# ¿Qué es la gestión de acceso privilegiado? La gestión de acceso privilegiado (PAM) es un conjunto de principios de gestión de la seguridad informática que ayudan a las empresas a aislar y controlar los accesos privilegiados, gestionar las cuentas y credenciales privilegiadas, controlar a quién se puede conceder qué nivel de acceso administrativo y a qué endpoints, y monitorear lo que hacen los usuarios con ese acceso. ## ¿Qué es el acceso privilegiado? El acceso privilegiado es un tipo de acceso al sistema informático que otorga derechos especiales al titular del acceso. Los usuarios con acceso privilegiado pueden realizar acciones que un usuario estándar no puede. Entre las acciones que suelen calificarse como operaciones privilegiadas se incluyen la modificación de la configuración del servidor, el cambio de contraseñas, el acceso a sistemas de datos empresariales, la instalación de un nuevo programa, la ejecución de servicios críticos, la adición de perfiles de usuario, la realización de actividades de mantenimiento y la alteración de configuraciones de red. Los equipos informáticos de las empresas actuales confían en gran medida en las cuentas de usuario críticas denominadas cuentas privilegiadas para proporcionar a los usuarios acceso privilegiado a diversos sistemas de información de la red. Aunque las cuentas privilegiadas siguen siendo la principal opción para el aprovisionamiento de acceso privilegiado en el panorama actual de TI, otras opciones poco utilizadas son la autenticación biométrica y las tarjetas inteligentes. En algunos casos, las organizaciones protegen completamente un servidor físico, una estación de trabajo, un dispositivo del centro de datos o cualquier sistema que contenga información confidencial, y luego prohíben el acceso directo a ese equipo. En tales circunstancias, el acceso físico directo al equipo significa que el usuario tiene acceso privilegiado. A estos usuarios se les suele denominar usuarios privilegiados. ## ¿Qué es un usuario privilegiado? Los usuarios privilegiados son usuarios que están autorizados a tener acceso elevado a una parte o a toda la red de infraestructura de TI mediante la posesión de una o más cuentas privilegiadas o cualquier otro modo de acceso. Entre los usuarios privilegiados comúnmente conocidos se incluyen trabajadores de TI como administradores de sistemas, arquitectos y administradores de redes, administradores de bases de datos, administradores de aplicaciones empresariales, ingenieros de DevOps y otros responsables de TI. A veces, un contratista externo que ayude con las operaciones de TI de una empresa o con los requisitos y el mantenimiento del negocio también puede tener acceso interno a la red de la empresa. Normalmente, un usuario privilegiado es un tipo específico de usuario de TI empresarial. Otros usuarios de TI son los usuarios estándar y los usuarios avanzados. ## Tipos de usuario de TI empresarial - **Usuarios estándar** Se trata de usuarios normales que disponen de cuentas poco privilegiadas para acceder diariamente a las aplicaciones empresariales y realizar operaciones rutinarias. Los usuarios estándar normalmente no tienen acceso a ningún sistema de información sensible. - **Usuarios avanzados** Los usuarios avanzados tienen algunos permisos adicionales en comparación con los usuarios estándar. Un ejemplo común son los miembros del personal de TI interno que ayudan a gestionar las estaciones de trabajo de los usuarios finales. Estos usuarios reciben una significativa elevación de acceso a la cuenta que les proporciona permisos específicos, como el [acceso remoto](https://www.manageengine.com/latam/privileged-access-management/acceso-remoto-seguro.html?whatispam) a estaciones de trabajo y bases de datos locales. - **Usuarios privilegiados** Son los usuarios más importantes. El número de usuarios con privilegiados suele ser limitado. Conllevan el mayor riesgo para un entorno informático y requieren una vigilancia 24/7. ## ¿Qué son las cuentas privilegiadas? Las cuentas privilegiadas son cuentas empresariales con privilegios de usuario elevados en comparación con las cuentas no privilegiadas. Las cuentas privilegiadas pueden ser cuentas humanas, cuentas basadas en aplicaciones (como las cuentas de equipo a equipo o de [aplicación a aplicación](https://www.manageengine.com/latam/passwordmanagerpro/) para acciones automatizadas) o cuentas de servicio. Un usuario puede utilizar una cuenta privilegiada para realizar funciones y acceder a recursos a los que no podría acceder de otro modo. Esto incluye acceder y