INTRODUCCIÓN.

La nueva arquitectura/estrategia/modelo/paradigma NG-ZTA se integra sólidamente sobre la CS/P/CR en base a una super-arquitectura de IA-autónoma-autoverificada, defensiva/ofensiva proactiva multidimensional, preventiva (capaz de operar en todas las direcciones de forma hiper-automatizada, autónoma, continuada, auto-verificada, oculta con los máximos niveles de madurez, predictibilidad, eficacia, eficiencia, rapidez, etc.) basada en innumerables tecnologías como un todo. Con actuación en todo tipo de entornos CPDs, infraestructuras IT, OT/CPS, IoT, nubes, edges-IA, constelaciones de satélites (GPS, Glonass, Galileo, Beidou, QZSS, etc. y cuánticos), etc. NG-ZTA opera en profundidad con anticipación extrema exponencial, mejora continua, incorpora tecnologías JIT(Just-In-Time), IA-S basado en el uso de agentes autónomos con autocontrol/auto-verificación continuada, prevención exponencial opera como un todo indivisible con infinidad de elementos auto-verificables que se auto-ayudan; el resultado es de extrema madurez defensa/protección en profundidad por diseño y auto-verificación siempre de forma continua implica la vigilancia/monitorización multidimensional replicada, usa elementos/módulos de auto-auditoría, auto-evaluación, auto-certificación con pen-testing, auto-red/blue-teams, etc. incorpora malware-ofensivo de defensa, auto-exploración-medida y auto-reparación con anticipación extrema y eficiencia exponencial.

integarcion ng zta 3

 

MECÁNICA INTERNA.

