¿Qué es la gestión de secretos?

17 de diciembre de 2024

Autores

James Holdsworth

Content Writer

Matthew Kosinski

Enterprise Technology Writer

¿Qué es la gestión de secretos?

La administración de secretos es la protección de credenciales, incluidos certificados, claves, contraseñas y tokens, para usuarios no humanos, como aplicaciones, servidores y cargas de trabajo.

Hoy en día, las organizaciones automatizan muchos procesos y flujos de trabajo de negocio clave mediante el uso de herramientas como la automatización robótica de procesos (RPA) y, recientemente, agentes y asistentes de IA. Al igual que los usuarios humanos, estas entidades no humanas necesitan credenciales, a menudo llamadas "secretos", para acceder a los recursos de la organización.

Los usuarios no humanos suelen necesitar privilegios elevados para completar sus tareas. Por ejemplo, un proceso de copia de seguridad automatizado puede tener acceso a archivos confidenciales y configuraciones del sistema.

Estas cuentas privilegiadas no humanas son objetivos de gran valor para los hackers, que pueden abusar de sus derechos de acceso para robar datos y dañar sistemas críticos mientras evaden la detección. De hecho, el secuestro de cuentas válidas es el vector de ciberataque más común en la actualidad, según el IBM X-Force Threat Intelligence Index. Estos ataques representan el 30 % de todos los incidentes a los que X-Force ha respondido recientemente.

Los sistemas y procesos de gestión de secretos permiten a las organizaciones crear, controlar y asegurar los secretos que las entidades no humanas utilizan para acceder a los recursos de TI. Mediante el uso de herramientas de gestión de secretos para gestionar y proteger las credenciales no humanas a lo largo de todo su ciclo de vida integral, las organizaciones pueden agilizar los flujos de trabajo automatizados al tiempo que evitan las filtraciones de datos, la manipulación, el robo y otros accesos no autorizados.

¿Qué es un secreto?

Un secreto es una credencial digital contenida dentro de una aplicación o servicio que permite a los usuarios no humanos comunicarse y realizar acciones en un servicio, base de datos, aplicación u otro recurso de TI. Los secretos ayudan a las organizaciones a fortalecer su postura de seguridad al garantizar que solo los usuarios autorizados tengan acceso a datos y sistemas confidenciales.

Algunos ejemplos de secretos incluyen, entre otros:

  • Credenciales de cuenta de servicio: las cuentas de servicio permiten que las aplicaciones y los flujos de trabajo automatizados interactúen con los sistemas operativos. Las credenciales de la cuenta de servicio pueden incluir contraseñas, tokens de seguridad, tickets Kerberos y otros secretos.

  • Claves de API: las claves de API permiten a los usuarios, aplicaciones y servicios verificarse en la interfaz de programación de aplicaciones (API).

  • Claves de cifrado: las claves de cifrado permiten a los usuarios cifrar y descifrar datos.

  • Tokens de autenticación y autorización: los tokens, como los que se usan en el protocolo OAuth, son piezas de información que pueden verificar la identidad de un usuario y determinar los recursos específicos a los que puede acceder.

  • Claves SSH (Secure Shell): los servidores SSH utilizan las claves SSH para identificar a un usuario o dispositivo a través de criptografía de clave pública.

  • Certificados SSL/TLS: un certificado digital que se puede utilizar para establecer comunicaciones privadas entre un servidor y un cliente mediante el protocolo Secure Sockets Layer/Transport Layer Security (SSL/TLS).

  • Secretos arbitrarios: datos confidenciales, incluido cualquier tipo de datos estructurados o no estructurados que puedan utilizarse para acceder a una aplicación o recurso.

  • Otras claves privadas: estas pueden incluir certificados de infraestructura de clave pública (PKI), claves de código de autenticación de mensajes basados en hash (HMAC) y claves de firma.
Hombre mirando una computadora

Fortalezca su inteligencia de seguridad 


Manténgase a la vanguardia de las amenazas con noticias e insights sobre seguridad, IA y mucho más, semanalmente en el boletín Think. 


