¿Qué es la gestión de secretos?

17 de diciembre de 2024

Autores

James Holdsworth

Content Writer

Matthew Kosinski

Enterprise Technology Writer

¿Qué es la gestión de secretos?

La administración de secretos es la protección de credenciales, incluidos certificados, claves, contraseñas y tokens, para usuarios no humanos, como aplicaciones, servidores y cargas de trabajo.

Hoy en día, las organizaciones automatizan muchos procesos empresariales y flujos de trabajo clave utilizando herramientas como la automatización de procesos robóticos (RPA) y, recientemente, asistentes de IA. Al igual que los usuarios humanos, estas entidades no humanas necesitan credenciales, a menudo llamadas "secretos", para acceder a los recursos de la organización.

Los usuarios no humanos suelen necesitar privilegios elevados para completar sus tareas. Por ejemplo, un proceso de copia de seguridad automatizado puede tener acceso a archivos confidenciales y configuraciones del sistema.

Estas cuentas privilegiadas no humanas son objetivos de gran valor para los hackers, que pueden abusar de sus derechos de acceso para robar datos y dañar sistemas críticos mientras evaden la detección. De hecho, el secuestro de cuentas válidas es el vector de ciberataque más común en la actualidad, según el IBM X-Force Threat Intelligence Index. Estos ataques representan el 30 % de todos los incidentes a los que X-Force ha respondido recientemente.

Los sistemas y procesos de gestión de secretos permiten a las organizaciones crear, controlar y asegurar los secretos que las entidades no humanas utilizan para acceder a los recursos de TI. Mediante el uso de herramientas de gestión de secretos para gestionar y proteger las credenciales no humanas a lo largo de todo su ciclo de vida integral, las organizaciones pueden agilizar los flujos de trabajo automatizados al tiempo que evitan la vulneración de datos, la manipulación, el robo y otros accesos no autorizados.

¿Qué es un secreto?

Un secreto es una credencial digital contenida dentro de una aplicación o servicio que permite a los usuarios no humanos comunicarse y realizar acciones en un servicio, base de datos, aplicación u otro recurso de TI. Los secretos ayudan a las organizaciones a reforzar su posición de seguridad al garantizar que solo los usuarios autorizados tengan acceso a datos y sistemas confidenciales.

Los ejemplos de secretos incluyen, pero no se limitan a:

  • Credenciales de cuentas de servicio: las cuentas de servicio permiten que las aplicaciones y los flujos de trabajo automatizados interactúen con los sistemas operativos. Las credenciales de la cuenta de servicio pueden incluir contraseñas, tokens de seguridad, tickets Kerberos y otros secretos.

  • Claves de API: las claves de API permiten a los usuarios, aplicaciones y servicios verificarse en las interfaz de programación de aplicaciones (API).

  • Claves de cifrado: las claves de cifrado permiten a los usuarios cifrar y descifrar datos.

  • Tokens de autenticación y autorización: los tokens, como los utilizados en el protocolo OAuth, son elementos de información que permiten verificar la identidad de un usuario y determinar los recursos específicos a los que puede acceder.

  • Claves SSH (Secure Shell): los servidores SSH utilizan las claves SSH para identificar a un usuario o dispositivo mediante criptografía de clave pública.

  • Certificados SSL/TLS: un certificado digital que se puede utilizar para establecer comunicaciones privadas entre un servidor y un cliente utilizando el protocolo Secure Sockets Layer/Transport Layer Security (SSL/TLS).

  • Secretos arbitrarios: datos sensibles, que incluyen cualquier tipo de datos estructurados o no estructurados que puedan utilizarse para acceder a una aplicación o recurso.

  • Otras claves privadas: pueden incluir certificados de infraestructura de clave pública (PKI), claves de código de autenticación de mensajes basados en hash (HMAC) y claves de firma.
Hombre mirando el ordenador

Refuerce su inteligencia de seguridad 


Manténgase a la vanguardia de las amenazas con noticias e información sobre seguridad, IA y mucho más, semanalmente en el boletín Think. 


