Zero Trust Casero

Logo de Zero Trust Casero: ciberseguridad sin comerte el coco

¿Qué es Zero Trust Casero?

Es una matriz de control doméstica que traduce los principios Zero Trust a acciones concretas para personas, familias y microempresas. Se estructura en bloques, dominios y subdominios con una dificultad objetivo por cada uno para facilitar una adopción gradual.

Beneficios clave

Prioriza lo que de verdad importa

Empieza por medidas de alto impacto y baja complejidad. Avanza por niveles con claridad.

Reduce superficie de ataque

Gestiona identidades, endurece dispositivos, segmenta la red y elimina exposición innecesaria.

Protege tu privacidad

Gobierna datos personales, minimiza huella digital y mantén control sobre comparticiones.

Responde con método

Define cómo detectar, contener y recuperarte ante incidentes con copias y restauraciones verificadas.

Cómo empezar en 5 pasos

  1. Autoevalúa tu situación y define objetivos trimestrales.
  2. Protege tus cuentas: gestor de contraseñas, MFA y métodos de recuperación.
  3. Actualiza y endurece tus sistemas, apps y router; aplica configuraciones seguras.
  4. Segmenta la red, aplica firewall inter-zona y filtra contenidos.
  5. Define tu estrategia de copias (3-2-1) y prueba la restauración.

Consejo: programa una revisión mensual de 30 minutos para mantener el rumbo.

El Marco: Bloques, Dominios y Subdominios

EG01 — Estrategia & Gobierno

CCS01 — Concienciación y Cultura de Seguridad

  • CCS-10. Propósito y normas personales de seguridad (B)
  • CCS-20. Onboarding, offboarding de convivientes e invitados (B)
  • CCS-30. Formación y hábitos de ciberhigiene (B)
  • CCS-40. Educación digital para menores (B)
  • CCS-50. Refuerzo conductual y campañas(B)
  • CCS-60. Autoevaluación doméstica de seguridad (B)

GDA02 — Gestión de Activos

  • GDA-10. Ciclo de vida físico: alta, etiquetado y baja (B)
  • GDA-20. Inventario de dispositivos físicos (B)
  • GDA-30. Propiedad, responsabilidad y criticidad de activos (M)
  • GDA-40. Catálogo de software y aplicaciones instaladas (M)
  • GDA-50. Inventario de terceros y dependencias (B)
  • GDA-60. Fin de soporte y reemplazo (M)

PRV03 — Privacidad por Diseño y Gobernanza de Datos

  • PRV-10. Gobernanza y política de privacidad doméstica (M)
  • PRV-20. Inventario y clasificación de datos personales (M)
  • PRV-30. Consentimientos, preferencias y huella digital (B)
  • PRV-40. Compartición con terceros y transferencias de datos (M)
  • PRV-50. Minimización y seudo anonimización (M)
  • PRV-60. Ciclo de vida de la información: retención y eliminación (M)
  • PRV-70. Derechos del titular (M)
  • PRV-80. Evaluación de impacto de privacidad y cambios (A)
  • PRV-90. Legado digital y eliminación póstuma de datos (M)

PP02 — Protección Preventiva

GIA04 — Gestión de Identidades y Acceso

  • GIA-10. Gestión del ciclo de vida de cuentas (M)
  • GIA-20. Gestión de credenciales y gestores (B)
  • GIA-30. Autenticación multifactor (B)
  • GIA-40. Recuperación y continuidad de acceso (B)
  • GIA-50. Sesiones y dispositivos de confianza (M)
  • GIA-60. Acceso condicional del IdP y bloqueo de protocolos heredados (A)
  • GIA-70. Autorizaciones y mínimo privilegio (A)

GVP05 — Gestión de Vulnerabilidades y Parches

  • GVP-10. Política y orquestación de parcheo (M)
  • GVP-20. Actualizaciones automáticas del sistema operativo (B)
  • GVP-30. Actualización de aplicaciones, navegadores y firmware (M)
  • GVP-40. Verificación post-parcheo y rollback (M)
  • GVP-50. Gestión de vulnerabilidades y avisos (M)
  • GVP-60. Excepciones y mitigaciones temporales (A)

