CISA nombra la arquitectura: cómo su nuevo documento SASE-TIC 3.0 ofrece a las agencias un camino de migración real para abandonar las VPN heredadas

La orientación federal sobre seguridad de redes tiene una reputación bien ganada de decirles a las agencias qué deben lograr, mientras guarda deliberado silencio sobre cómo lograrlo. TIC 3.0, introducido para reemplazar el rígido modelo de enrutamiento centralizado de TIC 2.0, fue descrito por la propia CISA como una "guía flexible y no prescriptiva", una frase que los arquitectos han traducido en silencio como "resuélvelo tú mismo." El documento de junio de 2026 titulado "The Journey to Zero Trust: Using Secure Access Service Edge in a Modern TIC 3.0 Solution" se aparta de esa tradición. Nombra una arquitectura, describe una dirección de migración e identifica la VPN heredada como el obstáculo. Eso no es poca cosa.

Lo que TIC 3.0 siempre debió habilitar

La iniciativa Trusted Internet Connections comenzó como un programa de consolidación: canalizar todo el tráfico federal de internet a través de un número reducido de puntos de acceso monitoreados y luego inspeccionarlo. Ese modelo funcionaba cuando las agencias operaban sistemas monolíticos en instalaciones propias. Genera fricción cuando las agencias ejecutan cargas de trabajo en la nube, fuerzas laborales remotas y entornos multinube, porque enrutar todo el tráfico a través de nodos de inspección heredados introduce latencia y complejidad que las arquitecturas modernas fueron diseñadas precisamente para evitar.

Según el documento de orientación de CISA publicado en junio de 2026, TIC 3.0 fue desarrollado específicamente para ayudar a las agencias civiles del poder ejecutivo federal (FCEB, por sus siglas en inglés) a alejarse de esas arquitecturas centradas en el perímetro y avanzar hacia prácticas de seguridad modernas, alineadas con el Memorando OMB M-19-26. La flexibilidad incorporada en TIC 3.0 siempre estuvo pensada para acomodar enfoques como SASE; este documento es la forma en que CISA lo hace explícito en lugar de dejarlo implícito.

SASE, Secure Access Service Edge, combina redes de área amplia con funciones de seguridad entregadas desde la nube, organizadas en torno al principio de confianza cero que CISA resume como "nunca confíes, verifica siempre." En lugar de asumir que un usuario dentro del perímetro de la red está seguro, el modelo aplica decisiones de acceso basadas en identidad y contexto en cada conexión. Según el documento PDF de CISA, la guía es la más reciente entrega de una serie más amplia llamada "The Journey to Zero Trust", que abarca capacidades de ciberseguridad y temas de arquitectura que apoyan la adopción organizacional de principios modernos de confianza cero.

El cambio de arquitectura que

el documento describe en realidad La instrucción práctica aquí no es sutil. Las implementaciones heredadas de TIC requerían que las agencias enrutaran el tráfico a través de puntos de inspección centralizados antes de que pudiera llegar a internet o a los servicios en la nube. SASE invierte ese flujo: la inspección de seguridad ocurre en el borde, cerca del usuario o la carga de trabajo, a través de un conjunto de herramientas entregado desde la nube que incluye funciones como puertas de enlace web seguras, intermediarios de seguridad de acceso a la nube y capacidades de firewall como servicio.

Según la cobertura de Industrial Cyber sobre la guía, CISA presentó SASE como un camino práctico de modernización para TIC 3.0, diciéndoles explícitamente a las agencias federales que pueden reducir la dependencia del modelo heredado de enrutamiento centralizado adoptando arquitecturas SASE que distribuyen la aplicación de controles en lugar de centralizarla.

El documento está marcado como TLP:CLEAR, lo que significa que los destinatarios pueden compartirlo sin restricciones, algo que importa para contratistas e integradores que necesitan discutir su contenido con clientes de agencias. Es la Versión 1.0, con fecha de junio de 2026, producida por la División de Ciberseguridad de CISA. Según el comunicado de prensa de CISA, seguir la guía tiene como objetivo ayudar a las agencias a comprender, planificar y madurar mejor hacia arquitecturas de confianza cero, al tiempo que se aumenta la visibilidad y el control. Esa secuencia —comprender, planificar, madurar— es lo más cercano a una hoja de ruta por fases que el documento ofrece explícitamente.

A quién afecta y qué cambia en la práctica

La audiencia principal son las agencias civiles del poder ejecutivo federal, pero el alcance práctico es más amplio. Los contratistas que apoyan a las agencias FCEB, los proveedores de servicios en la nube que buscan autorización FedRAMP y los integradores de sistemas que construyen redes para agencias operan todos bajo las restricciones de TIC. Cuando CISA publica un documento que respalda una dirección arquitectónica específica, el lenguaje de adquisición tiende a seguirle el paso.

Los proveedores que han estado posicionando capacidades SASE para clientes federales ahora tienen un documento de referencia oficial al que señalar; los proveedores que siguen vendiendo soluciones VPN de enrutamiento centralizado tienen un problema que se agravará con cada ciclo de adquisición.

Según la cobertura de MeriTalk sobre la publicación del 24 de junio, CISA declaró que la guía tiene como objetivo apoyar a las agencias mientras avanzan en sus capacidades de confianza cero y adoptan arquitecturas modernas respaldadas por TIC 3.0. El comunicado de prensa de la agencia enmarcó el documento como parte de su esfuerzo continuo por apoyar a las agencias federales y al ecosistema de ciberseguridad en general en la adopción de arquitecturas de red de confianza cero. Esa frase, "ecosistema de ciberseguridad en general", hace un trabajo real aquí: señala que CISA pretende que esta guía sea útil más allá del límite estricto de las FCEB, sin ampliar formalmente la obligación de cumplimiento.

Lo que los arquitectos deben leer con atención

El estado TLP:CLEAR del documento y su posición dentro de la serie "Journey to Zero Trust" merecen atención para cualquiera que esté construyendo un argumento de cumplimiento o una justificación de adquisición. El encuadre de la serie significa que esto no es un aviso aislado; es parte de un cuerpo estructurado de orientación que CISA presumiblemente ampliará. Los arquitectos que planifican programas de modernización a largo plazo deben tratar este documento como un punto de referencia que será citado en futuras actualizaciones de política TIC, no como una opinión independiente.

La implicación práctica para los arquitectos de redes en agencias FCEB y sus contratistas es directa: si su arquitectura actual enruta todo el tráfico de usuarios a través de un punto de inspección central antes de llegar a los servicios en la nube, está operando un modelo que la propia guía de CISA ahora describe como aquello de lo que se está alejando. Eso no crea un plazo inmediato de cumplimiento, pero sí crea una señal de adquisición y planificación difícil de ignorar. La próxima vez que el presupuesto de modernización de red de una agencia esté en revisión, este documento estará en la sala.

Las preguntas frecuentes de CISA sobre TIC y la biblioteca más amplia de recursos de confianza cero en cisa.gov son las lecturas complementarias naturales para cualquiera que esté construyendo el caso interno para una migración a SASE.