Por qué es importante la gestión de secretos

Las herramientas de gestión de secretos de nivel empresarial ayudan a las organizaciones a detectar, prevenir y remediar el acceso no autorizado y el uso indebido de datos y sistemas confidenciales, como la información de identificación personal (PII). Las organizaciones pueden reducir el riesgo de filtraciones de datos y robo de datos, evitando la pérdida de datos valiosos, posibles multas y daños a la reputación.

La gestión de secretos es uno de los pilares de la gestión de acceso privilegiado (PAM), el subconjunto de la gestión de identidad y acceso (IAM) que se centra en proteger cuentas y usuarios privilegiados.

Los otros 3 pilares de PAM incluyen:

  • Gestión privilegiada de cuentas y sesiones (PASM), que se encarga de la gestión del ciclo de vida de las cuentas, la gestión de contraseñas y la supervisión de sesiones.

  • Gestión de elevación y delegación de privilegios (PEDM), que implica evaluar, aprobar y denegar automáticamente las solicitudes de acceso con privilegios. 

  • Gestión de derechos de infraestructura en la nube (CIEM), que supervisa los procesos de IAM en entornos de computación en la nube.

La gestión de secretos es importante para la metodología DevOps, que hace hincapié en la entrega de software automatizada y continua.

Los equipos de DevOps suelen utilizar múltiples herramientas de configuración u orquestación para gestionar ecosistemas digitales completos, flujos de trabajo y endpoint. Las herramientas a menudo utilizan la automatización y scripts que requieren acceso a secretos para iniciarse. Sin un servicio de gestión de secretos de nivel empresarial, el uso desordenado de los secretos podría aumentar la vulnerabilidad del sistema.

Muchas organizaciones integran funciones de gestión de secretos en el pipeline de integración continua y de entrega continua, o pipeline de CI/CD. Esto ayuda a garantizar que todas las partes móviles (desarrolladores, herramientas y procesos automatizados) tengan acceso seguro a los sistemas confidenciales que necesitan cuando lo necesitan.

La gestión de secretos se considera un componente central de DevSecOps, una evolución de la metodología DevOps que integra y automatiza continuamente la seguridad a lo largo del ciclo de vida de DevOps.

Mixture of Experts | Podcast

Decodificación de la IA: Resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el revuelo de la IA para ofrecerle las últimas noticias e insights al respecto.

Cómo funciona la gestión de secretos

El proceso de gestión de secretos suele basarse en herramientas de gestión de secretos. Estas herramientas, que se pueden desplegar on premises o como servicios entregados en la nube, pueden ayudar a centralizar, automatizar y optimizar la creación, uso, rotación y protección de secretos.

Algunas capacidades comunes de las herramientas de gestión de secretos incluyen:

  • Gestión de secretos centralizada y estandarizada
  • Creación dinámica de secretos y rotación automatizada de secretos
  • Controles de acceso
  • Monitoreo y auditoría de actividades

Gestión de secretos centralizada y estandarizada

Con un servicio de gestión de secretos de nivel empresarial, las organizaciones pueden administrar múltiples tipos de secretos en un único panel.

En lugar de dejar que los usuarios individuales gestionen los secretos en pequeños silos, las soluciones de gestión de secretos pueden almacenar los secretos en una ubicación central y segura denominada "bóveda secreta".

Cuando un usuario autorizado necesita acceder a un sistema confidencial, puede obtener el secreto correspondiente del almacén. La herramienta de gestión de secretos puede verificar, autorizar y otorgar automáticamente a los usuarios los permisos que necesitan para llevar a cabo sus flujos de trabajo.

La estandarización puede ayudar a prevenir la expansión secreta. La dispersión de secretos se produce cuando los secretos se almacenan en varios lugares de una organización, a menudo codificados en aplicaciones o como texto sin formato en un documento compartido. La proliferación de secretos dificulta proteger los secretos de actores maliciosos y rastrear cómo se utilizan los secretos.  

