funciona porque añade una capa de fricción para un atacante. Si alguien intenta suplantar a una persona de tu confianza, necesitaría no solo imitar su voz o apariencia (en el caso de deepfakes o llamadas grabadas) sino también conocer ese secreto compartido que, idealmente, solo ustedes saben.

Sin embargo, no es un sistema infalible:

  • La clave puede ser comprometida: Si alguien del círculo de confianza revela la clave sin querer, o si la clave es demasiado obvia (un apodo público, por ejemplo), pierde su efectividad.
  • Requiere disciplina: Todas las partes involucradas deben recordar la clave y comprometerse a usarla cuando sea necesario.
  • No protege contra amenazas técnicas directas: Un hacker que intenta acceder a tu cuenta bancaria en línea no se verá afectado por tu "MFA Humano" con tu familia. Para eso necesitas la MFA digital que proporciona el banco.
  • Puede generar desconfianza inicial: Implementar esto puede sentirse extraño al principio, como si estuvieras dudando de la identidad de alguien de confianza. Es importante que todos entiendan el propósito de seguridad detrás de ello.

El"MFA Humano" es una aplicación creativa y de bajo costo del principio de añadir factores de autenticación, adaptándolo a las interacciones personales. Complementa las medidas de seguridad digitales al abordar el riesgo de suplantación en el mundo real y en las comunicaciones directas. Es una herramienta más en tu caja de herramientas de seguridad personal y familiar.

Principio #2

Aprobación y autorización continuas. En el mundo de la ciberseguridad, este principio se refiere a no autenticar a un usuario solo una vez al inicio de sesión, sino a verificar y validar su identidad y sus permisos de forma continua a lo largo de su sesión o al intentar acceder a recursos de mayor riesgo. Si hay una actividad sospechosa, un cambio en el comportamiento del usuario, o simplemente ha pasado un tiempo, el sistema puede pedir una reautenticación (volver a verificar que eres tú) o revalidar la autorización (confirmar que todavía tienes permiso para hacer lo que intentas hacer). Esto reduce el riesgo de que una vez que un atacante ha superado la autenticación inicial (por ejemplo, robando una cookie de sesión), pueda moverse libremente por el sistema.

Aplicando Esto a la Vida Real: La Conexión con el "MFA Humano" y la Elección del Canal

Elegir cuidadosamente el canal de comunicación para temas críticos es una excelente manera de aplicar este principio en las interacciones humanas.

  1.  El Riesgo en Llamadas y Mensajes de Texto: Las llamadas telefónicas y los mensajes de texto son relativamente fáciles de falsear en cuanto a identidad. Una voz puede ser imitada (o grabada y reproducida), y un número de teléfono puede ser suplantado ("spoofing"). Un mensaje de texto proviene de un número, pero no hay una verificación visual o contextual robusta de quién está realmente enviándolo en ese momento. Es una forma de "autenticación" muy básica (basada solo en "tengo acceso a este número/voz"), y una vez que esa autenticación inicial es superada por un atacante, tienen libertad para intentar engañarte. Esto es similar a una sesión de software con autenticación única al principio pero sin revalidación.
  2. La Validación Continua en Persona o Videollamada: Aquí es donde entra la "aprobación y autorización continuas" humana.
    • Interacción en Persona: Cuando hablas con alguien cara a cara, estás verificando continuamente su identidad a través de múltiples "factores" humanos: su apariencia física, su voz, sus gestos, su lenguaje corporal, su conocimiento del contexto de la conversación, y su reacción a lo que dices. Es una validación constante y multifactorial que es extremadamente difícil de falsificar de manera convincente durante un período prolongado. Si la conversación cambia a un tema más "crítico", tu cerebro (tu "sistema de seguridad" personal) ya ha estado "reautenticando" a la persona continuamente.

    • Videollamada: Similar a la interacción en persona, una videollamada añade la validación visual y de voz en tiempo real. Aunque, como mencionamos, los deepfakes son una amenaza creciente, la necesidad de interactuar de forma coherente, responder a preguntas específicas y mantener una conversación natural hace que sea mucho más difícil para un atacante mantener una suplantación a largo plazo en comparación con una simple llamada o mensaje. La "aprobación y autorización" se revalidan constantemente a través de la interacción visual y auditiva.

Integrando el "MFA Humano" para Reautenticar en Puntos Críticos: Aquí es donde tu primera idea potencia la segunda. Usar la palabra clave del "MFA Humano" antes de discutir temas críticos o después de un período de inactividad en la comunicación (como sugieren los sistemas de seguridad digital) añade una capa de reautenticación explícita.

