En este texto se aborda el enfoque Zero Trust en redes de seguridad, un punto de partida esencial para entender cómo la seguridad física conectada ha dejado atrás la antigua suposición de que todo lo que reside dentro de la red es, por naturaleza, confiable. La transición desde buses propietarios hacia dispositivos IP —cámaras, grabadores, paneles de alarma o sensores IoT— ha demostrado que estos equipos funcionan como pequeños ordenadores capaces de explorar, comunicarse y, en ocasiones, exponerse sin control en arquitecturas sin segmentación. Este cambio obliga a adoptar un modelo donde la confianza no se presupone, sino que se verifica: cada dispositivo debe autenticarse, operar dentro de una VLAN restringida, comunicarse únicamente con sus destinos legítimos y permanecer bajo supervisión continua. De este modo, Zero Trust se consolida como la respuesta moderna a un ecosistema en el que cada puerto supone un posible vector de ataque y en el que el switch se convierte en el verdadero garante de la seguridad.
Durante años, en el ámbito de la seguridad física se mantuvo la convicción de que todo aquello que permanecía dentro de la red era, de por sí, seguro. Las cámaras, los grabadores, las centrales de intrusión o los sensores se instalaban en entornos cerrados donde prácticamente nadie cuestionaba su exposición. Mientras estos sistemas funcionaban sobre buses propietarios o redes aisladas, aquella idea parecía lógica. Pero la situación cambió radicalmente cuando estos dispositivos comenzaron a utilizar protocolos IP, a establecer sesiones TCP, a comunicarse con la nube o a incorporar conexiones inalámbricas. Lo que antes era una infraestructura estable y contenida se transformó en una red poblada por pequeños ordenadores -los dispositivos- con sistemas operativos embebidos, servicios activos y vulnerabilidades propias.
Recuerdo con claridad la primera vez que percibí el alcance de este cambio. Un instalador me comentó que analizando el tráfico de red, había comprobado que una cámara instalada en un vestíbulo de una empresa generaba tráfico hacia varios servidores internos que no tenían relación alguna con el sistema de videovigilancia. Al analizar la captura se observaba que el dispositivo realizaba consultas DNS y enviaba paquetes a distintos puertos internos. No se trataba de un ataque, sino de una consecuencia directa de una arquitectura sin segmentación, donde todos los dispositivos comparten un mismo dominio broadcast. La cámara, ejecutando una versión reducida de Linux, actuaba de acuerdo con lo que la red le permitía: descubrir, preguntar y comunicarse con todo aquello que resultara visible. La vulnerabilidad no residía en el dispositivo en sí, sino en el diseño global que le concedía plena libertad de movimientos.
Esa experiencia vine a reafirmar qué la seguridad tradicional basada en la ubicación física dejó de ser eficaz en redes modernas. En ese contexto surge Zero Trust en redes de seguridad, un modelo arquitectónico que descansa sobre una idea sencilla pero profundamente disruptiva: nada debe considerarse confiable por defecto, ni siquiera aquello que hemos instalado nosotros mismos. Su cambio de paradigma se fundamenta en la desaparición de las suposiciones; la confianza ya no se presume, se verifica, y cada dispositivo debe justificar su comportamiento constantemente.
El desafío es especialmente visible en redes de seguridad física conectadas. Las cámaras IP ejecutan sistemas operativos completos capaces de recibir peticiones web, anunciar su presencia mediante protocolos de descubrimiento y mantener sesiones persistentes. Las centrales de intrusión incluyen interfaces Ethernet que permiten tráfico saliente no documentado. Los sensores IoT, con firmwares reducidos y a menudo inseguros, son capaces de enviar información a servidores externos mediante protocolos como MQTT (Message Queuing Telemetry Transport) -que es un protocolo de comunicación muy utilizado en dispositivos IoT (Internet of Things) por una razón sencilla: consume muy pocos recursos y funciona incluso en redes inestables o con muy poco ancho de banda- o HTTP sin que el instalador lo advierta. Y, por supuesto, la mayoría de estas instalaciones se encuentran en redes que no han sido segmentadas: todo convive en el mismo espacio broadcast, donde cualquier dispositivo puede descubrir a cualquier otro con un simple paquete ARP, un protocolo diseñado originalmente para resolver direcciones MAC, no para ser una herramienta de reconocimiento interno involuntario.
