¿Qué es la gestión de acceso privilegiado (PAM)?

En un sistema informático, “privilegio” se refiere a permisos de acceso superiores a los de un usuario estándar. Una cuenta de usuario normal podría tener permiso para leer entradas en una base de datos, mientras que un administrador con privilegios podría configurar, agregar, cambiar y eliminar las entradas.

Los usuarios no humanos, como las máquinas, aplicaciones y cargas de trabajo, también pueden tener privilegios elevados. Por ejemplo, un proceso de respaldo automatizado puede tener acceso a archivos confidenciales y a la configuración del sistema.

Las cuentas privilegiadas son objetivos de alto valor para los hackers, que pueden abusar de sus derechos de acceso para robar datos y dañar sistemas críticos mientras evaden la detección. De hecho, el secuestro de cuentas válidas es uno de los dos vectores de ciberataque más comunes en la actualidad, según el IBM X-Force Threat Intelligence Index.

Y el peligro también puede provenir del interior de la organización. Un estudio del IBM Institute for Business Value reveló que personal bien intencionado puede compartir datos privados de la organización con productos de inteligencia artificial (IA) de terceros sin saber si las herramientas satisfacen sus requisitos de seguridad. El estudio informa que el 41 % de los empleados adquirieron, modificaron o crearon tecnología sin el conocimiento de su equipo de TI o de seguridad, causando así una grave falla de seguridad.

Las herramientas y prácticas de PAM ayudan a las organizaciones a proteger las cuentas privilegiadas contra ataques basados en la identidad. En concreto, las estrategias de PAM refuerzan la postura de seguridad de la organización mediante la reducción del número de los usuarios y las cuentas que tienen privilegios, la protección de las credenciales privilegiadas y la aplicación del principio del menor privilegio.

La gestión de identidad y acceso (IAM) es un campo amplio que abarca todos los esfuerzos de seguridad de identidad de una organización para todos los usuarios y recursos. PAM es un subconjunto de IAM que se enfoca en proteger cuentas y usuarios privilegiados.

Existe un traslape importante entre la IAM y la PAM. Ambas implican el aprovisionamiento de identidades digitales, la implementación de políticas de control de acceso y el despliegue de sistemas de autenticación y autorización.

Sin embargo, PAM va más allá que las medidas estándar de IAM porque las cuentas privilegiadas requieren una protección más robusta que las cuentas estándar. Los programas de PAM usan medidas de seguridad avanzadas, como bóvedas de credenciales y grabación de sesiones, para controlar estrictamente cómo los usuarios obtienen privilegios superiores y qué hacen con ellos.

Sería poco práctico e ineficaz aplicar medidas tan estrictas a cuentas no privilegiadas. Tales medidas interrumpirían el acceso regular de los usuarios y dificultarían que las personas realizaran sus tareas diarias. Esta diferencia en los requisitos de seguridad es la razón por la que la PAM y la IAM se han separado en disciplinas distintas, pero relacionadas.

Las cuentas privilegiadas plantean mayores riesgos de seguridad. Sus permisos elevados están expuestos al abuso, y muchas organizaciones tienen dificultades para rastrear la actividad privilegiada en los sistemas on-premises y en la nube. PAM ayuda a las organizaciones a obtener más control sobre las cuentas privilegiadas para detener a los hackers mientras conecta a los usuarios con los permisos que necesitan.

Los ataques basados en la identidad, en los que los piratas informáticos se apoderan de las cuentas de los usuarios y abusan de sus privilegios válidos, van en aumento. El informe X-Force de IBM informa que estos ataques representan el 30 % de las violaciones de seguridad. Estos ataques suelen tener como objetivo cuentas privilegiadas, ya sea directamente o a través de movimiento lateral.

Los actores maliciosos:ya sean usuario internos o atacantes externos que consiguen acceder a cuentas privilegiadas pueden causar daños graves. Pueden usar los permisos elevados para propagar malware y acceder a recursos críticos sin restricciones, mientras engañan a las soluciones de seguridad para que piensen que son usuarios legítimos con cuentas válidas.

Según el Informe del costo de una filtración de datos de IBM, las filtraciones en las que los hackers usan credenciales robadas se cifran entre las más costosas, en un promedio de 4.67 millones de dólares. Las amenazas de usuarios internos que abusan de sus privilegios válidos pueden causar un daño aún mayor, y estas filtraciones cuestan en promedio 4.92 millones de dólares.