Por qué es importante la gestión de secretos

Las herramientas de gestión de secretos de nivel empresarial ayudan a las organizaciones a detectar, prevenir y corregir el acceso no autorizado y el uso indebido de datos y sistemas confidenciales, como la información de identificación personal (PII). Las organizaciones pueden reducir el riesgo de vulneraciones de datos y robos de datos, lo que evita la pérdida de datos valiosos, posibles multas y daños a la reputación.

La administración de secretos es uno de los pilares de la administración de acceso privilegiado (PAM), el subconjunto de la gestión de identidades y accesos (IAM) que se centra en proteger las cuentas y los usuarios con privilegios.

Los otros tres pilares de PAM son:

  • Gestión privilegiada de cuentas y sesiones (PASM), que se encarga de la gestión del ciclo de vida de las cuentas, la gestión de contraseñas y la monitorización de sesiones.

  • Gestión de elevación y delegación de privilegios (PEDM), que implica evaluar, aprobar y denegar automáticamente las solicitudes de acceso con privilegios. 

  • Gestión de derechos de infraestructura en nube (CIEM), que supervisa los procesos de IAM en entornos de cloud computing.

La gestión de secretos es importante para la metodología DevOps, que hace hincapié en la entrega automatizada y continua de software.

Los equipos de DevOps a menudo utilizan múltiples herramientas de configuración u orquestación para gestionar ecosistemas digitales, flujos de trabajo y endpoints completos. Las herramientas a menudo utilizan automatización y scripts que requieren acceso a secretos para iniciarse. Sin un servicio de gestión de secretos de nivel empresarial, el uso aleatorio de secretos podría aumentar la vulnerabilidad del sistema.

Muchas organizaciones integran funciones de gestión de secretos en la canalización de integración continua y entrega continua, o canalización CI/CD. Esto ayuda a garantizar que todas las partes móviles (desarrolladores, herramientas y procesos automatizados) tengan acceso seguro a los sistemas sensibles que necesitan cuando lo necesitan.

La gestión de secretos se considera un componente central de DevSecOps, una evolución de la metodología DevOps que integra y automatiza continuamente la seguridad a lo largo del ciclo de vida de DevOps.

Mixture of Experts | Pódcast

Descifrar la IA: resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el bullicio de la IA para ofrecerle las últimas noticias y conocimientos al respecto.

Cómo funciona la gestión de secretos

El proceso de gestión de secretos suele basarse en herramientas de gestión de secretos. Estas herramientas, que pueden implementarse en entornos locales o como servicios en la nube, pueden ayudar a centralizar, automatizar y agilizar la creación, el uso, la rotación y la protección de secretos.

Algunas capacidades comunes de las herramientas de gestión de secretos incluyen:

  • Gestión centralizada y estandarizada de secretos
  • Creación dinámica de secretos y rotación automatizada de secretos
  • Controles de acceso
  • Monitorización y auditoría de actividades

Gestión centralizada y estandarizada de secretos

Con un servicio de gestión de secretos de nivel empresarial, las organizaciones pueden gestionar varios tipos de secretos en un único panel.

En lugar de dejar que los usuarios individuales gestionen los secretos en pequeños silos, las soluciones de gestión de secretos pueden almacenar los secretos en una ubicación central y segura denominada "bóveda secretas".

Cuando un usuario autorizado necesita acceder a un sistema sensible, puede obtener el secreto correspondiente de la bóveda. La herramienta de gestión de secretos puede verificar, autorizar y conceder automáticamente a los usuarios los permisos que necesitan para llevar a cabo sus flujos de trabajo.

La estandarización puede ayudar a prevenir la proliferación de secretos. La dispersión de secretos se produce cuando los secretos se almacenan en varios lugares de una organización, a menudo codificados en aplicaciones o como texto sin formato en un documento compartido. La proliferación de secretos dificulta proteger los secretos de actores maliciosos y rastrear cómo se utilizan los secretos.  