Creación dinámica de secretos y rotación automatizada de secretos

Los secretos creados en un gestor de secretos pueden ser estáticos o dinámicos. Un secreto estático es un secreto que permanece válido durante mucho tiempo, generalmente hasta que se modifica manualmente o alcanza una fecha de vencimiento predeterminada.

En cambio, un secreto dinámico es creado por el gestor de secretos a petición, en el momento en que se necesita. Los secretos dinámicos caducan con bastante rapidez. Incluso pueden ser de un solo uso.

Un caso de uso de un secreto dinámico sería proteger un recurso confidencial mediante la generación dinámica de claves de API cada vez que se lee o se accede a ese recurso. Esto ayuda a garantizar que los actores malintencionados no puedan robar y reutilizar las claves de API.

Muchos gestores de secretos también pueden automatizar la rotación de secretos, es decir, el acto de cambiar los secretos con regularidad. La rotación de secretos se puede automatizar según lo programado o bajo demanda sin necesidad de volver a implementar o interrumpir las aplicaciones. El tiempo de vida (TTL) o la duración de la concesión se pueden definir para un secreto en su creación para acortar la cantidad de tiempo que existe el secreto.

Controles de acceso

Los secretos solo se pueden conceder a entidades o grupos específicos para organizar y restringir el acceso. El acceso a los secretos suele concederse mediante el principio de privilegio mínimo, es decir, a cada proceso se le concede únicamente el conjunto de privilegios más restrictivo necesario para realizar una tarea. Los usuarios solo pueden acceder a los secretos necesarios para realizar sus tareas autorizadas.

Monitoreo y auditoría de actividades

Muchos gestores de secretos pueden rastrear cómo los usuarios y las aplicaciones interactúan con los secretos y los utilizan para verificar que los secretos se gestionen adecuadamente a lo largo de sus ciclos de vida. Esto permite a la organización realizar un monitoreo integral y en tiempo real de las autenticaciones y autorizaciones.

Los gestores de secretos pueden identificar rápidamente los intentos no autorizados de ver o utilizar secretos y cortar el acceso, deteniendo así a los hackers, las amenazas internas y otros actores maliciosos. 

Prácticas comunes de gestión de secretos

Más allá de utilizar soluciones de gestión de secretos, muchas organizaciones siguen prácticas básicas comunes en sus procesos de gestión de secretos. Estas prácticas incluyen:

  • Los secretos se generan y almacenan en el entorno en el que se despliega un servicio, como los entornos de desarrollo, pruebas y producción. Algunas organizaciones emplean diferentes herramientas de gestión de secretos para cada entorno. Otros emplean una solución central y aíslan los secretos de cada entorno en un segmento dedicado. Los secretos nunca salen de sus entornos y se protegen mediante el uso de estrictas medidas de control de acceso.

  • El acceso de los usuarios a los secretos se concede al nivel mínimo necesario para que cualquier usuario pueda cumplir con sus responsabilidades. El exceso de derechos, ya sea intencionado o no, puede provocar filtraciones de datos.

  • Los secretos se rotan periódicamente de acuerdo con los requisitos del sistema.

  • Los usuarios no almacenan secretos en el código fuente, los archivos de configuración o la documentación.

  • Las políticas de seguridad se pueden mejorar exigiendo el cifrado de todos los datos confidenciales. Las claves de cifrado se pueden proteger con un servicio de gestión de claves (KMS).

  • La organización monitorea continuamente los secretos, con registros de auditoría que rastrean cada solicitud: quién solicitó el secreto, para qué sistema, si la solicitud fue exitosa, cuándo se utilizó el secreto, cuándo expiró y cuándo y si el secreto se ha actualizado. Las anomalías se investigan inmediatamente. 