Además, la transformación digital y el crecimiento de la inteligencia artificial han hecho que se incremente el número de usuarios privilegiados en la red promedio. Cada nuevo servicio en la nube, aplicación de IA, estación de trabajo y dispositivo de Internet de las cosas (IoT) conlleva nuevas cuentas privilegiadas. Estas cuentas incluyen tanto las de administrador que los usuarios humanos necesitan para gestionar los activos en cuestión como las cuentas que estos activos utilizan para interactuar con la infraestructura de red.

Para complicar aún más las cosas, la gente suele compartir cuentas privilegiadas. Por ejemplo, en lugar de asignar a cada administrador del sistema su propia cuenta, muchos equipos de TI configuran una sola cuenta de administrador por sistema y comparten las credenciales con los usuarios que las necesitan.

Por lo tanto, resulta difícil para las organizaciones realizar el seguimiento de las cuentas privilegiadas, ya que los actores maliciosos están centrando su atención precisamente en ellas.

Las tecnologías y estrategias de PAM ayudan a las organizaciones a obtener más visibilidad y control sobre las cuentas y actividades privilegiadas sin interrumpir los flujos de trabajo de los usuarios legítimos. El Center for Internet Security enumera las actividades centrales de PAM entre sus controles de seguridad "críticos".¹

Las herramientas como las bóvedas de credenciales y la elevación de privilegios justo a tiempo pueden facilitar el acceso seguro para los usuarios que lo necesitan, a la vez que mantienen alejados a los hackers y a los usuarios internos no autorizados. Las herramientas de supervisión de sesiones privilegiadas permiten a las organizaciones realizar un seguimiento de todo lo que cada usuario hace con sus privilegios en la red, lo cual habilita a los equipos de TI y seguridad para detectar actividades sospechosas.

La gestión de acceso privilegiado combina procesos y herramientas tecnológicas para controlar cómo se asignan, acceden y emplean los privilegios. Muchas estrategias de PAM se centran en tres pilares:

• Gestión de cuentas privilegiadas: la creación, el aprovisionamiento y la eliminación segura de cuentas con permisos elevados.

• Gestión de privilegios: gestionar cómo y cuándo los usuarios obtienen privilegios, así como qué pueden hacer los usuarios con sus privilegios.

• Gestión de sesiones privilegiadas: supervisión de la actividad privilegiada para detectar comportamientos sospechosos y asegurar el cumplimiento normativo.

La gestión de cuentas privilegiadas supervisa todo el ciclo de vida de las cuentas con permisos elevados, desde la creación hasta el retiro.

Una cuenta privilegiada es cualquier cuenta con derechos de acceso superiores al promedio en un sistema. Los usuarios de cuentas privilegiadas pueden hacer cosas como cambiar la configuración del sistema, instalar nuevo software y agregar o eliminar otros usuarios.

En los entornos de TI modernos, las cuentas privilegiadas tienen muchas formas. Tanto los usuarios humanos como los usuarios no humanos, como los dispositivos IoT y los flujos de trabajo automatizados, pueden tener cuentas privilegiadas. Ejemplos:

• Las cuentas administrativas locales permiten a los usuarios controlar una computadora portátil, un servidor u otro endpoint individual.

• Las cuentas administrativas de dominio dan a los usuarios el control sobre un dominio completo, como todos los usuarios y estaciones de trabajo de un dominio de Microsoft Active Directory.

• Las cuentas de usuario empresariales privilegiadas brindan a los usuarios un acceso elevado para fines ajenos a las TI, como la cuenta que usa un empleado de finanzas para acceder a fondos de la empresa.

• Las cuentas de superusuario otorgan privilegios sin restricciones en un sistema específico. En los sistemas Unix y Linux, las cuentas de superusuario se denominan cuentas “raíz”. En Microsoft Windows se llaman cuentas de "administrador".

• Las cuentas de servicio permiten que las aplicaciones y los flujos de trabajo automatizados interactúen con los sistemas operativos.

• Las cuentas de aplicaciones permiten que las aplicaciones interactúen entre sí, hacer llamadas a interfaces de programación de aplicaciones (API) y realizar otras funciones importantes.

La gestión de cuentas privilegiadas maneja todo el ciclo de vida de estas cuentas privilegiadas, incluyendo:

• Descubrimiento: inventario de todas las cuentas privilegiadas existentes en una red.

• Aprovisionamiento: creación de nuevas cuentas privilegiadas y atribución de autorizaciones según el principio del privilegio mínimo.

• Acceso: gestión de quién puede acceder a las cuentas privilegiadas y cómo.

• Eliminación: Retirar de forma segura las cuentas privilegiadas que ya no son necesarias.

