¿Qué es la gestión de accesos privilegiados (PAM)?

Autores

Matthew Kosinski

Staff Editor

IBM Think

¿Qué es la gestión de accesos privilegiados (PAM)?

La gestión de acceso privilegiado (PAM) es la disciplina de ciberseguridad que rige y protege las cuentas privilegiadas (como las cuentas de administrador) y las actividades privilegiadas (como trabajar con datos confidenciales).

En un sistema informático, “privilegio” hace referencia a los permisos de acceso superiores a los de un usuario estándar. Una cuenta de usuario normal podría tener permiso para ver entradas en una base de datos, mientras que un administrador privilegiado podría configurar, agregar, cambiar y eliminar entradas.

Los usuarios no humanos, como máquinas, aplicaciones y cargas de trabajo, también pueden tener privilegios elevados. Por ejemplo, un proceso de copia de seguridad automatizado puede tener acceso a archivos confidenciales y configuraciones del sistema.

Las cuentas con privilegios son objetivos de gran valor para los hackers, que pueden abusar de sus derechos de acceso para robar datos y dañar sistemas cruciales mientras evaden la detección. De hecho, el secuestro de cuentas válidas es uno de los dos vectores de ciberataque más comunes en la actualidad, según el IBM®  X-Force Threat Intelligence Index.

Y el peligro también puede provenir del interior de una organización. Un estudio del IBM Institute for Business Value descubrió que el personal con buenas intenciones puede compartir datos organizativos privados en productos de inteligencia artificial (IA) de terceros sin saber si las herramientas satisfacen sus necesidades de seguridad. El estudio informa que el 41 % de los empleados adquirieron, modificaron o crearon tecnología sin el conocimiento de su equipo de TI o seguridad, lo que creó una seria apertura en la seguridad.

Las herramientas y prácticas de PAM ayudan a las organizaciones a proteger las cuentas privilegiadas contra los ataques basados en la identidad. En concreto, las estrategias de PAM refuerzan la posición de seguridad de la organización al reducir el número de usuarios y cuentas con privilegios, proteger las credenciales privilegiadas y aplicar el principio de privilegios mínimos.

¿Cuál es la diferencia entre PAM e IAM? 

La gestión de identidades y accesos (IAM) es un campo amplio que abarca todos los esfuerzos de seguridad de identidad de una organización para todos los usuarios y recursos. PAM es un subconjunto de IAM que se centra en proteger cuentas y usuarios con privilegios.

Hay una superposición significativa entre IAM y PAM. Ambos implican el aprovisionamiento de identidades digitales, la implementación de políticas de control de acceso y la implementación de sistemas de autenticación y autorización.

Sin embargo, PAM va más allá de las medidas estándar de IAM porque las cuentas privilegiadas requieren una protección más sólida que las cuentas estándar. Los programas PAM utilizan medidas de seguridad avanzadas como bóvedas de credenciales y registro de sesiones para controlar estrictamente cómo obtienen los usuarios privilegios elevados y qué hacen con ellos.

Sería poco práctico e ineficaz aplicar medidas tan estrictas a las cuentas no privilegiadas. Estas medidas interrumpirían el acceso regular de los usuarios y dificultarían que las personas realicen sus trabajos diarios. Esta diferencia en los requisitos de seguridad es la razón por la que PAM e IAM se han separado en disciplinas distintas, pero relacionadas.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Por qué es importante la gestión del acceso privilegiado

Las cuentas privilegiadas suponen mayores riesgos de seguridad. Sus elevados permisos se prestan al abuso, y muchas organizaciones tienen dificultades para rastrear la actividad privilegiada en los sistemas locales y en la nube. PAM ayuda a las organizaciones a tener más control sobre las cuentas con privilegios para detener a los hackers mientras conectan a los usuarios con los permisos que necesitan.

