PEDM (Elevación de privilegios y gestión de delegación)

PEDM (Elevación de privilegios y gestión de delegación) es un componente de la gestión de acceso privilegiado (PAM), que proporciona a los usuarios no administradores privilegios temporales y específicos en función de sus necesidades.

  • Inicio
    • /  
  • PEDM (Elevación de privilegios y gestión de delegación)

¿Qué es la elevación de privilegios?

Privilege elevation and delegation management meaning

La elevación de privilegios es un enfoque estratégico que puede utilizar para conceder acceso temporal a los recursos esenciales para los empleados que normalmente no disponen de dichos permisos. Este método garantiza que, en lugar de proporcionar un acceso permanente que podría plantear riesgos de seguridad, los empleados puedan acceder a herramientas o información específicas durante un tiempo limitado para realizar tareas concretas. 

Por ejemplo, si necesita acceder a recursos ajenos a sus responsabilidades habituales, puede recibir permisos temporales según sus necesidades. La elevación de privilegios ayuda a mantener el cumplimiento de los perímetros de acceso; de este modo, minimiza las posibilidades de un uso inadecuado de la información sensible. Al implementar este enfoque, se pueden reducir significativamente dichos riesgos, ya que se limita la superficie de ataque y se aplica el principio del mínimo privilegio.

¿Qué es PEDM?

La PEDM permite a los usuarios que no son administradores acceder temporalmente a privilegios específicos en función de sus necesidades. Esto permite que los equipos de TI concedan a los usuarios acceso a cuentas y recursos privilegiados sólo cuando sea necesario. Este enfoque selectivo reduce el riesgo de exponer las cuentas y contraseñas, lo que ayuda a impedir que los atacantes y las personas con acceso a información privilegiada se muevan por las áreas sensibles de una organización. Por otro lado, las soluciones para la gestión de cuentas y sesiones privilegiadas (PASM) proporcionan acceso mediante bóvedas digitales de contraseñas que se basan en el principio del mínimo privilegio (PoLP).

Sin embargo, suelen conceder el acceso otorgando todos los permisos de una sola vez. Esto significa que los usuarios pueden recibir cuentas de administrador temporalmente, denominadas cuentas efímeras, que les permiten tener un acceso completo a los sistemas, incluyendo aplicaciones y servicios que no necesitan. Si estas cuentas se comparten entre los usuarios o se ven comprometidas, un atacante podría tomar el control total del sistema.

PEDM vs. PASM

Cuando se habla de la gestión de acceso privilegiado, a menudo muchos no tienen claras las diferencias entre PEDM y PASM. A continuación, encontrará una tabla que muestra claramente las diferencias entre PEDM y PASM:

FunciónPEDMPASM
DefiniciónGestiona la elevación de privilegios y delegación temporal para usuarios y aplicacionesProtege, controla y monitorea las cuentas y los accesos privilegiados
Objetivo principalProporciona una elevación de privilegios justo a tiempo (JIT) para reducir los permisos excesivosProtege las credenciales privilegiadas y aplica el acceso de mínimo privilegio
ÁmbitoSe centra en conceder privilegios elevados temporales o limitadosCubre la gestión integral de las cuentas privilegiadas, incluyendo la bóveda de contraseñas y el monitoreo de sesiones
Funciones claveControl de acceso basado en roles (RBAC), acceso JIT, registro y flujos de trabajo de aprobaciónBóveda de credenciales, grabación de la sesión, autenticación basada en el riesgo y pistas de auditoría
Escenarios de usoPermite al personal de soporte de TI reiniciar servicios críticos en los servidores sin tener plenos derechos de administradorGuarda las credenciales del administrador del dominio en la bóveda de forma segura y las rota automáticamente después de cada uso
Enfoque de seguridadMinimiza la superficie de ataque concediendo sólo los privilegios necesarios cuando sea necesarioEvita el acceso no autorizado, el robo de credenciales y el uso indebido de privilegios
Apoyo en el cumplimientoAyuda a cumplir los requisitos de conformidad como NIST, ISO 27001 y GDPR aplicando el mínimo privilegioGarantiza el cumplimiento de la SOX, la HIPAA, el PCI DSS y otros marcos de seguridad

¿Qué problemas puede resolver la PEDM?

Las empresas modernas se enfrentan a varios retos en lo que respecta a la gestión de privilegios. Sólo en 2023, el 74% de las violaciones de la seguridad de los datos implicaron el uso indebido de credenciales privilegiadas. La PEDM ayuda a resolver estos problemas permitiendo una forma más ágil y segura de conceder el acceso.

Esto es lo que la PEDM ayuda a abordar:

Benefits of privilege elevation and delegation management

  • Cuentas con privilegios excesivos: Los derechos permanentes de administrador aumentan el riesgo de cambios accidentales, uso indebido o robo de credenciales.
  • Riesgos de movimiento lateral: Los atacantes que obtienen acceso a un endpoint pueden moverse por la red utilizando privilegios excesivos.
  • Exigencias de cumplimiento: Algunas normativas como la ISO 27001, la NIS2, el PCI DSS y la HIPAA exigen el mínimo privilegio y el acceso auditable.
  • Amenazas internas: Incluso los usuarios de confianza pueden plantear riesgos cuando sus privilegios no están controlados o son excesivos.
  • Complejidad de la auditoría: Sin una visibilidad clara de quién hizo qué con un acceso elevado, las investigaciones forenses se retrasan.