En auditorías reales pueden observarse patrones muy repetidos. La tabla siguiente resume algunos de los comportamientos más frecuentes y el riesgo técnico que implican.
| Dispositivo | Comportamiento observado | Riesgo derivado |
| Cámaras IP | Responden a peticiones desde cualquier origen y generan tráfico no necesario | Accesos no autorizados y movimiento lateral hacía equipos dela misma red. |
| Grabadores NVR/XVR/DVR | Exponen puertos abiertos, a veces sin control | Ataques de fuerza bruta y accesos indebidos |
| Centrales de intrusión | Funcionan en la misma red que PCs corporativos | Acceso a sistemas sensibles si un equipo queda comprometido |
| Sensores IoT | Firmware desactualizado y conexiones externas no documentadas | Integración en botnets o fuga de datos |
| Switches sin segmentación | Todo en una misma VLAN | Reconocimiento interno y difusión indiscriminada |
| Accesos remotos técnicos | Contraseñas genéricas y ausencia de MFA | Compromiso total si la credencial se filtra |
Tabla 1: Vulnerabilidades habituales en redes de seguridad conectadas
El análisis conjunto de estos comportamientos revela que la seguridad moderna no puede apoyarse en la proximidad física, sino en mecanismos lógicos que limiten la visibilidad, la interacción y las capacidades de cada dispositivo. En este sentido, la segmentación es el primer pilar operativo del modelo Zero Trust. Dividir la red en dominios independientes mediante VLAN permite que los dispositivos de seguridad física queden aislados dentro de su propio entorno funcional. Una cámara situada en una VLAN dedicada ya no puede ver ni responder al tráfico broadcast de otros equipos que no están en la misma VLAN, y un panel de alarma no puede intercambiar paquetes con servidores que no formen parte de su lógica operativa. Esta segmentación puede visualizarse como un edificio dividido en estancias cuyas puertas solo se abren si se dispone de la llave correcta.
A medida que se profundiza en Zero Trust, la microsegmentación adquiere un papel determinante. Mientras que la segmentación clásica limita la visibilidad entre grupos de dispositivos, la microsegmentación permite definir con precisión quirúrgica qué flujos son legítimos y cuáles no. Los switches de nueva generación integran capacidades de capa 3 que actúan como árbitros internos, decidiendo qué VLAN puede comunicarse con otra y bajo qué condiciones. Si una cámara únicamente necesita enviar vídeo mediante RTSP a su grabador, la red puede restringirla para que ese sea su único destino posible. De este modo, incluso aunque un atacante comprometiera el dispositivo, la capacidad de propagación lateral quedaría severamente limitada.
La identidad constituye otro elemento central dentro de la arquitectura Zero Trust. En redes tradicionales, basta con conectar un cable para obtener conectividad. En un modelo Zero Trust esto resulta inaceptable. La autenticación por puerto, habitual en switches modernos, obliga a que cada dispositivo se identifique antes de acceder a la red. Protocolos como 802.1X permiten la introducción de un proceso de verificación en el que el dispositivo debe autenticar su identidad mediante EAP contra un servidor RADIUS. Cuando el equipo no soporta este mecanismo, se emplea la autenticación basada en la dirección MAC, aunque siempre como solución secundaria. Una vez autenticada la identidad, el switch puede asignar dinámicamente la VLAN correspondiente y aplicar políticas específicas. Así, una cámara, un sensor industrial o un teléfono IP pasan a ser “identidades” con permisos estrictamente delimitados.
