Cuando en 2014 Google eliminó las VPN internas y empezó a verificar cada acceso como si viniera de fuera de la empresa, pocos pensaron que ese modelo llegaría a las pymes. En 2026, ya ha llegado. Zero Trust —"nunca confiar, verificar siempre"— ha dejado de ser un concepto de laboratorio para convertirse en el estándar mínimo que reguladores, aseguradoras y directivos de IT exigen a cualquier organización que quiera reducir su exposición al riesgo. La pregunta ya no es si adoptarlo, sino cómo hacerlo sin paralizar el negocio.
Qué es Zero Trust y qué ha cambiado en los últimos años
Zero Trust parte de una premisa sencilla: ningún usuario, dispositivo o aplicación merece acceso por defecto, independientemente de si está dentro o fuera de la red corporativa. Cada solicitud de acceso se evalúa en tiempo real considerando la identidad del usuario, el estado del dispositivo y el contexto de la petición. Solo si todo cuadra se concede el acceso — y solo el estrictamente necesario.
Lo que ha cambiado no es el principio, sino su nivel de exigencia. Hace cinco años, Zero Trust era aspiracional. Hoy, prácticas que entonces se consideraban avanzadas —autenticación multifactor resistente a phishing, monitorización continua, revocación automática de sesiones sospechosas— son el punto de partida. Gartner estima que para 2026 el 60 % de las empresas utilizará algún tipo de microsegmentación en sus iniciativas Zero Trust, algo impensable hace apenas tres años.
Según Gartner, el 60 % de las empresas aplicará microsegmentación de red en el marco de Zero Trust antes de que acabe 2026. Los cortafuegos perimetrales tradicionales no pueden seguir el ritmo de la infraestructura dinámica actual.
Por qué una pyme no puede ignorarlo
El argumento más común contra Zero Trust en las pymes es la complejidad. Es un argumento comprensible, pero parte de una premisa equivocada: que Zero Trust es un proyecto que se acomete de golpe. No lo es.
El riesgo de no actuar, en cambio, sí es inmediato. Las brechas de seguridad más frecuentes en empresas de menos de 250 empleados siguen el mismo patrón: credenciales comprometidas que nadie detectó a tiempo, un dispositivo sin gestión que se conectó a recursos críticos, o un proveedor externo con acceso demasiado amplio. Zero Trust ataca directamente esos tres vectores.
Además, el marco regulatorio europeo está convergiendo en esa dirección. La Directiva NIS2, ya en vigor, obliga a sectores esenciales a implementar medidas de ciberseguridad proporcionales al riesgo. Aunque no menciona "Zero Trust" explícitamente, los controles que exige —gestión estricta de identidades, registro de accesos, segmentación de activos— son exactamente los pilares del modelo. Cumplir NIS2 bien equivale, en la práctica, a dar los primeros pasos de Zero Trust.
"Uno de los mayores fallos es querer hacerlo todo de golpe."
— John Kindervag, creador del concepto Zero TrustEl punto de partida práctico: identidad y acceso condicional
Si tu empresa trabaja con Microsoft 365, ya tienes el motor central de Zero Trust disponible sin coste adicional: las políticas de Acceso Condicional de Microsoft Entra ID. Estas políticas permiten definir condiciones dinámicas para cada acceso — por ejemplo, requerir MFA cuando el usuario se conecta desde una ubicación inusual, bloquear dispositivos no gestionados o restringir el acceso a aplicaciones críticas fuera del horario laboral.
Tres controles con los que empezar esta semana
- MFA para todos los usuarios. No solo para administradores. El 80 % de las brechas relacionadas con credenciales se habrían evitado con autenticación multifactor activa.
- Inventario de dispositivos. Si no sabes qué dispositivos acceden a tus sistemas, no puedes controlar el riesgo. Herramientas como Microsoft Intune permiten gestionar y evaluar el estado de seguridad de cada equipo antes de concederle acceso.
- Principio de mínimo privilegio. Revisa qué cuentas tienen permisos de administrador. La mayoría de las organizaciones descubren que el número es tres o cuatro veces mayor de lo necesario.
Microsegmentación y respuesta automática: el siguiente escalón
Una vez cubierta la capa de identidad, el siguiente paso es limitar el daño que puede causar un atacante que ya ha conseguido entrar. Aquí entra la microsegmentación: dividir la red en segmentos granulares de forma que un incidente en una parte no se propague al resto. En términos prácticos, significa que un ransomware que cifra los equipos del departamento de administración no puede saltar automáticamente a los servidores de producción.
Automatización: de horas a minutos
El otro componente que marca la diferencia en 2026 es la velocidad de respuesta. Las organizaciones que han madurado su modelo Zero Trust han integrado flujos automatizados que revocan sesiones sospechosas, aíslan dispositivos comprometidos o rotan credenciales en cuestión de minutos. Lo que antes requería intervención manual durante horas ahora ocurre en tiempo real. Para una pyme sin equipo de seguridad dedicado, esta automatización no es un lujo: es la única forma realista de responder a amenazas fuera del horario de oficina.
Adoptar Zero Trust no requiere un proyecto de transformación de dos años ni un presupuesto de gran empresa. Requiere un plan incremental: empezar por la identidad, añadir visibilidad sobre los dispositivos, segmentar gradualmente los sistemas más críticos y automatizar las respuestas más repetitivas. Cada paso reduce el riesgo de forma tangible. Si quieres saber en qué punto está tu organización y cuáles son las prioridades para tu caso concreto, en Expacom podemos ayudarte a trazar ese camino.