Uno de los principales objetivos de la gestión de cuentas privilegiadas es reducir la cantidad de cuentas privilegiadas en un sistema y restringir el acceso a esas cuentas. La gestión de credenciales es una herramienta clave para lograr este objetivo.

En lugar de asignar cuentas privilegiadas a usuarios individuales, muchos sistemas de PAM centralizan estas cuentas y almacenan sus credenciales en una bóveda de contraseñas. La bóveda alberga de forma segura contraseñas, tokens, claves Secure Shell (SSH) y otras credenciales en un formulario cifrado.

Cuando un usuario, humano o no humano, necesita realizar una actividad privilegiada, debe verificar en la bóveda las credenciales de la cuenta correspondiente.

Por ejemplo, supongamos que un miembro del equipo de TI debe realizar cambios en una computadora portátil de la empresa. Para hacerlo, debe usar la cuenta de administrador local para esta computadora portátil. Las credenciales de la cuenta se almacenan en una bóveda de contraseñas, por lo que el miembro del equipo de TI comienza solicitar la contraseña de la cuenta.

El miembro del equipo primero debe someterse a un proceso de autenticación estricto, como la autenticación multifactor (MFA), para probar su identidad. Luego, la bóveda utiliza controles de acceso basados en roles (RBAC) o políticas similares para determinar si el usuario está autorizado para acceder a las credenciales de la cuenta.

Este miembro del equipo de TI puede usar esta cuenta de administrador local, por lo que la bóveda de credenciales le otorga el acceso. El miembro del equipo de TI puede usar ahora la cuenta de administrador local para realizar los cambios necesarios en la computadora portátil de la empresa.

Para mayor seguridad, muchas bóvedas de credenciales no comparten estas directamente con los usuarios. En cambio, utilizan el inicio de sesión único (SSO) y la intermediación de sesiones para iniciar conexiones seguras sin que el usuario llegue a ver la contraseña en ningún momento.

El acceso a la cuenta del usuario generalmente caduca después de un período determinado o después de que se complete su tarea. Muchas bóvedas de credenciales pueden rotar automáticamente las credenciales según una programación o después de cada uso, lo que dificulta que los actores malintencionados roben y hagan mal uso de esas credenciales.

PAM sustituye los modelos de privilegios perpetuos, en los que un usuario siempre tiene el mismo nivel estático de permisos, por modelos de acceso justo a tiempo en los que los usuarios reciben privilegios elevados cuando necesitan realizar tareas específicas. La gestión de privilegios es la forma en que las organizaciones ponen en marcha estos modelos dinámicos de acceso menos privilegiado.

Las bóvedas de credenciales son una forma en que las organizaciones eliminan los privilegios perpetuos, ya que los usuarios pueden acceder a cuentas privilegiadas solo por un tiempo limitado y propósitos limitados. Pero las bóvedas no son la única manera de controlar los privilegios del usuario.

Algunos sistemas de PAM utilizan un modelo llamado elevación de privilegios justo a tiempo (JIT). En vez de iniciar sesión en cuentas de privilegios privilegiadas separadas, a los usuarios se les elevan temporalmente los permisos cuando necesitan realizar actividades privilegiadas.

En el modelo de elevación de privilegios JIT, cada usuario tiene una cuenta estándar con permisos estándar. Si un usuario necesita hacer algo que requiere permisos elevados —por ejemplo, que un miembro del equipo de TI cambie configuraciones importantes en una computadora portátil de la empresa—, envía una solicitud a una herramienta de PAM. La solicitud puede incluir algún tipo de justificación que describa lo que el usuario debe hacer y por qué.

La herramienta de PAM evalúa la solicitud en función de un conjunto de reglas predefinidas. Si este usuario está autorizado para realizar la tarea en este sistema, la herramienta de PAM eleva sus privilegios. Tales privilegios elevados son válidos únicamente durante un corto período y permiten al usuario realizar solo las tareas específicas necesarias.

La mayoría de las organizaciones usan tanto la elevación de privilegios como las bóvedas de credenciales para la gestión de privilegios. Algunos sistemas requieren cuentas privilegiadas dedicadas, como las cuentas administrativas por defecto integradas en algunos dispositivos, y otros no.

La gestión de sesiones privilegiadas (PSM) es el aspecto de PAM que supervisa las actividades privilegiadas. Cuando un usuario retira una cuenta privilegiada o una aplicación tiene sus privilegios elevados, las herramientas de PSM rastrean lo que hacen con esos privilegios.

Las herramientas PSM pueden registrar la actividad de las sesiones privilegiadas mediante el registro de eventos y pulsaciones de teclas. Algunas herramientas de PSM también graban en video las sesiones privilegiadas. Los registros PSM ayudan a las organizaciones a detectar actividades sospechosas, atribuir actividades privilegiadas a usuarios individuales y crear registros de auditoría con fines de cumplimiento.

