La promesa del modelo Zero Trust —basado en el principio de “nunca confiar, siempre verificar”— continúa siendo más una aspiración que una realidad operativa. Así lo demuestra el reciente estudio The State of Zero Trust 2025, elaborado por la compañía Tailscale, que pone en evidencia la desconexión entre la teoría de la seguridad informática y las prácticas cotidianas dentro de las organizaciones.
El informe, basado en una encuesta a 1.000 profesionales de ingeniería, ciberseguridad y tecnología de la información de Estados Unidos y Canadá, revela datos que invitan a una reflexión profunda sobre el estado actual de la seguridad en el acceso a infraestructuras digitales:
El 83% de los encuestados admite haber evitado controles de seguridad para mantener su productividad, cifra que se eleva al 87% entre desarrolladores.
El 90% expresa insatisfacción con sus sistemas VPN actuales, citando problemas de latencia, fragilidad y configuraciones que requieren demasiado trabajo manual.
El 68% afirma que antiguos empleados aún conservan acceso a sistemas internos, reflejo de una gestión deficiente del ciclo de vida de identidades.
El 42% ha retrasado actualizaciones de seguridad por temor a interrumpir flujos de trabajo existentes o romper integraciones.
El modelo de perímetro ha muerto
Avery Pennarun, CEO de Tailscale, abre el informe con una sentencia clara: “El perímetro ha muerto”. La idea tradicional de que existe una red interna segura y una externa insegura ha quedado obsoleta ante la proliferación del trabajo distribuido, la nube y los servicios digitales. Sin embargo, muchos equipos siguen operando bajo esa lógica, aplicando soluciones “Zero Trust” como un conjunto de productos más que como una transformación arquitectónica.
Solo el 29% de las organizaciones emplea un modelo de acceso basado en identidades como práctica principal, mientras que el resto depende de políticas híbridas o centradas en IPs. Además, el 68% aún gestiona el acceso mediante procesos manuales, lo que genera fricción operativa y vulnerabilidades.
VPN: un vestigio del pasado que aún domina
A pesar de las crecientes críticas, las VPN tradicionales siguen siendo la norma en muchas organizaciones. Según el informe, solo el 10% de los profesionales considera que su VPN actual funciona adecuadamente. Entre las quejas más frecuentes figuran la lentitud, la imposibilidad de escalar, el riesgo de seguridad y la incompatibilidad con entornos cloud o híbridos.
Una crítica recurrente es que estas VPN otorgan un acceso demasiado amplio una vez establecida la conexión, lo que contradice los principios básicos del Zero Trust. Por ejemplo, el 40% de los encuestados cita el “riesgo de seguridad” como principal problema de su infraestructura de VPN, seguido por problemas de rendimiento (35%) y la sobrecarga operativa (34%).
Además, el uso de dispositivos personales no gestionados por parte de empleados —identificado como preocupante por el 38% de los participantes— evidencia la necesidad urgente de incorporar verificación continua y controles en el endpoint.
Cuando la seguridad ralentiza el trabajo
El conflicto entre productividad y seguridad emerge como el eje central de las tensiones internas. El 32% de los equipos de TI y ciberseguridad considera que su mayor desafío es encontrar un equilibrio entre seguridad y velocidad, mientras que otro 31% identifica como problema la proliferación de herramientas no autorizadas. Desde la perspectiva de los desarrolladores, el 51% cree que una mayor seguridad implica necesariamente una pérdida de rendimiento.
Este desfase cultural ha llevado al 83% de los trabajadores a emplear prácticas inseguras, como compartir contraseñas, omitir el uso de autenticación multifactor (MFA) o utilizar dispositivos personales para eludir restricciones de acceso.
El acceso basado en identidades: objetivo y obstáculo
El informe también destaca el creciente interés por modelos como el ZTNA (Zero Trust Network Access) y las VPN en malla (como Tailscale), que permiten establecer políticas de acceso dinámicas basadas en la identidad del usuario y el estado del dispositivo. Sin embargo, el miedo al cambio y a las interrupciones operativas sigue siendo el principal freno: el 42% ha retrasado actualizaciones por temor a romper procesos existentes, mientras que el 39% señala conflictos de prioridades organizativas como barrera adicional.
Aunque solo una minoría ha logrado una transición completa, algunas organizaciones ya han empezado a adoptar prácticas como los permisos just-in-time (JIT) y el acceso temporal automatizado, reduciendo la superficie de ataque sin entorpecer el flujo de trabajo.
¿Y ahora qué?
El estudio propone un cambio de paradigma: tratar la identidad como el nuevo perímetro. Las recomendaciones clave incluyen:
Abandonar gradualmente las VPN tradicionales en favor de soluciones ZTNA.
Consolidar herramientas sin perder flexibilidad.
Automatizar procesos de incorporación y baja de empleados.
Introducir principios de mínimo privilegio y monitorización continua.
Educar a los equipos sobre el porqué de las políticas de seguridad, involucrando a usuarios en su diseño.
Tailscale advierte que el futuro del acceso seguro no se resolverá con una única herramienta ni con más controles. “La seguridad no debe sentirse como una barrera. Si no es usable, simplemente no se usará”, resume un experto citado en el documento.
La transformación pasa por sistemas invisibles, adaptativos y centrados en la identidad, donde las buenas prácticas se integren de forma nativa en la experiencia de usuario. De lo contrario, el modelo Zero Trust corre el riesgo de ser otra casilla más por marcar, sin cumplir su verdadera función: proteger de forma efectiva un entorno cada vez más complejo y dinámico.
Artículo redactado con asistencia de IA (Ref. APA: OpenAI. (2025). ChatGPT (versión GPT-4o, 14 agosto). OpenAI)