  • Si estás en una videollamada y la conversación vira hacia algo muy sensible (una decisión financiera importante, compartir información privada), hacer una pausa y cuelga, y verifica en tus círculos en común, verifica noticias o cualquier otra información útil antes de darla por cierta.

Escenarios de Aplicación Específica:

  • Decisiones Familiares Importantes: Evitar discutir herencias, temas médicos delicados o decisiones financieras significativas solo por texto o llamadas no verificadas. Pasar a una videollamada o encuentro presencial y usar la palabra clave antes de entrar en detalles críticos, siempre valida, verifica.
  • Comunicación Laboral Sensible: Si un colega te contacta por un canal habitual (ej. chat) pidiendo acceso a un sistema o información confidencial, sugerir mover la conversación a una videollamada y usar la palabra clave antes de proceder.
  • Verificación de Solicitudes Inusuales: Si un amigo o familiar que normalmente no te pide dinero te lo solicita por un canal poco seguro, insiste en una videollamada y la palabra clave para validar la solicitud, y confirma con otras personas de tu mismo circulo, comprueba investiga y verifica.

Principio #3


Acceso seguro y con privilegios mínimos. Conceder acceso de forma inteligente a recursos empresariales individuales, desde el endpoint hasta la nube, requiere controles avanzados de gestión de acceso privilegiado (PAM). Los enfoques más efectivos permiten el aprovisionamiento dinámico, como la concesión de acceso privilegiado Just-In-Time (JIT) por sesión para reducir los riesgos de acceso privilegiado permanente.

En el ámbito de las interacciones humanas, trasladar el concepto de "acceso seguro y con privilegios mínimos" implica gestionar la confianza, la información y la capacidad de acción que concedemos a otros en diferentes situaciones. No se trata de una barra libre de acceso a todo o de compartir información indiscriminadamente, sino de un enfoque inteligente y medido.

Piensa en ello de la siguiente manera:

  • Acceso seguro y con privilegios mínimos: Ser selectivo y cuidadoso con a quién le das acceso a tu información personal, tus recursos (físicos o emocionales) o tu capacidad para influir en decisiones que te afectan. Implica compartir solo lo necesario con las personas adecuadas.
  • Conceder acceso de forma inteligente a recursos empresariales individuales, desde el endpoint hasta la nube (traducido a interacciones humanas: conceder acceso de forma inteligente a diferentes aspectos de tu vida o a información específica, desde lo más personal hasta lo más "público" o menos íntimo): Esto significa evaluar cuidadosamente cada situación y a cada persona antes de decidir qué nivel de acceso o qué tipo de información compartir. No es un enfoque único para todos.
  • Controles avanzados de gestión de acceso privilegiado (en interacciones humanas: habilidades desarrolladas para discernir, establecer límites y evaluar la confiabilidad de otros): Son tus capacidades para "gestionar" quién tiene acceso a qué en tu vida. Esto incluye tu intuición, tu experiencia previa, tu capacidad para leer a las personas y establecer límites saludables.
  • Aprovisionamiento dinámico, como la concesión de acceso privilegiado Just-In-Time (JIT) por sesión (en interacciones humanas: compartir información o permitir un mayor nivel de involucramiento solo en el momento y para el propósito específico que se necesita, y solo por la duración de esa interacción o "sesión"): En lugar de darle a alguien acceso ilimitado y permanente a un aspecto de tu vida o a cierta información, le concedes acceso solo cuando es relevante para una interacción particular y lo retiras una vez que esa interacción termina. Por ejemplo, compartir un detalle muy personal solo con un amigo cercano durante una conversación sobre un tema específico, y no dejar que esa información sea de dominio público o se convierta en un tema recurrente innecesariamente.
  • Reducir los riesgos de acceso privilegiado permanente (en interacciones humanas: minimizar los riesgos de que alguien abuse de tu confianza, utilice información en tu contra o tenga una influencia indebida en tu vida debido a un acceso ilimitado e incontrolado): Al no otorgar un acceso total y constante, reduces la posibilidad de que se generen situaciones perjudiciales a largo plazo, como la manipulación, la traición de confianza o la dependencia insana.

En esencia, trasladado al ámbito de las interacciones humanas, este concepto aboga por una forma de relacionarse basada en la confianza ganada y contextualizada, donde el acceso a tu mundo interior y a tus recursos se otorga de manera deliberada, medida y temporal, reduciendo así la vulnerabilidad y los riesgos asociados a la concesión de un acceso ilimitado y permanente. 

Principio #4


Monitorización y atestación continuas. Así como el privilegio no es binario, tampoco lo son las decisiones de acceso. La monitorización continua es la mejor manera de entender qué está sucediendo y confirmar que debería estar sucediendo, mientras se detectan anomalías a medida que surgen y se mantiene una seguridad óptima del sistema.