modificar servidores sensibles, aplicaciones, bases de datos y otros endpoints críticos para el negocio. ## ¿Qué son las credenciales privilegiadas? Las credenciales privilegiadas son las credenciales que utilizan los usuarios con privilegios para acceder a cuentas, servidores, bases de datos, aplicaciones y otros endpoints sensibles. Además de contraseñas, las credenciales privilegiadas también incluyen secretos como claves SSH, claves API, tokens y certificados. Ahora que entendemos los fundamentos básicos de PAM, examinemos cómo funciona la gestión de acceso privilegiado. ## ¿Cómo funciona la gestión de acceso privilegiado? La gestión de acceso privilegiado es el proceso de confiar a determinados usuarios un acceso elevado (también conocido como acceso privilegiado) a recursos, cuentas y credenciales críticos para la empresa que son esenciales para sus funciones laborales. En el caso del acceso a tareas específicas, una vez realizada la tarea, se revoca el acceso concedido al usuario. En otras palabras, con el acceso privilegiado, los usuarios con privilegios obtienen acceso a cuentas, credenciales, sistemas, servidores, bases de datos y más privilegiados para llevar a cabo tareas vitales, incluyendo la gestión y modificación de estas cuentas y recursos. La gestión de acceso privilegiado es el proceso de controlar y gestionar este acceso. Aunque proporcionar acceso privilegiado es importante para permitir a los empleados llevar a cabo funciones críticas para el trabajo, también implica un alto riesgo de exposición. Dado que los usuarios privilegiados tienen acceso a múltiples credenciales y recursos clave, un usuario o cuenta privilegiada comprometida puede resultar costosa. Por lo tanto, la gestión de acceso privilegiado también implica monitorear continuamente a los usuarios privilegiados para asegurarse de que no abusen de sus derechos de acceso. Para ello es necesario revisar periódicamente los privilegios asignados y revocar el exceso de derechos siempre que cambie la función de un usuario en la organización. ## ¿En qué se diferencia la PAM de la gestión de identidades y accesos y de la gestión de identidades privilegiadas? Aunque la gestión de accesos privilegiados se utiliza indistintamente con la gestión de identidades y accesos (IAM) y la gestión de identidades privilegiadas (PIM), veamos en qué se diferencian. 1. **IAM** La IAM es un marco de seguridad para identificar, autenticar y proporcionar acceso a los usuarios. La IAM consiste en políticas, controles y soluciones especiales para gestionar las identidades en una empresa. Los responsables de TI utilizan una solución IAM para controlar el acceso a bases de datos, activos, redes, aplicaciones y recursos dentro de su organización. Normalmente, la IAM se aplica a todos los usuarios de una organización. 2. **PAM** La gestión de accesos privilegiados es un subconjunto de IAM que se ocupa únicamente de la gestión de accesos privilegiados. La PAM se refiere principalmente a los usuarios privilegiados que tienen acceso elevado a recursos, aplicaciones y cuentas sensibles. La PAM se centra en usuarios y cuentas que suponen una mayor amenaza para la seguridad y un mayor riesgo de violación de datos al tener acceso privilegiado. Los administradores de TI utilizan una solución PAM para supervisar, auditar y gestionar usuarios, identidades, cuentas y sesiones privilegiadas. 3. **PIM** [PIM](https://www.manageengine.com/latam/privileged-access-management/gestion-de-certificados-ssl.html?whatispam), una subclase de PAM, incluye controles y políticas de seguridad esenciales limitados a la gestión y protección de identidades privilegiadas, como cuentas de servicio, nombres de usuario, contraseñas, claves SSH y [certificados digitales](https://www.manageengine.com/latam/privileged-access-management/gestion-de-certificados-ssl.html?whatispam), que proporcionan acceso a información sensible. En resumen, la IAM cubre los patrones de acceso más amplios en todos los verticales de la empresa, abarcando a todos los usuarios, sistemas, recursos y activos. Por otro lado, la PIM y PAM cubren los patrones de acceso que rodean a los recursos y sistemas privilegiados. ## Vectores de amenazas relacionados con los privilegios y por qué la gestión de acceso privilegiado es importante para las empresas Los privilegios no controlados son una amenaza silenciosa para las empresas actuales. Dado que el acceso privilegiado a un sistema de información crítico es la joya de la corona para un ciberatacante, una cuenta de usuario privilegiada en las manos equivocadas