Desafíos de la gestión de secretos

A medida que los ecosistemas de TI se vuelven más complejos, la gestión de secretos se vuelve cada vez más difícil de controlar de manera efectiva. Los desafíos comunes de la gestión de secretos pueden incluir:

Gestión de secretos descentralizada

Los ecosistemas descentralizados en los que administradores, desarrolladores y usuarios gestionan sus secretos por separado pueden introducir riesgos, ya que es posible que las brechas de seguridad y el uso de secretos no se monitoreen o auditen adecuadamente.

Las soluciones centralizadas de gestión de secretos pueden ofrecer a las organizaciones más visibilidad y control sobre los secretos.

Credenciales codificadas

Cuando las contraseñas u otros secretos se incrustan como texto sin formato en el código fuente o scripts, los atacantes pueden descubrirlos fácilmente y utilizarlos para acceder a información confidencial.

Los secretos codificados pueden aparecer en muchos lugares, incluidas las cadenas de herramientas de CI/CD, los dispositivos del Internet de las cosas (IoT), las plataformas de orquestación de contenedores como Kubernetes, los servidores de aplicaciones, los escáneres de vulnerabilidades y las plataformas de automatización de procesos robóticos (RPA).

Rotación poco frecuente 

La rotación regular de secretos puede ayudar a prevenir el robo y el abuso, pero la rotación puede ser inconsistente o ineficaz sin un sistema de gestión de secretos. Si un secreto permanece sin cambios durante demasiado tiempo, un hacker podría desbloquearlo mediante conjeturas de prueba y error o un ataque de fuerza bruta.

Cuanto más tiempo se utilice una contraseña, más usuarios tendrán acceso y mayores serán las posibilidades de una filtración.

Proliferación de secretos

El crecimiento de los sistemas de TI puede provocar una proliferación de secretos, con secretos repartidos por muchas partes aisladas del sistema. La proliferación de secretos puede ser especialmente preocupante en los ecosistemas multinube híbridos, donde las organizaciones mezclan entornos de nube pública y nube privada entregados por múltiples proveedores de la nube.

Las organizaciones pueden tener miles, incluso millones, de secretos en todas sus aplicaciones nativas de la nube, contenedores, microservicios y otros recursos. Esta proliferación crea una enorme carga de seguridad y amplía la posible superficie de ataque.

En todos los servicios, la visibilidad puede ser limitada y la gestión de secretos puede volverse difícil de manejar rápidamente si se realiza un seguimiento manual o mediante sistemas dispares. La falta de un servicio centralizado de gestión de secretos podría dificultar o imposibilitar la aplicación de una higiene adecuada de los secretos.

Intercambio manual de secretos

Cuando una organización carece de un sistema de gestión de secretos, los secretos pueden compartirse manualmente, por ejemplo, a través de correos electrónicos o mensajes de texto, donde los actores de amenazas pueden interceptarlos. 

Soluciones relacionadas
IBM Verify: soluciones de IAM

Modernice las herramientas para la gestión de identidades y complemente las existentes, a la vez que proporciona un acceso seguro y fluido para cualquier identidad a la IA, las aplicaciones y los recursos on premises, en la nube o como SaaS.

Explore Verify
Verify Identity Protection

Explore nuestras soluciones de detección y respuesta ante amenazas de identidad (ITDR) y de gestión de la postura de seguridad de identidades (ISPM), que le proporcionan una visibilidad integral de la actividad de los usuarios en un entorno híbrido.

Explore Verify Identity Protection
Servicios de gestión de identidad y acceso (IAM)

Ponga su fuerza laboral y su programa de IAM del consumidor en el camino hacia el éxito con habilidades, estrategia y soporte de expertos en identidad y seguridad.

    Conozca los servicios de IAM
    Dé el siguiente paso

    Descubra IBM Verify, una plataforma líder de IAM que proporciona capacidades impulsadas por IA que le permitirán gestionar las necesidades de su fuerza laboral y de sus clientes. 

    Explore Verify Descubra Verify Identity Protection