La NG-ZTA preventiva/proactiva/hiper-automatizada se integra en una fusión perfecta con la CS/P/CR (CiberSeguridad+Privacidad+Ciber-Resiliencia) empoderándola, es multidimensional/multicapa, proactiva, con anticipación/predictibilidad/eficiencia extrema con capacidades defensivas y ofensivas en profundidad, es totalmente tolerante a fallos/disponibilidad se basa en un colectivo de constelaciones de capacidades auto-verificadas de S-IA/LLMs-multidimensional-superior-masiva-extremadamente avanzadas y opera bajo una ley redefinida de extrema “confianza-cero”. La NG-ZTA se basa siempre en “no confiar en nada, ni en nadie; la confianza puede matarte” su principio director es “verificar siempre: antes, durante y después” ya que se pueden intentar brechas de CS/P/CR en todo momento/lugar/entidad. Pero la realidad de la ZT tradicional siempre confía en algo/alguien por defecto, por ejemplo, el origen de un componente/producto que puede violarse por triangulación utilizando otro/otros orígenes algo más fiables o que se crea que son de garantías de confianza. Las actuaciones defensivas/ofensivas NG-ZTA dentro de CS/P/CR son entre otras (NG-ZTNA, acceso a entidades/redes/nubes/edges-IA/NG-ZTIAM/NG-ZTPAM, …): Predecir, identificar, analizar, gobernar, gestionar, proteger, prevenir, detectar, neutralizar, responder, recuperar/reestablecer con anticipación, etc. ante todo tipo de enemigos/situaciones/momentos/adversarios/intentos-de-incidentes/… internos y externos, conocidos y desconocidos en todos los activos/infraestructuras de los ecosistemas a defender. Utilizando innumerables capacidades preventivas/defensivas/ofensivas (uso de motores de inspección multinivel, empleo de técnicas replicadas de anticiparse, engañar, resistirse, ocultarse, recuperarse y evolucionar adaptándose a las condiciones más adversas como estrés/caos, ciber-ataques, compromisos, generadores de vulnerabilidades, ciber-riesgos, ciber-incidentes, ciber-amenazas, etc. en todo tipo de entornos/activos (sistemas/aplicaciones/datos/inteligencia/información-“el quinto poder”, dispositivos, bases de información, infraestructuras, identidades, etc. que utilizan, posibilitan, etc. ciber-recursos) para protegerse auto-ciberatacando, de forma totalmente auditada-exploratoria y de eliminación de adversarios en vida latente de dentro y de fuera) integran todos los posibles componentes (confidencialidad, integridad, disponibilidad, autenticación/autorización, no-repudio, replicación, anticipación/vigilancia-continuada extrema y actuación contra enemigos tanto visibles/invisibles, conocidos como desconocidos). Son entre otros: Pruebas de penetración continuadas exhaustivas que evalúan la CS/P/CR (Ciberseguridad/Privacidad/Ciber-resiliencia) real de todos los activos y pasivos conocidos y desconocidos existentes (Pentesting); Equipos rojos (Red-Teams) y Blue-Teams/Equipos-Azules, posibilitan realizar todo tipo de pruebas/ejercicios/auditorías/evaluaciones/simulaciones . . . extremadamente rigurosas/avanzadas de ciber-ataques totalmente coordinados para testear todas las capacidades de respuesta e identificación de adversarios ocultos y superficies de ciber-ataque en creación/crecimiento con anticipación; Identificación-análisis-gestión de vulnerabilidades permiten identificar en todas las direcciones, capas y dimensiones y de forma proactiva y reactiva los puntos de debilidad en todos los activos/recursos de sus infraestructuras, conocidos y desconocidos; Inyección de malware ofensivo para explorar, analizar-evaluar, hacer salir y destruir a todo tipo de enemigos conocidos y desconocidos; Análisis forense con extrema profundidad para poder certificar/acreditar basado en estándares conocidos y desconocidos; Examen/evaluación de los adversarios conocidos/desconocidos posibilita realizar en todas las dimensiones un análisis completo de todas las posibles ciber-amenazas concretas/específicas y simulación de todo tipo de ciber-ataques dirigidos, híbridos posibles. Las capacidades defensivas (vigilancia extrema exhaustiva, hiper-automatizada, para proactivamente neutralizar/bloquear/anular/limpiar con total efectividad todo tipo de intentos/intenciones/indicios/predicciones, etc. de ciber-amenazas, vulnerabilidades 0-day/N-day, fallos, errores, ciber-incidentes, incompetencias, infecciones/anomalías, ciber-ataques, no actualizaciones, no-uso-de-ZT, no-uso-de-Sec-Dev-Ops, etc. En pocas palabras empodera la protección de forma defensiva/ofensiva. Se integran todos los posibles componentes (con disponibilidad, replicación, anticipación extrema y actuación contra enemigos tanto conocidos como desconocidos). Son entre otros: La microsegmentación (permite contener ciber-ataques y evitar su propagación por la red en forma de movimientos laterales, reduce el tiempo de contención, acelerando la neutralización eficaz y la mitigación efectiva, también permite responder mas rápido y eficazmente y adelantarse a los ciber-incidentes. Aísla los activos de posibles ciber-amenazas internas maliciosas o accidentales puede operar con esquemas multinivel de “sand-boxing” DMZs, etc.), SDN (Software-Defined-Network), control-de-acceso-basado-en-atributos/ABAC, la respuesta con anticipación extrema a todo tipo de ciber-incidentes conocidos y desconocidos; la gestión, inteligencia y supervisión de ciber-amenazas tanto conocidas como desconocidas; la gobernanza, análisis y gestión anticipada de todo tipo de malware conocido y desconocido.

integarcion ng zta 33

CAPACIDADES OPERATIVAS.