Creación dinámica de secretos y rotación automatizada de secretos

Los secretos creados en un gestor de secretos pueden ser estáticos o dinámicos. Un secreto estático es un secreto que permanece válido durante mucho tiempo, generalmente hasta que se modifica manualmente o alcanza una fecha de vencimiento predeterminada.

En cambio, un secreto dinámico es creado por el gestor de secretos a petición, en el momento en que se necesita. Los secretos dinámicos caducan con bastante rapidez. Incluso pueden ser de un solo uso.

Un caso de uso de un secreto dinámico sería proteger un recurso confidencial mediante la generación dinámica de claves de API cada vez que se lee o se accede a ese recurso. Esto ayuda a garantizar que los actores malintencionados no puedan robar y reutilizar las claves de API.

Muchos gestores de secretos también pueden automatizar la rotación de secretos, es decir, el acto de cambiar los secretos con regularidad. La rotación de secretos se puede automatizar según lo programado o bajo demanda sin necesidad de volver a implementar o interrumpir las aplicaciones. El tiempo de vida (TTL) o la duración de la concesión se pueden definir para un secreto en su creación para acortar la cantidad de tiempo que existe el secreto.

Controles de acceso

Los secretos solo se pueden conceder a entidades o grupos específicos para organizar y restringir el acceso. El acceso a los secretos suele concederse mediante el principio de privilegio mínimo, es decir, a cada proceso se le concede únicamente el conjunto de privilegios más restrictivo necesario para realizar una tarea. Los usuarios solo pueden acceder a los secretos necesarios para realizar sus tareas autorizadas.

Monitorización y auditoría de actividades

Muchos gestores de secretos pueden rastrear cómo los usuarios y las aplicaciones interactúan con los secretos y los utilizan para verificar que los secretos se gestionen adecuadamente a lo largo de sus ciclos de vida. Esto permite a la organización realizar una monitorización integral y en tiempo real de las autenticaciones y autorizaciones.

Los gestores de secretos pueden identificar rápidamente los intentos no autorizados de ver o utilizar secretos y cortar el acceso, deteniendo así a los hackers, las amenazas internas y otros actores maliciosos. 

Prácticas comunes de gestión de secretos

Además de utilizar soluciones de gestión de secretos, muchas organizaciones siguen prácticas básicas comunes en sus procesos de gestión de secretos. Estas prácticas incluyen:

  • Los secretos se generan y almacenan en el entorno en el que se implementa un servicio, como los entornos de desarrollo, prueba y producción. Algunas organizaciones utilizan diferentes herramientas de gestión de secretos para cada entorno. Otros utilizan una solución central y aíslan los secretos de cada entorno en un segmento dedicado. Los secretos nunca salen de su entorno y están protegidos mediante estrictas medidas de control de acceso.

  • El acceso de los usuarios a los secretos se concede al nivel mínimo necesario para que cualquier usuario pueda cumplir con sus responsabilidades. El exceso de derechos, ya sea intencionado o no, puede provocar vulneraciones de datos.

  • Los secretos se rotan regularmente de acuerdo con los requisitos del sistema.

  • Los usuarios no almacenan secretos en el código fuente, los archivos de configuración o la documentación.

  • Las políticas de seguridad se pueden mejorar exigiendo el cifrado de todos los datos confidenciales. Las claves de cifrado se pueden proteger con un servicio de gestión de claves (KMS).

  • La organización monitoriza continuamente los secretos, con registros de auditoría que rastrean cada solicitud: quién solicitó el secreto, para qué sistema, si la solicitud fue exitosa, cuándo se utilizó el secreto, cuándo expiró y cuándo y si el secreto se ha actualizado. Las anomalías se investigan inmediatamente. 