es un arma peligrosa que puede destruir fácilmente a una empresa. De hecho, el [Informe sobre amenazas a los datos 2019 de Thales](https://cpl.thalesgroup.com/resources/encryption/2019/data-threat-report) clasificó el acceso privilegiado como uno de los cinco factores principales en su lista de mayores amenazas a la seguridad de los datos. Además, el acceso privilegiado es uno de los vectores de ciberataque más difíciles de descubrir; algunas brechas de seguridad resultantes del abuso y uso indebido de privilegios en realidad pueden pasar meses o más sin ser descubiertas. Una mala gestión del acceso privilegiado y de las cuentas privilegiadas puede exponer a las empresas a diferentes amenazas y riesgos de privilegios, como los siguientes: ### Vectores de amenaza externos relacionados con los privilegios "El 80% de las infracciones de seguridad son causadas por personas externas a la organización" - [Informe de Verizon sobre investigaciones de violación de datos del 2022](https://www.verizon.com/business/en-gb/resources/2022-data-breach-investigations-report-dbir.pdf) Las cuentas privilegiadas son uno de los objetivos favoritos de los atacantes que buscan obtener acceso total a los servidores de datos sensibles sin levantar sospechas. Los hackers suelen manipular a los usuarios privilegiados crédulos (mediante phishing, sitios web falsos y otras tácticas) para que proporcionen información que les permita burlar la seguridad de la empresa y obtener acceso a la red. Una vez dentro, los hackers buscan inmediatamente credenciales privilegiadas no gestionadas y se convierten en administradores de dominio, lo que les permite acceder sin restricciones a los sistemas de información muy sensibles. La mejor manera de hacer frente a esta amenaza es bloquear por completo todas las credenciales privilegiadas en una bóveda central cifrada, aplicar controles basados en funciones, imponer la autenticación multifactor para el acceso a la bóveda y registrar todas las solicitudes entrantes. ### Amenazas internas relacionadas con los privilegios El [Informe sobre el pulso imperativo de la ciberseguridad](https://econsultsolutions.com/wp-content/uploads/2019/07/2019_Cybersecurity_Pulse_Report_Executive_Summary_FINAL.pdf) publicado en 2019 por ESI ThoughtLab afirma que "el impacto de las amenazas internas maliciosas se ha duplicado, con un 57% que ahora cita un impacto grande o muy grande (frente al 29% en nuestra encuesta de 2018)." Los usuarios privilegiados internos con intenciones maliciosas, como aquellos que buscan beneficios personales, pueden causar más daño que las partes externas. La confianza inherente depositada en los usuarios internos les permite aprovechar sus privilegios existentes, desviar datos confidenciales y venderlos a una parte externa sin que la organización se dé cuenta hasta que sea demasiado tarde. El [Informe de Verizon sobre amenazas internas del 2019](https://enterprise.verizon.com/resources/reports/insider-threat-report.pdf) señala que en los cinco informes anteriores de la firma sobre investigaciones de violación de datos, solo el 4% de las violaciones por el abuso de privilegios internos fueron descubiertas por detección de fraude. Para proteger los activos de información críticos de tales actores internos maliciosos, es vital monitorear constantemente las actividades de cada usuario privilegiado en tiempo real y aprovechar la detección de anomalías de comportamiento y el análisis de amenazas. ### Riesgos relacionados con los privilegios debido a empleados negligentes "En el 82% de las violaciones a la seguridad interviene el elemento humano, incluidos los ataques sociales, los errores y el uso indebido" - [Informe de Verizon sobre investigaciones de violación de datos 2022](https://www.verizon.com/business/resources/reports/dbir/) Los empleados descuidados son una amenaza difícil de gestionar sin una adecuada gestión de acceso privilegiado. Son usuarios que no comprenden la importancia de la ciberseguridad. Dejan imprudentemente las credenciales de usuario críticas a la deriva para que los hackers las encuentren o a veces comparten sus privilegios de acceso con empleados no autorizados. Un ejemplo típico es el de los ingenieros de DevOps que vuelcan sus códigos, que contienen tokens de autenticación para servidores internos, en plataformas abiertas como GitHub y se olvidan de ellos. Estas prácticas peligrosas solo pueden controlarse mediante un control de acceso privilegiado robusto que garantice, junto con una auditoría exhaustiva, que cada actividad privilegiada pueda vincularse