viernes, 21 de noviembre de 2025

Zero Trust Assesment. Una herramienta de botón gordo

 Estimados amigos de Inseguros !!!

Hoy nos salimos un poco del “clic aquí, clic allá” y nos metemos en algo más de fondo:
el Zero Trust de Microsoft aplicado a la vida real.

Llevo años hablando de esto con clientes, auditores y equipos IT, y sigo viendo dos extremos peligrosos:

  • Quien piensa que Zero Trust es solo una palabra bonita para los powerpoints.

  • Y quien cree que es “una licencia más” que se compra y ya está.

Ni una cosa ni la otra.

De “dentro seguro / fuera peligroso” a “no confío en nadie por defecto”

A principios de los 2000, Google ya empezó a entender que el mundo no era un CPD con un perímetro y ya.

Tenían gente trabajando desde todos lados, conexiones desde cualquier sitio y un concepto muy simple:

“No tiene sentido seguir pensando en dentro y fuera.
Todo es externo. Todo se trata como si fuera cloud”.

Eso, llevado a nuestro día a día, significa que el modelo de
“en la oficina estás seguro, fuera ya veremos” está muerto.

Sin embargo, en las auditorías sigo viendo cosas como:

  • Puertos de salida abiertos de par en par “porque si no, algo deja de funcionar”.

  • DNS hacia fuera sin control, resolviendo por donde no deben.

  • VLAN que solo son “pintura” de switching, sin ACLs ni reglas claras entre segmentos.

Y luego hablamos de Zero Trust como si ya lo tuviéramos superadísimo.

Zero Trust no es solo red: es identidad, dispositivo, aplicación, datos e infraestructura

Cuando Microsoft habla de Zero Trust, no se queda en el firewall:

  • Network: qué puede salir, por dónde, hacia qué, y desde qué contexto.

  • Identidad: quién eres, cómo te autenticas, desde qué país/ubicación, con qué riesgo.

  • Dispositivo (endpoint): si está gestionado o no, si cumple políticas, si es BYOD, si está sano.

  • Aplicaciones: qué apps están publicadas, quién puede llegar, cómo se exponen.

  • Datos: clasificación, etiquetas, qué se puede subir, descargar, compartir, integrar con IA.

  • Infraestructura: on-prem, cloud, multi-cloud, todo metido en la misma ecuación.

El problema es que muchas organizaciones siguen mirando solo la parte fácil:

“Mientras el puerto 3389 no esté abierto desde Internet y el firewall tenga unas cuantas reglas, vamos bien”.

Y no.
Zero Trust va de meter todos esos ámbitos en la misma foto y hacer que las decisiones de acceso se tomen en base a:

  • quién,

  • desde dónde,

  • con qué,

  • a qué quiere entrar,

  • y en qué condiciones.

Microsoft, licencias y realidad (no todo es comprarlo todo)

Otro punto importante:
Microsoft, como cualquier fabricante, quiere vender productos y licencias.

Hay cosas que, sinceramente, hoy no me planteo no tener (por ejemplo, determinadas capacidades de identidad y seguridad en la nube a nivel P1/P2).
Pero eso no significa que la solución sea:

“Lo compro todo y ya tengo Zero Trust”.

El concepto Zero Trust es independiente del fabricante.
Que uses Microsoft, Linux, on-prem, multi-cloud… da igual:
los principios son los mismos, cambian las piezas y los nombres.

La ventaja en el ecosistema Microsoft es que puedes:

  • Gobernar entornos cloud y on-prem desde el mismo lugar.

  • Unificar identidad + dispositivo + aplicación + datos bajo las mismas políticas.

  • Usar herramientas como Sentinel para tener visibilidad centralizada.

Pero hay que configurarlo, entenderlo y bajar el concepto a controles concretos.

Una herramienta práctica: Zero Trust Assessment

Para aterrizar todo esto en algo útil, en el vídeo de esta lección os enseño una herramienta de la comunidad llamada “Zero Trust Assessment”.

¿Qué hace?

  • Conectas tu tenant.

  • Lanza una serie de comprobaciones.

  • Te genera un informe bastante completo con:

    • Usuarios privilegiados y su estado MFA (fuerte, débil, inexistente).

    • Dispositivos y si están registrados, gestionados, o simplemente “paseando” por ahí.

    • Configuración de identidad, accesos, riesgos, inicio de sesión, etc.

    • Puntos débiles y recomendaciones para mejorar.

En el vídeo os muestro un caso real de tenant y vamos viendo:

  • Cómo interpretar el overview.

  • Dónde suelen fallar las empresas (MFA, dispositivos sin gestionar, invitados, etc.).

  • Cómo usar ese informe como base para un plan de mejora Zero Trust.

No es magia, no es marketing: es auditoría aplicada al mundo Microsoft.

¿Quieres ver el Zero Trust “en vivo”?

Si te interesa ver todo esto en detalle, con ejemplos reales y el informe de Zero Trust Assessment en pantalla, te lo cuento paso a paso en el vídeo:

👉 Ver el vídeo completo sobre Zero Trust en Microsoft


https://youtu.be/yDLnZ579Efw


Ahí verás menos teoría de libro y más “esto es lo que realmente me encuentro en los tenants”.

¿Te gustaría llevar este enfoque a tu empresa?

Si quieres ir más allá del vídeo y trabajar Zero Trust, identidad, dispositivos, acceso condicional, Sentinel y compañía de forma estructurada,

en la Academia SeguridadSi tienes cursos orientados precisamente a esto:

  • Seguridad Microsoft y Zero Trust en entornos reales.

  • Auditoría y fortificación de entornos híbridos.

  • Monitorización y respuesta a incidentes con herramientas de Microsoft.

👉 https://academia.seguridadsi.com

Formación pensada para profesionales que ya están en el barro y necesitan criterio y método, no más humo.

Gracias por seguir al otro lado, amigos de Inseguros !!!

Joaquín Molina (KinoMakino)
Joaquín Molina (KinoMakino) — Fundador de SeguridadSi.
Especialista en Ciberseguridad Microsoft/Azure. Sobre mí.
Aporreador de teclado