Monitorización y Atestación Continuas en las Interacciones Humanas

Tal como el texto original sugiere que el privilegio y las decisiones de acceso no son binarios en los sistemas, lo mismo ocurre en nuestras interacciones humanas. Las relaciones y conversaciones no son un simple "sí" o "no", sino procesos continuos y llenos de matices. Aplicando los conceptos de seguridad a este ámbito, obtenemos lo siguiente:

Monitorización Continua (en las Interacciones Humanas):

Se trata de estar presente y atento en nuestras interacciones. No es solo el acuerdo o entendimiento inicial lo que importa, sino prestar atención de manera constante a:

  • Qué está sucediendo: Esto implica escuchar activamente, observar el lenguaje corporal, notar cambios en el tono o el comportamiento, y comprender el contexto de la interacción en tiempo real. ¿Las personas están comprometidas? ¿Hay señales de incomodidad o confusión?
  • Qué debería estar sucediendo: Esto se relaciona con las normas, expectativas o metas acordadas para la interacción o relación. ¿Nos mantenemos fieles a nuestro propósito compartido? ¿Estamos respetando los límites? ¿Estamos cumpliendo nuestros compromisos?

Atestación (en las Interacciones Humanas):

Este es el proceso de confirmar que lo que está sucediendo se alinea con lo que debería estar sucediendo. Es buscar y proporcionar validación y retroalimentación. Esto podría incluir:

  • Verificar la comprensión: Hacer preguntas aclaratorias, resumir para asegurarse de que todos están en sintonía.
  • Buscar retroalimentación: Preguntar cómo va la interacción, si se están satisfaciendo las necesidades o si hay preocupaciones.
  • Ofrecer retroalimentación: Señalar amablemente cuando algo no se siente bien, reconocer cuando las cosas van bien y reafirmar los objetivos o expectativas compartidas.

La Unión de Ambos Conceptos:

Al igual que en la seguridad de sistemas, donde el privilegio y el acceso no son simplemente un estado de encendido o apagado, las interacciones humanas son complejas y dinámicas. La monitorización y atestación continuas nos ayudan a:

  • Entender qué está sucediendo realmente: Ir más allá de las suposiciones y obtener una imagen más clara de la realidad de la interacción.
  • Confirmar la alineación: Asegurarse de que la interacción progresa de una manera saludable, productiva o alineada con los objetivos mutuos.
  • Detectar anomalías: Notar cuando algo no encaja – un cambio repentino de humor, un retraimiento, un malentendido que se repite. Estas son como las anomalías de seguridad que señalan un problema potencial.
  • Mantener la salud óptima del "sistema": Al abordar las anomalías y realinearnos continuamente, podemos mantener relaciones más saludables, colaboraciones más efectivas y una mejor dinámica social en general.

Principio #5


Protección de credenciales y autenticación. La gestión de privilegios en los endpoints es la piedra angular de una fuerte protección de endpoints, crítica para detectar y bloquear intentos de robo de credenciales (a través de abuso de software o memory scraping), aplicar el principio de mínimo privilegio de forma consistente (incluida la eliminación de derechos de administrador local) y aplicar un control de aplicaciones flexible (como listas blancas para fuentes conocidas) para defenderse contra malware y ransomware.

¿Como se puede aplicar esto en las interacciones de la vida real?

1. Protección de "Credenciales Humanas" (Confianza y Reputación):

  • Analogía con Robo de Credenciales (Abuso de Software o Memory Scraping): En las interacciones humanas, el equivalente al robo de credenciales podría ser la manipulación o el engaño para obtener información confidencial o acceso a espacios de confianza que no han sido debidamente ganados. Esto puede ocurrir a través de la difamación, la suplantación de identidad emocional o social, o la explotación de vulnerabilidades en la confianza de otros.
  • Aplicación en Interacciones Humanas:
    • Sé Auténtico: Presenta tu verdadero ser y evita la falsedad para obtener aceptación o beneficios.
    • Protege tu Reputación: Sé consciente de cómo tus acciones y palabras impactan la percepción que otros tienen de ti. Una buena reputación se construye con honestidad y coherencia.
    • Verifica la Información: Antes de confiar plenamente en alguien o en algo que te transmiten, busca señales de autenticidad y coherencia. No aceptes todo al pie de la letra, especialmente si parece demasiado bueno para ser verdad o genera sospecha.