a un usuario específico. ### Amenazas relacionadas con los privilegios debido a proveedores remotos y exempleados Los proveedores remotos constituyen la red empresarial ampliada de una organización. Suelen incluir contratistas, consultores, socios, equipos de mantenimiento de terceros y proveedores de servicios que requieren acceso privilegiado a su infraestructura interna para diversas necesidades empresariales. Otro tipo de usuario que presenta el mismo riesgo es un ex empleado descontento o con motivaciones económicas. Los empleados descontentos que han dejado la empresa pero aún poseen derechos de acceso pueden aprovecharlos para obtener acceso ilegítimo, robar datos y venderlos a hackers. Para hacer frente a este tipo de amenazas es necesario revisar periódicamente los privilegios de los empleados y contratistas y eliminar los que no sean necesarios. ### Más privilegios de los necesarios A menudo, los usuarios tienen privilegios excesivos, con derechos de acceso muy superiores a los que necesitan para realizar sus tareas. Como resultado, existe una brecha entre los permisos concedidos y los utilizados. En tales casos, es importante aplicar el principio del mínimo privilegio (PoLP) proporcionando sólo la cantidad mínima de permisos necesarios para completar una tarea de trabajo. Sin un sistema adecuado de gestión de acceso privilegiado para implementar una seguridad basada en mínimos privilegios y monitorear las acciones de los usuarios, las cuentas de usuarios con privilegios excesivos pueden ser aprovechadas para acceder de forma ilegal. ### Privilegios que nunca se revocan Los privilegios olvidados son peligrosos. Los administradores de TI a menudo proporcionan a los usuarios acceso privilegiado a los servidores de datos y luego no revocan el acceso. Sin una herramienta que supervise a quién se ha concedido qué privilegios, revocar los permisos se vuelve tedioso. En este caso, una herramienta de gestión de acceso privilegiado puede ayudar a los responsables de TI a conceder a los usuarios el menor nivel de acceso privilegiado necesario con tiempos preestablecidos. Una vez transcurrido el tiempo estipulado, la herramienta revoca los privilegios automáticamente. ### Riesgos asociados a los privilegios debido a registros poco claros Sin unos [logs de actividad privilegiada](https://www.manageengine.com/latam/privileged-access-management/seguimientos-de-auditoria-de-sesion.html?whatispam) exhaustivos y unas pruebas claras que puedan proporcionar contexto sobre el incidente en cuestión, las investigaciones forenses pueden fracasar, destruyendo la reputación de su marca y la confianza que ha generado entre sus clientes. Como dice [Gartner](https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2019/), la gestión de acceso privilegiado debe ser uno de sus principales proyectos de seguridad a largo plazo para eliminar las debilidades en su postura de ciberseguridad y neutralizar con éxito los riesgos emergentes relacionados con el acceso privilegiado. ## Cómo proteger las cuentas privilegiadas con PAM Forrester estima que el [80% de las filtraciones de datos](https://www.forrester.com/report/The-Forrester-Wave-Privileged-Identity-Management-Q4-2018/RES141474) se deben a credenciales privilegiadas comprometidas, como contraseñas, tokens, claves y certificados. Las [cibertendencias emergentes](https://www.verizon.com/business/resources/reports/dbir/) sugieren que los atacantes no siempre se basan en herramientas o métodos de ataque sofisticados para violar los perímetros de seguridad de una organización. Por lo tanto, el monitoreo en tiempo real, la auditoría periódica y la gestión segura de las cuentas privilegiadas son partes integrales de la gestión de acceso privilegiado. Profundicemos en algunas de las mejores prácticas de PAM y en las funciones clave que debería buscar en una [solución PAM](https://www.manageengine.com/latam/privileged-access-management/?whatispam). ## Mejores prácticas de gestión de cuentas privilegiadas Las mejores prácticas de gestión de acceso privilegiado pueden clasificarse en tres fases: antes, durante y después de la delegación de acceso privilegiado a un determinado sistema. ### 01. Antes de la delegación de acceso privilegiado Antes de facilitar el acceso, el proceso de gestión de acceso privilegiado suele comenzar con un inventario de los endpoints críticos activos on-premises, en la nube y en las plataformas virtuales de la red. Una vez descubiertos los activos, el siguiente paso es consolidar las cuentas privilegiadas asociadas y las claves SSH (o