Los ataques basados en identidad, en los que los hackers se apoderan de las cuentas de los usuarios y abusan de sus privilegios válidos, están en aumento. X-Force de IBM informa que estos ataques representan el 30 % de las violaciones de seguridad. Estos ataques suelen dirigirse a cuentas privilegiadas, ya sea directamente o a través del movimiento lateral.

Los malos actores (amenazas internas o atacantes externos), los que se ponen manos a la obra en cuentas privilegiadas pueden causar graves daños. Pueden usar los permisos elevados para propagar malware y acceder a recursos cruciales sin restricciones, todo mientras engañan a las soluciones de seguridad para que piensen que son usuarios legítimos con cuentas válidas.

Según el Informe "Cost of a Data Breach" de IBM, las violaciones de seguridad en las que los hackers utilizan credenciales robadas cuestan de media de 4,62 millones de dólares. Las amenazas internas que abusan de sus privilegios válidos pueden causar aún más daños, con un coste promedio de 4,90  millones de dólares por cada vulneración.

Además, la transformación digital y el crecimiento de la inteligencia artificial han aumentado el número de usuarios privilegiados en la red promedio. Cada nuevo servicio en la nube, aplicación de IA, estación de trabajo y dispositivo de Internet de las cosas (IoT) trae nuevas cuentas privilegiadas. Estas cuentas incluyen tanto las cuentas de administrador que los usuarios humanos necesitan para administrar estos activos como las cuentas que estos activos utilizan para interactuar con la infraestructura de red.

Para complicar aún más las cosas, la gente suele compartir cuentas privilegiadas. Por ejemplo, en lugar de asignar a cada administrador de sistema su propia cuenta, muchos equipos informáticos crean una cuenta de administrador por sistema y comparten las credenciales con los usuarios que las necesitan.

Como resultado, a las organizaciones les resulta difícil rastrear cuentas privilegiadas mientras los actores maliciosos centran su atención en esas mismas cuentas.

Las tecnologías y estrategias de PAM ayudan a las organizaciones a obtener más visibilidad y control sobre las cuentas y actividades privilegiadas sin interrumpir los flujos de trabajo legítimos de los usuarios. El Centro para la Seguridad en Internet enumera las actividades básicas de PAM entre sus controles de seguridad "cruciales".1

Herramientas como las bóvedas de credenciales y la elevación de privilegios "justo a tiempo" pueden facilitar el acceso seguro a los usuarios que lo necesiten, al tiempo que mantienen alejados a los hackers y a las personas internas no autorizadas. Las herramientas de monitorización de sesiones privilegiadas permiten a las organizaciones realizar un seguimiento de todo lo que cada usuario hace con sus privilegios a través de la red, lo que permite a los equipos de TI y de seguridad detectar actividades sospechosas.

Cómo funciona la gestión de accesos privilegiados

La gestión de accesos privilegiados combina procesos y herramientas tecnológicas para controlar cómo se asignan, acceden y utilizan los privilegios. Muchas estrategias de PAM se centran en tres pilares:

  • Gestión de cuentas privilegiadas: creación, aprovisionamiento y eliminación segura de cuentas con permisos elevados.

  • Gestión de privilegios: gestionar cómo y cuándo los usuarios obtienen privilegios, así como lo que los usuarios pueden hacer con sus privilegios.

  • Gestión de sesiones con privilegios: supervisión de la actividad privilegiada para detectar comportamientos sospechosos y garantizar el cumplimiento.

Gestión de cuentas privilegiadas

La gestión de cuentas privilegiadas supervisa todo el ciclo de vida de las cuentas con permisos elevados, desde la creación hasta la retirada.

¿Qué son las cuentas privilegiadas?

Una cuenta privilegiada es cualquier cuenta con derechos de acceso superiores a la media en un sistema. Los usuarios de cuentas privilegiadas pueden hacer cosas como cambiar la configuración del sistema, instalar nuevo software y agregar o eliminar otros usuarios.