¿Cómo funciona la PEDM?

PEDM process

Por lo general, el flujo de trabajo de la PEDM comienza cuando un usuario (como un desarrollador, un técnico de TI o el personal de soporte) solicita acceso elevado para realizar una tarea privilegiada. Esto podría implicar la ejecución de un script administrativo, el cambio de la configuración de un sistema o el acceso a una aplicación restringida. En lugar de conceder derechos de administrador, el sistema evalúa esta solicitud en función de directivas de acceso predefinidas.

Estas directivas están en consonancia con el rol del usuario, la naturaleza de la solicitud y el nivel de riesgo asociado. Si la solicitud se ajusta a los requisitos de la directiva, puede ser aprobada automáticamente o enviada a un administrador o gestor para que la autorice. Una vez que se dispone de las aprobaciones necesarias, el sistema concede privilegios elevados temporales que se limitan estrictamente a la tarea en cuestión.

Todas las actividades durante esta sesión elevada son monitoreadas y registradas para supervisarlas y para futuras auditorías. Una vez completada la tarea o alcanzado el límite de tiempo, el acceso se revoca automáticamente, lo que mitiga los riesgos asociados a los derechos permanentes de administrador y los ataques de escalamiento de privilegios. Este enfoque caso por caso refuerza el principio del mínimo privilegio, lo que permite a los usuarios operar con cuentas estándar a menos que se necesite explícitamente una elevación. Además, las organizaciones pueden definir aplicaciones de confianza para la elevación al tiempo que bloquean las herramientas no autorizadas, garantizando un entorno de acceso seguro y monitoreado.

Beneficios empresariales de la PEDM

Poner en práctica la PEDM ofrece un valor empresarial tangible que va más allá de la mera seguridad de TI. De este modo, reduce significativamente la superficie de ataque al garantizar que los privilegios elevados sólo se conceden en función de la necesidad de uso. Esto limita las oportunidades de movimiento lateral en caso de infracción, salvaguardando los sistemas y datos críticos.

La PEDM también mejora la eficiencia operativa. En lugar de esperar intervenciones manuales o la asistencia de un administrador cada vez que se requiere un acceso elevado, los usuarios pueden seguir un modelo de autoservicio, con aprobaciones y directivas establecidas. Esto permite realizar más rápido las tareas sin comprometer el cumplimiento ni la gobernanza.

Desde el punto de vista del cumplimiento, la PEDM ayuda a cumplir los estrictos requisitos establecidos por normas como NIST, ISO 27001 y GDPR. La capacidad de registrar, monitorear y auditar las sesiones privilegiadas no sólo refuerza la seguridad, sino que también simplifica la elaboración de informes reglamentarios y la respuesta a incidentes.

Cómo implementar una buena estrategia de PEDM

Para crear una estrategia de PEDM efectiva, es esencial fomentar una cultura de acceso segura. Aquí hay algunos pasos clave para seguir:

  • Realizar una auditoría: Comience por auditar a todos los usuarios privilegiados, los roles y las tareas específicas que requieren un acceso elevado. Esta auditoría sirve de base para establecer directivas de acceso granulares.
  • Establecer flujos de trabajo de aprobación: Desarrolle flujos de trabajo de aprobación que se ajusten a su estructura organizacional. Determine quién debe aprobar las solicitudes de acceso y en qué condiciones. Lo mejor es integrar estos flujos de trabajo en sus sistemas de gestión de accesos e identidades cuando sea posible.
  • Definir las limitaciones de la elevación: Los equipos de seguridad deben limitar claramente las acciones que se pueden elevar. Esto incluye especificar qué acciones deben bloquearse e identificar los disparadores que generarán alertas. Por ejemplo, ciertos tipos de DLL, instaladores o scripts se podrían marcar y denegar automáticamente.
  • Automatizar los procesos: Siempre que sea posible, introduzca la automatización. Implemente el aprovisionamiento de acceso con límite de tiempo, el monitoreo en tiempo real y la revocación automática del acceso. Esta automatización es crucial para escalar la PEDM, especialmente en entornos híbridos o nativos de la nube.

