PAM 
La Gobernanza y Administración de Identidades (IGA) desempeña un papel importante en determinar quién debe tener acceso a datos confidenciales y cuándo se debe otorgar ese
Publicado el octubre 06, 2025
La mayoría de las soluciones de acceso de red de confianza cero (ZTNA) afirman eliminar los riesgos de seguridad basados en el perímetro, pero muchas en realidad introducen nuevas vulnerabilidades. En la conferencia de hacking DEF CON en agosto de 2025, los investigadores revelaron fallas significativas en varios productos populares de ZTNA, incluidas las omisiones de autenticación y la fuga de credenciales. KeeperPAM® ayuda a cerrar las brechas de seguridad que las soluciones tradicionales de ZTNA no abordan mediante la aplicación de cifrado de confianza cero y conocimiento cero, acceso basado en bóvedas y conectividad solo saliente.
Continúe leyendo para conocer las deficiencias de la mayoría de las soluciones antiguas de ZTNA y cómo KeeperPAM aborda esas fallas para brindar acceso seguro sin exponer datos confidenciales.
Las brechas de seguridad en las herramientas ZTNA heredadas
A pesar de ser representadas como una alternativa segura a una red privada virtual (VPN), muchas herramientas heredadas de ZTNA introducen vulnerabilidades que pueden ser tan dañinas como las amenazas cibernéticas que pretenden prevenir. Los hallazgos presentados por AmberWolf en DEF CON 33 destacaron una variedad de problemas de seguridad en los principales productos de ZTNA, incluidas las vulnerabilidades que pueden permitir a los ciberdelincuentes escalar los privilegios en los dispositivos de los usuarios y acceder a recursos críticos sin ser detectados.
Elusión de autenticación
Dado que muchas plataformas ZTNA se basan en métodos de autenticación obsoletos o mal aplicados, las implementaciones débiles de SAML pueden permitir a los ciberdelincuentes reproducir tokens, eludiendo efectivamente la autenticación por completo. En algunos casos, los flujos de inscripción de dispositivos no se aplican correctamente, creando vulnerabilidades que permiten que dispositivos no autenticados se conecten a sistemas críticos.
Exposición de credenciales
Uno de los problemas más importantes de las soluciones heredadas de ZTNA es el frecuente mal manejo de las credenciales. Los secretos de larga duración, como claves API, claves SSH o tokens de acceso, generalmente se almacenan en puntos finales o en la memoria, donde son vulnerables al robo a través de infecciones de malware o compromiso local. Una vez que esas credenciales están expuestas, pueden reutilizarse para moverse lateralmente o escalar privilegios dentro de una red.
Debilidades arquitectónicas
En lugar de limitar la confianza, muchas soluciones ZTNA la amplían a través de debilidades arquitectónicas. Los ejemplos incluyen requerir la instalación de certificados raíz de confianza para la inspección del tráfico, exponer puertas de enlace a Internet y enrutar el tráfico a través de la infraestructura de un proveedor. Estas debilidades aumentan la superficie de ataque de una organización, contradiciendo directamente los pilares de la seguridad de confianza cero.
Suplantación de postura
Algunas soluciones de ZTNA se basan en comprobaciones de postura para determinar si un dispositivo es seguro mediante la verificación de versiones del sistema operativo o certificados de dispositivo. Sin embargo, muchas de estas verificaciones se aplican en el lado del cliente y pueden ser manipuladas con facilidad. Si la solución acepta tokens o credenciales almacenados en caché sin revalidar correctamente el dispositivo, los ciberdelincuentes pueden falsificar la conformidad de la postura. Esto permite que dispositivos no autorizados obtengan acceso engañando al sistema para que parezca conforme y eludiendo las protecciones de una organización.