cualquier entidad de autenticación de usuario que proporcione permisos elevados, como las tarjetas inteligentes) en una bóveda central segura. Esta bóveda debe estar protegida por múltiples capas de cifrado con algoritmos de grado militar como AES-256 o RSA-4096. Otras medidas de seguridad: - Validar las solicitudes de inicio de sesión en la bóveda antes de aprobarlas, cotejándolas con los perfiles de usuario del servicio interno de gestión y provisión de identidades. - Aplicar varios niveles de autenticación segura para el inicio de sesión en la bóveda. - Permitir que un usuario obtenga una cuenta privilegiada sólo con la aprobación de los administradores de TI. - Imponer restricciones de acceso basadas en el tiempo. - Registrar todas las solicitudes de credenciales con marcas de tiempo. ### 02. Durante la delegación de acceso privilegiado Al asignar acceso privilegiado, el principio fundamental es aplicar el modelo de mínimo privilegio implementando controles basados en roles. - Canalizar las sesiones privilegiadas a través de servidores de gateway y canales cifrados. - Utilizar certificados efímeros para autenticar y autorizar las sesiones privilegiadas. - Proporcionar privilegios limitados. - Aplicar controles de elevación justo a tiempo (JIT) mediante la [gestión de la elevación y delegación de privilegios (PEDM)](https://www.manageengine.com/privileged-access-management/privilege-elevation-and-delegation-pedm.html?whatispam). - Grabar todas las sesiones privilegiadas y supervisarlas en tiempo real. ### 03. Después de la delegación de acceso privilegiado Una vez finalizado el trabajo, se debe revocar el acceso privilegiado y restablecer la credencial privilegiada automáticamente en la bóveda. Iniciativas adicionales: - Implementar un [registro exhaustivo de la actividad de los usuarios privilegiados](https://www.manageengine.com/latam/privileged-access-management/seguimientos-de-auditoria-de-sesion.html?whatispam). - Incorporar detección de anomalías basada en IA y ML. - Aprovechar análisis combinados para obtener información inteligente sobre riesgos. ## Funciones clave que hay que buscar en una solución de PAM La solución PAM ideal para su empresa debe ir más allá de la gestión de contraseñas y proporcionar una ventanilla única para todas sus necesidades de PAM. ### Gestión de cuentas privilegiadas y gestión de credenciales A través de la gestión de cuentas privilegiadas, puede implementar [controles de acceso basados en roles (RBAC)](https://www.manageengine.com/latam/passwordmanagerpro/propiedad-de-contrasenas-y-permisos-compartidos.html?whatispam) para los usuarios. La gestión de credenciales privilegiadas hace referencia a la custodia, rotación periódica y almacenamiento seguro de credenciales y secretos privilegiados. Utilizando una solución PAM, puede guardar contraseñas en una bóveda, tokens y claves SSH; recuperar credenciales perdidas; y rotar credenciales regularmente. ### Detección automatizada Una herramienta PAM debe permitirle descubrir cuentas y recursos privilegiados de forma masiva y gestionarlos desde un único dashboard centralizado. ### PEDM La [PEDM](https://www.manageengine.com/latam/privileged-access-management/elevacion-de-privilegios-y-gestion-de-delegacion.html?whatispam) proporciona a los usuarios privilegios temporales y granulares basados en requisitos específicos y revoca estos privilegios una vez transcurrido el tiempo estipulado. ### Gestión de sesiones privilegiadas La [gestión de sesiones privilegiadas](https://www.manageengine.com/latam/privileged-access-management/monitoreo-de-sesiones-privilegiadas-y-grabacion.html?whatispam) se refiere al establecimiento, monitoreo en tiempo real, gestión y grabación de sesiones que implican acceso privilegiado. ### Auditoría en tiempo real El [registro de auditoría](https://www.manageengine.com/latam/privileged-access-management/seguimientos-de-auditoria-de-sesion.html?whatispam) de una sesión privilegiada incluye detalles como el usuario o aplicación que inició el evento, las operaciones realizadas y la fecha y hora del evento. Mantener estos registros ayuda a cumplir normas como HIPAA, SOX y PCI DSS. ### Integraciones Integrar su [solución PAM](https://www.manageengine.com/latam/privileged-access-management/?whatispam) con otras herramientas de gestión de TI le ayudará a automatizar el aprovisionamiento de acceso y las operaciones privilegiadas, controlar las cuentas de usuarios humanos y no humanos, lograr el cumplimiento y obtener una visión holística de las actividades privilegiadas en toda su organización.