Mejores prácticas de PEDM

Para sacar el máximo provecho de su implementación de PEDM, es esencial seguir las mejores prácticas clave:

Best practices of PEDM

  • Implementar el principio del mínimo privilegio: Establezca un acceso de usuario estándar de forma predeterminada y conceda derechos elevados sólo cuando sea necesario.
  • Control de acceso basado en roles (RBAC): Defina directivas de acceso claras basadas en los roles y responsabilidades del cargo.
  • Implementar la elevación justo a tiempo (JIT): Evite que las cuentas de administrador estén siempre activas aprovisionando el acceso sólo durante la tarea.
  • Monitorear y registrar toda la actividad con privilegios: Mantenga una visibilidad total de quién hizo qué, cuándo y dónde para respaldar el cumplimiento de la normativa y los análisis forenses.
  • Bloquear las aplicaciones no autorizadas: Utilice las "listas de permitidos" para garantizar que sólo los comandos, scripts y ejecutables aprobados se puedan ejecutar con privilegios elevados.
  • Revisar periódicamente las directivas de elevación: Actualice las reglas de acceso en función de los cambios en los roles de trabajo, los panoramas de amenazas y los mandatos de cumplimiento.

Comenzar con la PEDM: ¿Por qué elegir PAM360?

Si su organización está buscando crear una estrategia de PEDM fiable, ManageEngine PAM360 es una elección segura. Esta herramienta ofrece funciones tradicionales de gestión de la seguridad de las cuentas privilegiadas (PASM) como el almacenamiento seguro de las credenciales y el monitoreo de las sesiones. También proporciona funciones esenciales de PEDM como el acceso justo a tiempo, la delegación de privilegios detallados, el filtrado de comandos y las aprobaciones basadas en flujos de trabajo.

Lo que hace especial a PAM360 es lo bien que conecta la gestión de acceso privilegiado con las operaciones generales de TI y seguridad. Tanto si gestiona unas pocas cuentas privilegiadas como si implementa controles de acceso de confianza cero para una gran organización, PAM360 le proporciona las herramientas necesarias para hacerlo de forma segura y eficiente. La plataforma permite un control de acceso basado en roles, establece límites de tiempo para los privilegios y garantiza una visibilidad total de cada acción realizada con acceso privilegiado. Esto la hace perfecta para las organizaciones que desean implementar la PEDM sin sacrificar la productividad ni el cumplimiento.

Descargar ahora

Publicado el 1 de agosto de 2025

Publicado el May 19, 2026

Preguntas frecuentes

¿Qué es PAM?

La PAM es un enfoque de gestión de TI que protege las identidades con mejores privilegios de acceso a los sistemas y la información crítica. Las soluciones de PAM implementan procesos seguros de autenticación, autorización y auditoría para supervisar y regular las acciones privilegiadas, reduciendo la probabilidad de ingreso no autorizado y posibles daños.

¿Qué es la delegación de privilegios?

La delegación de privilegios consiste en conceder a determinados usuarios permisos de acceso temporales para llevar a cabo funciones específicas dentro de una organización, normalmente con el objetivo de mejorar la seguridad y la supervisión de la información sensible. Esta estrategia ayuda a evitar el acceso no autorizado asegurándose de que los permisos elevados se conceden sólo cuando son necesarios y por una duración restringida.

¿Qué es el escalamiento de privilegios y sus tipos?

El escalamiento de privilegios es un tipo de ataque cibernético en el que un atacante se aprovecha de las vulnerabilidades para obtener acceso no autorizado a un sistema o red con privilegios elevados. Las dos categorías principales son el escalamiento vertical de privilegios, en el que un usuario con privilegios inferiores obtiene acceso a funciones con privilegios superiores; y el escalamiento horizontal de privilegios, en el que un atacante accede a las cuentas de otros usuarios con niveles de privilegio similares.

¿Quién necesita la PEDM?

Las organizaciones que operan en entornos de TI intrincados, en particular las que gestionan información sensible como bancos, organizaciones de salud y agencias gubernamentales, requieren la PEDM. Esta solución les ayuda a controlar de forma eficiente el acceso del usuario y a mantener el cumplimiento de las normas de seguridad.

¿Cuáles son los casos de uso comunes para la PEDM con PAM360?

Los usos típicos de la PEDM con PAM360 incluyen las tareas de mantenimiento de TI que requieren una elevación temporal de privilegios, la resolución de problemas de las aplicaciones sin necesidad de derechos administrativos plenos y la realización de instalaciones y actualizaciones de software minimizando los riesgos de seguridad. Además, la PEDM es útil en entornos de desarrollo en los que se necesitan permisos elevados específicos para tareas concretas.

¿Qué es la elevación de privilegios JIT?

El modelo de elevación de privilegios JIT es un enfoque de seguridad que proporciona a los usuarios un mayor acceso a los sistemas esenciales únicamente durante un tiempo restringido y sólo cuando es necesario. Este método reduce el riesgo de uso indebido al impedir que se asignen privilegios permanentes, disminuyendo así las posibles vulnerabilidades de seguridad.

¿Cómo PAM360 aplica el PoLP?

PAM360 mantiene el PoLP utilizando sistemas de control de acceso detallados y centralizados que conceden a los usuarios únicamente los permisos esenciales necesarios para desempeñar sus funciones. Esta estrategia ayuda a minimizar la superficie de ataque y garantiza el cumplimiento de la normativa sobre protección de datos, al tiempo que preserva la eficiencia operativa.