2. Autenticación y Verificación en las Relaciones:

  • Analogía con Autenticación Técnica: En seguridad informática, la autenticación verifica que quien intenta acceder es quien dice ser. En las relaciones humanas, esto se traduce en verificar la identidad, la sinceridad y las intenciones de las personas con las que interactuamos.
  • Aplicación en Interacciones Humanas:
    • Observa la Coherencia: Presta atención a si las palabras de una persona coinciden con sus acciones a lo largo del tiempo.
    • Evalúa las Intenciones: Intenta comprender qué motiva a la otra persona en una interacción. ¿Busca un beneficio mutuo, o solo el suyo?
    • Establece Pruebas de Confianza (con cautela): En el desarrollo de una relación, la confianza se construye gradualmente a través de experiencias compartidas y la demostración de fiabilidad en situaciones diversas. Sin embargo, esto debe hacerse con discernimiento y sin poner en riesgo tu bienestar.

3. Gestión de Privilegios (Establecimiento de Límites y Niveles de Confianza):

  • Analogía con Principio de Mínimo Privilegio: En informática, se otorga solo el acceso necesario para realizar una tarea. En las relaciones, esto significa compartir información personal y otorgar niveles de acceso a tu vida de forma gradual y justificada por el nivel de confianza y la naturaleza de la relación.
  • Analogía con Eliminación de Derechos de Administrador Local: Esto se relaciona con no otorgar control total o una influencia desmedida a cualquier persona en tu vida, sin importar cuán cercana sea, a menos que sea absolutamente necesario y la confianza esté plenamente establecida. Evita que otros tomen decisiones importantes por ti sin tu consentimiento informado.
  • Aplicación en Interacciones Humanas:
    • Establece Límites Claros: Define qué información personal estás dispuesto a compartir y qué comportamientos son aceptables para ti. Comunica estos límites de manera asertiva.
    • Otorga Confianza Gradualmente: No reveles tus vulnerabilidades más profundas o información sensible a personas que acabas de conocer o en las que no confías plenamente.
    • Sé Selectivo con tu Tiempo y Energía: No todas las relaciones requieren el mismo nivel de inversión emocional o de tiempo. Prioriza aquellas que son saludables y mutuamente enriquecedoras.
    • Mantén tu Autonomía: No cedas tu poder de decisión a otros. Tú eres el principal responsable de tu bienestar y tus elecciones.

4. Control de "Aplicaciones Humanas" (Elección de Influencias y Fuentes de Información):

  • Analogía con Control de Aplicaciones (Listas Blancas): En seguridad informática, se permite la ejecución solo de software confiable. En las interacciones humanas, esto implica ser consciente de las influencias a las que te expones y filtrar la información que recibes de diversas fuentes.
  • Analogía con Defensa contra Malware y Ransomware: En el ámbito humano, esto se relaciona con protegerse de relaciones tóxicas, información dañina, manipulación emocional o ideologías perjudiciales que pueden "secuestrar" tu bienestar o forma de pensar.
  • Aplicación en Interacciones Humanas:
    • Elige sabiamente tus compañías: Rodéate de personas que te aporten positividad, te apoyen y respeten.
    • Sé Crítico con la Información: No aceptes como verdad absoluta todo lo que escuchas o lees. Cuestiona las fuentes y busca diferentes perspectivas.
    • Limita la Exposición a la Toxicidad: Si una relación o una fuente de información te hacen sentir mal, te manipulan o te perjudican, considera establecer distancia o eliminar esa influencia de tu vida.
    • Desarrolla tu Discernimiento: Cultiva la capacidad de evaluar situaciones y personas de forma objetiva, basándote en hechos y en cómo te hacen sentir a largo plazo.


Al aplicar el concepto de Zero Trust a nuestra vida cotidiana, extendiéndolo más allá del ámbito digital, fortalecemos nuestro "firewall humano" desde múltiples frentes.

Esta perspectiva nos ayuda a ser más cautelosos: evitamos confiar ciegamente en sitios web maliciosos, somos menos vulnerables a engaños psicológicos, y nos protegemos activamente contra noticias falsas y desinformación.

Además, nos permite identificar y distanciarnos de personas tóxicas que buscan manipular nuestra forma de pensar, causarnos daño o conseguir ventajas, ya sea en interacciones físicas o digitales.

Este enfoque de "ciberseguridad analógica" nos fortalece integralmente, tanto en el plano digital como en el físico. Más que un simple concepto de seguridad, Zero Trust se transforma en una mentalidad (mindset) protectora que opera de manera simultánea en ambos mundos.

En un entorno tan interconectado, a menudo ambiguo y cada vez más influenciado por la Inteligencia Artificial, como el que vivimos en 2025, es crucial que Zero Trust sea esa mentalidad fundamental que nos guía, y no se quede confinado únicamente al ámbito de la ciberseguridad digital.




4.94 / 169 rates

Publicar un comentario

Hola

Articulo Anterior Articulo Siguiente