Si comparamos las arquitecturas/modelos de CS/P/CR con NG-ZTA y los tradicionales sin nada o una ZT deficiente se observa que: (1) En los modelos de CS/P/CR sin NG-ZTA el nivel de confianza esta implícito dentro del perímetro; sólo hay CS/P/CR perimetral; el control de acceso se basa en la localización/ubicación de los activos/redes. . .; la detección de ciber-amenazas se limita a las ciber-amenazas externas; la monitorización es estática a menudo periódica. (2) En los desarrollos CS/P/CR con la nueva arquitectura NG-ZTA redefinida, el nivel de confianza es “nunca confiar (ni dentro ni fuera) siempre verificar/evaluar/comprobar/analizar” (“tus amigos están cerca pero tus enemigos/adversarios están aún más cerca”); No debe haber sólo CS/P/CR perimetral; el control de acceso debe basarse en la identidad sometida a NG-ZTA del dispositivo/entidad/usuario/datos/… utiliza gestión de identidades descentralizada; la detección/prevención de ciber-amenazas, es continua, se basa en actuar con anticipación sobre toda clase de ciber-amenazas internas y externas generando respuestas adaptativas; la monitorización es predictiva, en tiempo real y continua (incluye innumerables componentes: microsegmentación, NG-IAM (Identity-and-Access-Management), NG-PAM (Gestión de Accesos Privilegiados), NG-IGA (Gobernanza y Administración de Identidad), NG-ITDR (Detección y Respuesta de Amenazas de Identidad), NG-IVIP (Plataformas de Visibilidad e Inteligencia de Identidad), NG-ISPM (Gestión de la Postura de Seguridad de la Identidad), …), validación/autenticación extrema-continua, aplicación de una arquitectura de políticas (aplica los accesos de mínimo privilegios y políticas dinámicas basadas en el contexto en tiempo real, integra de IA/ML/DL/RN/etc. para la toma de decisiones en tiempo real-y-prevenir-detectar-anomalías con anticipación extrema, etc.), etc.

integarcion ng zta 2

ASPECTOS FINALES.

La NG-ZTA basada en IA multinivel auto-verificada, que se integra en la CS/P/CR representa un todo de tecnologías con auto gobernanza y una filosofía común que fundamentalmente cambia el enfoque de protección/defensa de las organizaciones en todo tipo de entornos (físicos y virtuales uso de VMs/contenedores/microservicios/Kubernetes, etc.). NG-ZTA siempre supone la existencia de posibles brechas y verifica cada petición de acceso sin importar la fuente, proporciona el mejor modelo alineado con las realidades de la computación modernas donde las fronteras de red tradicionales se han disuelto. Presenta numerables ventajas en la detección/prevención, contención, ciber-resiliencia operacional, etc. Es capaz de actuar eficazmente cuando el ciber-atacante se mueve lateralmente dentro de un entorno comprometido. Proporciona una visibilidad, cumplimiento, eficiencia operacional, agilidad organizacional, etc. extremo. La NG-ZTA basada en IA multidimensional se integra en todas las direcciones/necesidades de la CS/P/CR (CiberSeguridad/Privacidad/CiberResiliencia) para dotarla de un empoderamiento extremo hiper-automatizado/autónomo basado en no confiar nunca en nada ni en nadie, ni dentro ni fuera (bloqueando los accesos no multi-evaluados, mejora la visibilidad de identidades, datos, actividades, etc.) sólo verificar, auditar, evaluar, explorar, examinar, vigilar, analizar, monitorizar, certificar/acreditar de forma continua y exhaustiva antes, durante y después en toda situación, proceso, operación, ciclo de vida, etc. Extrema la vigilancia a los productos no certificados en todos los estándares con máxima categoría (ENS (Esquema-Nacional-de-Seguridad), ISO, NIST, Madurez/Common-Criteria/EAL-7, etc.

 