En los entornos de TI modernos, las cuentas privilegiadas adoptan muchas formas. Tanto los usuarios humanos como los usuarios no humanos, como los dispositivos IoT y los flujos de trabajo automatizados, pueden tener cuentas privilegiadas. Algunos ejemplos son:

  • Las cuentas de administración locales otorgan a los usuarios control sobre un único equipo portátil, servidor o endpoint individual.

  • Las cuentas de administración de dominio otorgan a los usuarios el control sobre todo un dominio, como por ejemplo todos los usuarios y estaciones de trabajo de un dominio de Microsoft Active Directory.

  • Las cuentas de usuario empresarial privilegiadas conceden a los usuarios un acceso elevado con fines no relacionados con la TI, como la cuenta que un empleado de finanzas utiliza para acceder a los fondos de la empresa.

  • Las cuentas de superusuario conceden privilegios sin restricciones en un sistema concreto. En los sistemas Unix y Linux, las cuentas de superusuario se denominan cuentas “raíz”. En Microsoft Windows, se llaman cuentas de "administrador".

  • Las cuentas de servicio permiten que las aplicaciones y los flujos de trabajo automatizados interactúen con los sistemas operativos.

Componentes básicos de la gestión de cuentas privilegiadas

La gestión de cuentas privilegiadas controla todo el ciclo de vida de estas cuentas con privilegios, lo que incluye:

  • Descubrimiento: hacer un inventario de todas las cuentas privilegiadas existentes en una red.

  • Aprovisionamiento: creación de nuevas cuentas con privilegios y asignación de permisos según el principio del mínimo privilegio.

  • Acceso: gestión de quién puede acceder a cuentas privilegiadas y cómo

  • Eliminación: retirar de forma segura las cuentas privilegiadas que ya no son necesarias.

Un objetivo importante de la administración de cuentas con privilegios es reducir el número de cuentas con privilegios en un sistema y restringir el acceso a esas cuentas. La gestión de credenciales es una herramienta clave para lograr este objetivo.

En lugar de asignar cuentas privilegiadas a usuarios individuales, muchos sistemas PAM centralizan estas cuentas y almacenan sus credenciales en una bóveda de contraseñas. El almacén guarda de forma segura contraseñas, tokens, claves Secure Shell (SSH) y otras credenciales en un formulario cifrado.

Cuando un usuario, humano o no humano, necesita realizar una actividad con privilegios, debe obtener las credenciales de la cuenta adecuada de la bóveda.

Por ejemplo, supongamos que un miembro del equipo informático debe realizar cambios en un ordenador portátil de la empresa. Para hacerlo, deben usar la cuenta de administrador local para este ordenador portátil. Las credenciales de la cuenta se almacenan en un almacén de contraseñas, por lo que el miembro del equipo de TI comienza solicitando la contraseña de la cuenta.

El miembro del equipo primero debe superar un fuerte desafío de autenticación, como la autenticación multifactor (MFA), para demostrar su identidad. Luego, el almacén utiliza controles de acceso basados en roles (RBAC) o políticas similares para determinar si este usuario está autorizado a acceder a las credenciales de esta cuenta.

Este miembro del equipo de TI está autorizado a utilizar esta cuenta de administrador local, por lo que el almacén de credenciales le concede acceso. El miembro del equipo de TI ahora puede usar la cuenta de administrador local para realizar los cambios necesarios en el ordenador portátil de la empresa.

Para mayor seguridad, muchos almacenes de credenciales no comparten directamente las credenciales con los usuarios. En su lugar, utilizan el inicio de sesión único (SSO) y el intermediario de sesión para iniciar conexiones seguras sin que el usuario vea la contraseña.

El acceso a la cuenta del usuario normalmente expira después de un período de tiempo determinado o después de completar su tarea. Muchos almacenes de credenciales pueden rotar automáticamente las credenciales según un programa o después de cada uso, lo que dificulta a los actores maliciosos el robo y uso indebido de esas credenciales.