Junto a la autenticación, la verificación continua es indispensable. Una red Zero Trust requiere supervisión permanente, no validaciones puntuales. Los sistemas de gestión cloud incorporados en los switches de última generación permiten visualizar en tiempo real qué dispositivo está conectado a cada puerto, cómo se comporta y si su tráfico presenta patrones anómalos. Esta centralización facilita auditorías, ofrece trazabilidad completa de las acciones y permite realizar ajustes inmediatos ante cualquier evento sospechoso. Si un sensor IoT (sensor, relé, altavoz, bocina,…) comienza a enviar tráfico inesperado hacia un servidor externo o una cámara inicia consultas ICMP hacia destinos no autorizados, la red puede identificar rápidamente la anomalía y aislar el dispositivo.
La defensa interna constituye un complemento esencial dentro de esta estrategia. En un escenario donde un atacante puede introducirse desde dentro a través de un dispositivo aparentemente inocuo, resulta imprescindible disponer de mecanismos automáticos que neutralicen comportamientos anómalos. Tecnologías como:
- DHCP Snooping: Impiden que un dispositivo malicioso actúe como un servidor DHCP falso;
- Dynamic ARP Inspection: Bloquea intentos de suplantación mediante ARP Spoofing;
- IP Source Guard: Garantiza que cada dirección IP utilizada corresponde a la identidad asignada;
- Storm Control: Limita la saturación de tráfico broadcast y multicast;
- Port Security: Restringe el número de direcciones MAC permitidas en un puerto.
En combinación con la microsegmentación y la autenticación por identidad, estas funciones refuerzan la protección lateral y minimizan los riesgos internos. Lo más notable es que, en los switches de última generación, todas estas funciones se ejecutan directamente en el hardware de acceso, lo que aporta velocidad, control y eficacia sin saturar el core de la red.
La gestión unificada de varios switches es otro aspecto decisivo en instalaciones Zero Trust en redes de seguridad. Los equipos actuales permiten que numerosos switches funcionen como un único sistema lógico, lo que facilita la aplicación de políticas coherentes en toda la red. La configuración se replica de manera uniforme, se reducen los errores humanos y las medidas de seguridad se despliegan de forma homogénea, un factor crucial cuando se manejan arquitecturas con decenas de dispositivos de acceso.
La creciente presencia de tecnologías IoT y OT en entornos corporativos añade complejidad a la arquitectura de seguridad. Cámaras, sensores, interfonos, lectores RFID, PLC industriales y domótica,…. conviven en el mismo espacio físico, pero no deben hacerlo en el mismo espacio lógico. En la actualidad, los switches ofrecen perfiles de acceso diseñados para estos dispositivos, capacidades PoE que evitan adaptadores externos, y herramientas de monitorización que identifican rápidamente equipos desconocidos. La microsegmentación, combinada con identidad y control continuo, impide que un dispositivo IoT vulnerable pueda alcanzar áreas críticas o interactuar con otros sistemas críticos.
Todas estas piezas permiten afirmar que Zero Trust no es un concepto teórico, sino una arquitectura operativa que se implementa directamente en el switch. La seguridad deja de depender de perímetros abstractos y pasa a concentrarse en el punto exacto donde cada dispositivo se conecta. Cuando cada puerto es un potencial punto de ataque, el diseño de la red debe convertirse en la primera línea de defensa.
En síntesis, para que Zero Trust en redes de seguridad sea efectivo, el switch debe integrar microsegmentación avanzada, identidad, autenticación en el puerto, filtrado granular, protección interna, gestión centralizada y compatibilidad con entornos IoT y OT. La red deja de ser un mero conducto y se convierte en un sistema activo, capaz de aprender, vigilar y controlar. En un mundo donde cada dispositivo es un ordenador en miniatura, la única estrategia realista consiste en asumir que nada es confiable por defecto y que la verificación continua es el verdadero cimiento de la seguridad moderna.