integarcion ng zta 5

Por ejemplo: ISO/IEC 27701-2025 (fija los requisitos para establecer, implementar, mantener y mejorar continuamente un NG-PIMS (Sistema de Gestión de Información de Privacidad), ayuda a las organizaciones a demostrar responsabilidad, gestionar los riesgos relacionados con la PII (Información Personal Identificable) y mejorar de forma continua sus prácticas de privacidad; esta certificación ratifica que los datos personales se manejan bajo estrictos marcos legales como el RGPD y LOPDGDD. ISO/IEC-27017 para los sistemas de gestión de seguridad en servicios cloud (establece los controles que protegen la confidencialidad, integridad, autenticidad, disponibilidad de los datos). ISO/IEC-22301, ISO/IEC-27001 (fija la protección de la continuidad de negocio y la gestión de seguridad de información para proteger datos frente a riesgos internos y externos mediante controles y procesos robustos). NIST-SP-800-63-4 establece las Directrices de la Identidad Digital para saber cómo gestionar el riesgo en el contexto de los programas de Identidad Digital. NIST-SP-800-207 relacionado con ZT. ISO/IEC-20000-1 (establece la protección de la gestión de servicios, avala la calidad y eficiencia en la prestación de servicios tecnológicos asegurando que se cumplan las mejores prácticas) con el nivel máximo por los organismos externos acreditados en España (por el ENAC) y en otros países. NG-ZTA cumple certificaciones p.e AENOR, CCN, Leet-Security, BSI (British-Standards-Institution), Certificación “FedRAMP-High-Authorized” (el nivel más riguroso del Programa Federal de Gestión de Riesgos y Autorizaciones de EEUU, esta certificación se basa en los controles de alto impacto del estándar NIST-800-53), etc. Incorpora la protección de sistemas IA contra métodos de ciberataque-jailbreak, rastreadores de IA, teachers-bots que acceden al contenido de sitios Web en respuesta a las acciones de los usuarios, incluidos los utilizados por chatGPT, scraping, phishing, vishing, smshing, phishing por (carta, RRSS, Mensajería-Instantánea/Telegram/WhatsApp, etc.), etc. Entre las medidas para autoprotegerse: aplica parches “adversary-driven”, para contar con identidades seguras, se protege de nubes y edges, elimina las brechas de visibilidad entre dominios, protege contra cadenas de suministro contaminados y suministradores corruptos por triangulación, protege contra las actualizaciones OTA(Over-The-Air). Usa información sobre ciber-amenazas en tiempo real incluye: alertas-procesadas, IoC(Indicators-of-Compromise) de adversarios, patrones de ciber-ataque, reglas de correlación, cambios en la infraestructura, nuevos activos, etc.


REFERENCIAS.

  • Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo-2025.
    - Areitio, J. “Cancelación anticipada por parte del DAIM/MIAD de singularidades y técnicas generadoras de ciberataques insidiosos”. Revista-Conectronica. Nº 256. Mayo-2023.
    - Areitio, J. “Identificación invisible de las acciones/comportamientos perversos que se integran en los ciberataques”. Revista-Conectronica. Nº 255. Marzo-Abril-2023.
    - Hayward, M. “Cyber Security Zero-Trust Architecture”. Ed. I.P. 2025.
    - Dheenadhayalan, S. “Zero-Trust Architecture Simplified: How to Build a Secure Enterprise Network”. Ed. I.P. 2025.
    - Das, R. “Zero-Trust Architecture: A New Model for Combating Cyber Attacks”. Ed. AST Cybersecurity. 2021.
    - David, M. “Zero Trust Security Handbook”. Ed. I.P. 2024.
    - Patel, A. “Zero Trust Architecture: Trust No One”. Ed. Mr. Technical Hacker. 2024.
    - Finney, G. and Kindervag, J. “Project Zero Trust: A Story about a Strategy for Aligning Security and the Business”. Ed. John Wiley & Sons Inc. 2022.
    - Narang, S. and Gogineni, A. “Zero-Trust for the Modern Enterprise: Strategy, Architecture, and Implementation”. Ed. OSRJBH. 2025.
    - White, A. “Zero Trust with AI: The New Paradigm for AI Security and Enterprise Resilience”. Ed. I.P. 2025.
    - Naduvath, A. “In Zero Trust We Trust: A Practical Guide to Adopting Zero Trust Architectures”. Ed. Cisco Press-2024.
    - White, A. “Mastering Zero Trust with NIST-SP-800-207: A Practical Guide to Designing and Implementing Zero Trust Architectures”. Ed. I.P. 2025.
    - Rasner, G.C. “Zero Trust and Third-Party Risk: Reduce the Blast Radius”. Ed. Wiley. 2023.
    - Burch, R. “Zero Trust: 7 Must Know Principles to Secure Your Business”. Ed. I.P. 2025.
    - Quinlan, J. “Zero Trust with Istio Ambient Mesh: Sidecar-Free Service Mesh for Kubernetes: Secure Microservices with mTLS, Ztunnel, Waypoints, and Lower Resource Overhead for Production Workloads”. Ed. I.P. 2025.
    - Green-Ortiz, C., Fowler, B., Houck, D., Hensel, H., Lloyd, P. et al. “Zero Trust Architecture”. Ed. Cisco-Press. 2023.

Autor: Prof. Dr. Javier Areitio Bertolín – Director del Grupo de Investigación Redes y Sistemas. Universidad Deusto