Administración de privilegios

PAM sustituye los modelos de privilegios perpetuos, en los que un usuario siempre tiene el mismo nivel estático de permisos, por modelos de acceso justo a tiempo en los que los usuarios reciben privilegios elevados cuando necesitan realizar tareas específicas. La gestión de privilegios es la forma en que las organizaciones implementan estos modelos dinámicos de acceso con menos privilegios.

Los almacenes de credenciales son una forma en que las organizaciones eliminan los privilegios perpetuos, ya que los usuarios pueden acceder a cuentas con privilegios solo por un tiempo limitado y con fines limitados. Pero los almacenes no son la única forma de controlar los privilegios de los usuarios.

Algunos sistemas PAM utilizan un modelo llamado elevación de privilegios justo a tiempo (JIT). En lugar de iniciar sesión en cuentas con privilegios separadas, los usuarios tienen sus permisos elevados temporalmente cuando necesitan realizar actividades con privilegios.

En el modelo de elevación de privilegios JIT, cada usuario tiene una cuenta estándar con permisos estándar. Cuando un usuario necesita hacer algo que requiere permisos elevados, como que un miembro del equipo de TI cambie la configuración importante en un ordenador portátil de la empresa, envía una solicitud a una herramienta PAM. La solicitud puede incluir algún tipo de justificación que describa lo que el usuario necesita hacer y por qué.

La herramienta PAM evalúa la solicitud en función de una serie de normas predefinidas. Si este usuario está autorizado para realizar esta tarea en este sistema, la herramienta PAM eleva sus privilegios. Estos privilegios elevados solo son válidos por un corto período de tiempo y permiten al usuario realizar solo las tareas específicas que necesita.

La mayoría de las organizaciones utilizan tanto la elevación de privilegios como el almacenamiento de credenciales para la administración de privilegios. Algunos sistemas requieren cuentas privilegiadas específicas, como las cuentas administrativas predeterminadas integradas en algunos dispositivos, y otros no.

Gestión de sesiones privilegiadas

La gestión de sesiones privilegiadas (PSM) es el aspecto de PAM que supervisa las actividades privilegiadas. Cuando un usuario retira una cuenta privilegiada o una aplicación tiene sus privilegios elevados, las herramientas de PSM rastrean lo que hace con esos privilegios.

Las herramientas PSM pueden registrar la actividad de las sesiones privilegiadas mediante el registro de eventos y pulsaciones de teclas. Algunas herramientas PSM también graban en vídeo las sesiones privilegiadas. Los registros de PSM ayudan a las organizaciones a detectar actividades sospechosas, atribuir actividad privilegiada a usuarios individuales y crear pistas de auditoría con fines de cumplimiento.

PAM frente a PIM frente a PUM

La administración de identidades privilegiadas (PIM) y la administración de usuarios privilegiados (PUM) son subcampos superpuestos de la administración de acceso con privilegios. Los procesos PIM se centran en asignar y mantener privilegios para identidades individuales en un sistema. Los procesos PUM se centran en el mantenimiento de las cuentas de usuario con privilegios.

Sin embargo, las distinciones entre PIM, PUM y otros aspectos de la PAM no están universalmente consensuadas. Algunos practicantes incluso usan los términos indistintamente. En última instancia, lo importante es que todo esté bajo el paraguas de PAM. Diferentes organizaciones pueden conceptualizar las tareas de PAM de manera diferente, pero todas las estrategias de PAM comparten el objetivo de prevenir el mal uso del acceso privilegiado.

Soluciones de gestión de acceso privilegiado

Es ineficiente, y a menudo imposible, realizar manualmente las tareas principales de PAM, como la elevación de privilegios y las rotaciones periódicas de contraseñas. La mayoría de las organizaciones utilizan soluciones PAM para agilizar y automatizar gran parte del proceso.