La gestión de identidades privilegiadas (PIM) y la gestión de usuarios privilegiados (PUM) son subcampos superpuestos de la gestión de accesos privilegiados. Los procesos de PIM se centran en asignar y mantener privilegios para identidades individuales en un sistema. Los procesos de PUM se centran en el mantenimiento de cuentas de usuario privilegiadas.

Sin embargo, las distinciones entre PIM, PUM y otros aspectos de PAM no están universalmente consensuadas. Algunos profesionales incluso usan los términos indistintamente. En última instancia, lo importante es que todo quede bajo la cobertura de PAM. Diferentes organizaciones pueden conceptualizar las tareas de PAM de manera diferente, pero todas las estrategias de PAM comparten el objetivo de prevenir el mal uso del acceso privilegiado.

Es ineficiente, y a menudo imposible, realizar manualmente las tareas principales de PAM, como la elevación de privilegios y las rotaciones periódicas de contraseñas. La mayoría de las organizaciones usan soluciones de PAM para optimizar y automatizar gran parte del proceso.

Las herramientas de PAM se pueden instalar on premises como dispositivos de software o hardware. Cada vez más, se ofrecen como aplicaciones de software como servicio (SaaS) basadas en la nube.

La firma de analistas Gartner clasifica las herramientas PAM en cuatro clases:

• Las herramientas de gestión de cuentas y sesiones privilegiadas (PASM) manejan la gestión del ciclo de vida de las cuentas, la gestión de contraseñas, el almacenamiento de credenciales en las bóvedas y la supervisión en tiempo real de las sesiones privilegiadas.

• Las herramientas de elevación de privilegios y gestión de delegación (PEDM) permiten la elevación de privilegios justo a tiempo al evaluar, aprobar y denegar automáticamente las solicitudes de acceso privilegiado. 

• Las herramientas de gestión de secretos se centran en proteger las credenciales y gestionar los privilegios de usuarios no humanos, como aplicaciones, cargas de trabajo y servidores.

• Las herramientas de gestión de derechos de infraestructura en la nube (CIEM) están diseñadas para la gestión de identidades y accesos en entornos de nube, donde los usuarios y las actividades son más difusos y requieren controles diferentes a los de sus contrapartes on-premises.

Si bien algunas herramientas de PAM son soluciones puntuales que cubren una clase de actividades, muchas organizaciones están adoptando plataformas integrales que combinan las funciones de PASM, PEDM, gestión de secretos y CIEM. Estas herramientas también pueden admitir integraciones con otras herramientas de seguridad, como el envío de registros de sesión privilegiados a una solución de gestión de eventos e información de seguridad (SIEM) .

Algunas plataformas de PAM completas tienen funciones adicionales, como:

• La posibilidad de descubrir automáticamente cuentas privilegiadas desconocidas

• La capacidad de aplicar MFA a los usuarios que aplicar acceso privilegiado

• Acceso remoto seguro para actividades y usuarios privilegiados

• Capacidades de gestión de acceso privilegiado de proveedores (VPAM) para contratistas y socios externos

Los analistas prevén que las herramientas PAM, al igual que otros controles de seguridad, incorporarán cada vez más la IA y el machine learning (ML). De hecho, algunas herramientas PAM ya usan IA y ML en sistemas de autenticación basados en riesgos.

La autenticación basada en riesgos evalúa continuamente el comportamiento del usuario, calcula el nivel de riesgo de ese comportamiento y cambia de forma dinámica los requisitos de autenticación en función de ese riesgo. Por ejemplo, un usuario que solicita privilegios para configurar una sola computadora portátil podría necesitar aprobar la autenticación de dos factores. Un usuario que quiera cambiar la configuración de todas las estaciones de trabajo de un dominio podría necesitar proporcionar aún más pruebas para verificar su identidad.

La investigación de OMDIA² predice que las herramientas de PAM podrían usar IA generativa para analizar solicitudes de acceso, automatizar la elevación de privilegios, generar y perfeccionar políticas de acceso y detectar actividades sospechosas en registros de sesiones privilegiadas.

Mientras que las herramientas y tácticas de PAM rigen la actividad privilegiada en toda una organización, también pueden ayudar a resolver problemas específicos de seguridad de identidad y de acceso.

• Reducción de la superficie de ataque de identidad
• Gestión de la proliferación de identidades
• Cumplimiento regulatorio
• Gestión de secretos de DevOps