Desafíos de la gestión de secretos

A medida que los ecosistemas informáticos se vuelven más complejos, la gestión de secretos resulta cada vez más difícil de controlar con eficacia. Los desafíos comunes de la gestión de secretos pueden incluir:

Gestión descentralizada de secretos

Los ecosistemas descentralizados en los que administradores, desarrolladores y usuarios gestionan sus secretos por separado pueden introducir riesgos, ya que es posible que las brechas de seguridad y el uso de secretos no se monitoricen o auditen adecuadamente.

Las soluciones centralizadas de gestión de secretos pueden ofrecer a las organizaciones más visibilidad y control sobre los secretos.

Credenciales codificadas

Cuando las contraseñas u otros secretos se incrustan como texto sin formato en el código fuente o scripts, los atacantes pueden descubrirlos fácilmente y utilizarlos para acceder a información confidencial.

Los secretos codificados pueden aparecer en muchos lugares, incluidas las cadenas de herramientas de CI/CD, los dispositivos de Internet de las cosas (IoT), las plataformas de orquestación de contenedores como Kubernetes, los servidores de aplicaciones, los escáneres de vulnerabilidades y las plataformas de automatización de procesos robóticos.

Rotación poco frecuente 

La rotación periódica de secretos puede ayudar a evitar robos y abusos, pero la rotación puede ser incoherente o ineficaz sin un sistema de gestión de secretos. Si un secreto permanece inalterado durante demasiado tiempo, un pirata informático podría desbloquearlo mediante conjeturas de ensayo y error o un ataque de fuerza bruta.

Cuanto más tiempo se utilice una contraseña, más usuarios tendrán acceso y mayores serán las posibilidades de que se produzca una filtración.

Expansión secreta

El crecimiento de los sistemas de TI puede provocar una proliferación de secretos, con secretos repartidos por muchas partes aisladas del sistema. La proliferación de secretos puede ser especialmente preocupante en los ecosistemas multinube híbridos, donde las organizaciones mezclan entornos de nube pública y nube privada entregados por múltiples proveedores de servicios en la nube.

Las organizaciones pueden tener miles, incluso millones, de secretos en todas sus aplicaciones nativas en cloud, contenedores, microservicios y otros Recursos. Esta proliferación crea una enorme carga de seguridad y amplía la posible superficie de ataque.

En todos los servicios, la visibilidad puede ser limitada y la gestión de secretos puede volverse difícil de manejar rápidamente si se realiza un seguimiento manual o mediante sistemas dispares. La falta de un servicio centralizado de gestión de secretos podría dificultar o imposibilitar la aplicación de una higiene adecuada de los secretos.

Intercambio manual de secretos

Cuando una organización carece de un sistema de gestión de secretos, los secretos pueden compartirse manualmente, como a través de correos electrónicos o mensajes de texto, donde los actores de amenazas pueden interceptarlos. 

Soluciones relacionadas
IBM Verify: soluciones de IAM

Modernice las herramientas para la gestión de identidades y complemente las existentes, a la vez que proporciona un acceso seguro y fluido para cualquier identidad a la IA, las aplicaciones y los recursos en el entorno local, en la nube o como SaaS.

Explore Verify
Verify Identity Protection

Explore nuestras soluciones de detección y respuesta ante amenazas de identidad (ITDR) y de gestión de la posición de seguridad de identidades (ISPM), que le proporcionan una visibilidad integral de la actividad de los usuarios en un entorno híbrido.

Explore Verify Identity Protection
Servicios de gestión de identidades y accesos (IAM)

Ponga su programa IAM de personal y consumidores en el camino del éxito con las habilidades, la estrategia y el apoyo de expertos en identidad y seguridad.

    Explore los servicios de IAM
    Dé el siguiente paso

    Descubra IBM Verify, una plataforma líder de IAM que proporciona capacidades con IA que le permitirán gestionar las necesidades de su personal y de sus clientes. 

    Explore Verify Descubra Verify Identity Protection