Cómo KeeperPAM elimina esas debilidades
KeeperPAM está diseñado para eliminar las vulnerabilidades comunes en las soluciones tradicionales de ZTNA. Al combinar el cifrado de conocimiento cero, el acceso justo a tiempo (JIT) y una arquitectura de sólo salida, KeeperPAM impone una verdadera confianza cero sin exponer las credenciales ni aumentar la superficie de ataque. Estas son las capacidades principales de KeeperPAM:
- Arquitectura de conocimiento cero : Con KeeperPAM, las credenciales nunca se exponen a los usuarios, se almacenan en dispositivos ni son accesibles por Keeper. Esto garantiza que los secretos se cifren y descifren a nivel de dispositivo y de registro.
- Acceso justo a tiempo (JIT): KeeperPAM permite a los administradores conceder acceso solo cuando sea necesario y únicamente mientras dure la sesión. Una vez finalizada una sesión, KeeperPAM rota automáticamente las credenciales para evitar su reutilización o robo.
- Arquitectura de solo salida: Keeper Gateway establece conexiones cifradas de extremo a extremo sin abrir puertos de firewall de entrada ni exponer puntos finales.
- Monitorización y grabación de sesiones: KeeperPAM monitoriza y graba todas sesiones privilegiadas, incluyendo SSH, RDP y TLS, con fines de auditoría y conformidad. KeeperAI proporciona detección y respuesta de amenazas mediante IA agéntica, lo que permite finalizar automáticamente las sesiones de alto riesgo.
- Soporte de herramientas nativas con seguridad de confianza cero: Al admitir tunelización segura y acceso remoto a través de herramientas nativas como MySQL Workbench o pgAdmin, KeeperPAM mantiene la seguridad de confianza cero detrás de escena.
- Integración perfecta con los proveedores de identidad (IdP) existentes: KeeperPAM funciona con los IdP existentes, lo que garantiza una autenticación y un aprovisionamiento seguros sin comprometer el cifrado de conocimiento cero.
KeeperPAM frente a los enfoques heredados de ZTNA
Si bien la mayoría de las soluciones ZTNA afirman minimizar los riesgos, muchas aún dependen de arquitecturas obsoletas que dejan serias brechas de seguridad. KeeperPAM adopta un enfoque diferente al eliminar la exposición de credenciales, reducir las suposiciones de confianza y aplicar controles de acceso granulares. A continuación se muestran las principales diferencias arquitectónicas y operativas entre KeeperPAM y las herramientas ZTNA heredadas:
| Category | KeeperPAM | Traditional ZTNA |
|---|---|---|
| Credential storage | Credentials are encrypted in a zero-knowledge vault and never exposed to users. | Secrets are often stored on devices or in memory, leaving them vulnerable to theft. |
| Gateway exposure | Outbound-only architecture eliminates the need to open inbound firewall ports. | Requires publicly exposed gateways, which expands the attack surface. |
| Token replay risk | Vault-initiated sessions with JIT access help prevent token replay. | Reusable tokens and weak authentication methods allow for token replay. |
| Root certificate installation | Encryption remains end-to-end, making it unnecessary to install trusted root certificates. | Trusted root certificates are often required for traffic inspection, expanding trust boundaries. |
| Traffic interception | No traffic interception is needed since sessions are recorded for SSH, RDP and TLS. | Relies on traffic interception and vendor infrastructure for monitoring. |
| Access control | Just-in-Time (JIT) access with automatic credential rotation. | Broad access policies expand standing access and allow for lateral movement. |
Prepare su estrategia de acceso para el futuro con KeeperPAM
Dado que los ciberdelincuentes explotan las debilidades de las herramientas tradicionales de ZTNA, confiar en soluciones de acceso obsoletas no es seguro. Las organizaciones necesitan una solución diseñada para imponer la confianza cero sin comprometer la seguridad, y KeeperPAM ofrece precisamente eso. Al combinar el cifrado de conocimiento cero, el acceso basado en bóvedas y los controles de acceso granulares, KeeperPAM elimina la exposición de credenciales y reduce la superficie de ataque.
Start your free trial of KeeperPAM today to close security gaps and future-proof your access strategy with a scalable and secure solution built for modern cyber threats.
