Zero Trust en Perú: muchas empresas creen aplicarlo, pero los riesgos persisten por una adopción parcial

• Perú registró casi 750 millones de intentos de ciberataques en 2025, lo que convierte a Zero Trust en una estrategia imperativa de ciberseguridad. No obstante, su implementación exige más que tecnología: requiere cambios culturales y de procesos.

En la actualidad, las empresas peruanas enfrentan un crecimiento sin precedentes de las amenazas cibernéticas que ponen en riesgo sus operaciones. Según un informe de FortiGuard Labs, en la primera mitad de 2025 se registraron más de 748 millones de intentos de ciberataques en el país, una cifra que evidencia que el riesgo digital ya no es una posibilidad lejana, sino una constante para organizaciones de cualquier tamaño e industria.

Zero Trust, un modelo de ciberseguridad basado en el principio de “no confiar nunca por defecto”, restringe el acceso de usuarios y dispositivos a lo estrictamente necesario, incorpora microsegmentación y establece políticas de acceso basadas en el contexto de uso. Este enfoque ha ganado protagonismo como una de las principales estrategias de ciberseguridad a nivel global. Estudios internacionales indican que el 81 % de las empresas ya ha iniciado algún nivel de adopción de Zero Trust; sin embargo, apenas una de cada cuatro considera que su implementación cumple realmente con los principios del modelo, lo que deja al descubierto una brecha entre intención y ejecución.

“Existe una brecha real entre declarar que se ha adoptado Zero Trust y la efectividad con la que se aplica”, afirma Luis Ladera, Director de Desarrollo de Negocios de DIMA. “Muchas empresas adquieren herramientas puntuales, pero no reestructuran sus estrategias de ciberseguridad para alinear procesos, gestionar identidades, establecer políticas de acceso contextualizadas ni definir una gobernanza de datos adecuada, todo bajo un marco continuo de verificación que permita reducir efectivamente los riesgos y la superficie de ataque.”

El vocero de DIMA enumera los siguientes errores comunes en la implementación de este modelo:

1. Fragmentación tecnológica: Las empresas combinan distintas soluciones de seguridad sin integración central, lo cual diluye la eficacia de los controles y políticas.
2. Visión de producto, no de proceso: Se compra tecnología de autenticación multifactor o se implementa segmentación de red, pero no se redefinen políticas corporativas de acceso contextualizadas dinámicamente, un gobierno de datos sólido o cambios pertinentes y fluidos en la microsegmentación de redes.
3. Déficit en talento especializado: Sin personal con experiencia en ciberseguridad estratégica, las implementaciones quedan incompletas, mal integradas o sin las revisiones continuas necesarias.
4. Infraestructura legacy: Sistemas antiguos que carecen de capacidades avanzadas de seguridad —como segmentación de servicios, verificación continua de accesos o autenticación fuerte— entorpecen una implementación adecuada de Zero Trust.
5. Falta de gobernanza de datos y acceso a aplicaciones: Muchas organizaciones no clasifican ni protegen adecuadamente sus activos críticos, reduciendo la capacidad para establecer controles de acceso estrictas, de forma adecuada y dinámica.

En contraste, cuando el modelo se implementa de forma correcta, los resultados son contundentes. Investigaciones globales de ZipDo Education  muestran que hasta el 87 % de las organizaciones que aplican Zero Trust de manera integral logran reducir significativamente los incidentes de seguridad, además de acelerar los tiempos de detección y respuesta ante amenazas. 

Finalmente, el desafío para las empresas peruanas no es decidir si adoptan Zero Trust, sino cómo hacerlo eficazmente. “Para que el modelo funcione, es necesaria una transformación que integre visión estratégica, procesos y cultura organizacional, de modo que la seguridad deje de ser reactiva y pase a convertirse en un habilitador de confianza en la economía digital”, señala Ladera.