PED06 — Protección de Endpoints

  • PED-10. Seguridad física y custodia de dispositivos (B)
  • PED-20. Capacidades de antirrobo, localización y borrado remoto (M)
  • PED-30. Antimalware/EDR y mitigación de exploits (B)
  • PED-40. Protección anti-phishing y antifraude en el endpoint (B)
  • PED-50. Control de aplicaciones y descargas (M)
  • PED-60. Autoprotección de las soluciones de seguridad (M)
  • PED-70. Protección específica anti-ransomware (M)
  • PED-80. Control lógico de puertos y periféricos (A)

ACS07 — Arquitectura y Configuración Segura

  • ACS-10. Ajustes seguros del sistema operativo (M)
  • ACS-20. Cifrado de datos en reposo y en tránsito (M)
  • ACS-30. Bloqueo de sesión y arranque seguro (B)
  • ACS-40. Privilegios locales y elevación controlada (M)
  • ACS-50. Configuración segura de aplicaciones (M)
  • ACS-60. Gestión de certificados y almacenes de confianza del sistema (A)
  • ACS-70. Configuración declarativa (A)
  • ACS-80. Endurecimiento de servicios expuestos (A)

SIR08 — Seguridad de Infraestructura y Redes

  • SIR-10. Servicios de red domésticos y router seguro (M)
  • SIR-20. Acceso inalámbrico y remoto seguro (B)
  • SIR-30. Segmentación de red doméstica (M)
  • SIR-40. Firewall, ACL inter-zona y políticas “deny-all” (A)
  • SIR-50. Validación y pruebas de segmentación (M)
  • SIR-60. Filtrado de contenidos y ads a nivel de red (M)
  • SIR-70. Control de acceso a red y asignación dinámica (A)
  • SIR-80. Microsegmentación y aislamiento en host, hipervisor y overlay (A)
  • SIR-90. Acceso a aplicaciones por identidad (A)

OC03 — Operaciones & Continuidad

MDA09 — Monitorización y Detección de Amenazas

  • MDA-10. Fuentes de telemetría y centralización (M)
  • MDA-20. Comprobaciones básicas de seguridad (B)
  • MDA-30. Reglas de detección y correlación doméstica (M)
  • MDA-40. Alertas y notificaciones de seguridad (B)
  • MDA-50. Detección de filtraciones de credenciales (B)
  • MDA-60. Afinado y calidad de señal (M)
  • MDA-70. Preservación de evidencias y retención de logs (M)
  • MDA-80. Reconocimiento y triaje de señales sospechosas (M)
  • MDA-90. Ciclos de revisión y verificación periódica (B)

PRD10 — Protección y Recuperación de Datos

  • PRD-10. Alcance y catálogo de datasets, orígenes (M)
  • PRD-20. Estrategia de copias y destinos de almacenamiento (B)
  • PRD-30. Protección de la plataforma de backup e inmutabilidad (M)
  • PRD-40. Copias de servicios cloud y móviles (M)
  • PRD-50. Automatización y frecuencia de copias (M)
  • PRD-60. Herramientas de recuperación (M)
  • PRD-70. Verificación y pruebas de restauración (A)
  • PRD-80. Conservación y archivo a largo plazo (B)

RAI11 — Respuesta ante Incidentes

  • RAI-10. Preparación ante incidentes (B)
  • RAI-20. Activación, comunicación y denuncia (B)
  • RAI-30. Contención y solución rápida (M)
  • RAI-40. Forense ligera y preservación operativa de evidencias (M)
  • RAI-50. Lecciones aprendidas y reconstitución (M)
  • RAI-60. Monitorización reforzada y cierre del incidente (M)

Leyenda:

  • (B): Nivel bajo de conocimientos técnicos.
  • (M): Nivel medio de conocimientos técnicos.
  • (A): Nivel alto de conocimientos técnicos.

Preguntas frecuentes

¿Tengo que implementarlo todo?

No. Empieza por lo crítico: identidades, actualizaciones automáticas, copias de seguridad y segmentación básica del Wi-Fi. El resto lo irás incorporando por niveles.

¿Cómo priorizo si tengo poco tiempo?

Selecciona 3–5 subdominios de Nivel Bajo que reduzcan mayor riesgo en tu contexto.

¿Funciona para autónomos y microempresas?

Sí. El marco está pensado para hogares y pequeños entornos profesionales que comparten limitaciones y necesidades similares.

¿Listo para aplicar Zero Trust Casero?

¿Tienes dudas o quieres adaptar el marco a tu caso?

Escríbenos a hola@zerotrustcasero.es

Protegemos tu privacidad y solo usaremos tus datos para responderte.