Las herramientas PAM se pueden instalar en las instalaciones como dispositivos de software o hardware. Cada vez más, se entregan como aplicaciones de software como servicio (SaaS) basadas en la nube.

La empresa de análisis Gartner clasifica las herramientas PAM en cuatro clases:

  • Las herramientas de gestión de cuentas y sesiones privilegiadas (PASM) gestionan el ciclo de vida de las cuentas, la gestión de contraseñas, el almacenamiento de credenciales y la supervisión de las sesiones privilegiadas en tiempo real.

  • Las herramientas de gestión de delegación y elevación de privilegios (PEDM) permiten la elevación de privilegios justo a tiempo al evaluar, aprobar y denegar automáticamente las solicitudes de acceso con privilegios. 

  • Las herramientas de administración de secretos se centran en proteger las credenciales y administrar los privilegios de los usuarios no humanos, como aplicaciones, cargas de trabajo y servidores.

  • Las herramientas de administración de derechos de infraestructura en la nube (CIEM) están diseñadas para administrar identidades y accesos en entornos de nube, donde los usuarios y las actividades son más difusos y requieren controles diferentes a los de sus contrapartes locales.

Aunque algunas herramientas PAM son soluciones puntuales que cubren una clase de actividades, muchas organizaciones están adoptando plataformas integrales que combinan las funciones de PASM, PEDM, gestión de secretos y CIEM. Estas herramientas también pueden admitir integraciones con otras herramientas de seguridad, como el envío de registros de sesión con privilegios a una solución de gestión de eventos e información de seguridad (SIEM).

Algunas plataformas PAM integrales tienen funciones adicionales, como:

  • La capacidad de descubrir automáticamente cuentas privilegiadas previamente desconocidas

  • La capacidad de aplicar MFA a los usuarios que solicitan acceso privilegiado

  • El acceso remoto seguro para actividades y usuarios privilegiados

  • Las capacidades de gestión de acceso privilegiado (VPAM) de proveedores para contratistas y socios externos

PAM y IA

Los analistas anticipan que las herramientas PAM, al igual que otros controles de seguridad, incorporarán cada vez más IA y machine learning (ML). De hecho, algunas herramientas PAM ya utilizan IA y ML en sistemas de autenticación basados en riesgos.

La autenticación basada en el riesgo evalúa continuamente el comportamiento del usuario, calcula el nivel de riesgo de ese comportamiento y cambia dinámicamente los requisitos de autenticación en función de ese riesgo. Por ejemplo, un usuario que solicita privilegios para configurar un único portátil puede necesitar pasar la autenticación de dos factores. Es posible que un usuario que desee cambiar la configuración de todas las estaciones de trabajo de un dominio tenga que proporcionar aún más pruebas para verificar su identidad.

La investigación de OMDIA2 predice que las herramientas PAM podrían utilizar la IA generativa para analizar las solicitudes de acceso, automatizar la elevación de privilegios, generar y refinar las políticas de acceso y detectar actividades sospechosas en los registros de sesiones privilegiadas.

Casos de uso de la gestión de acceso privilegiado

Mientras que las herramientas y tácticas de PAM rigen la actividad privilegiada en toda una organización, también pueden ayudar a abordar desafíos específicos de seguridad de identidad y acceso.

  • Reducción de la superficie de ataque de identidad
  • Administración de la expansión de identidades
  • Conformidad con la normativa
  • Gestión de secretos de DevOps
Reducción de la superficie de ataque de identidad

Los actores de amenazas utilizan cada vez más cuentas válidas para entrar en las redes. Al mismo tiempo, muchas organizaciones están sufriendo la fluencia de privilegios. Los usuarios tienen privilegios superiores a los que necesitan y las cuentas con privilegios obsoletos no se retiran adecuadamente.

Como resultado, las identidades se han convertido en los mayores riesgos de muchas organizaciones. Las herramientas y tácticas PAM pueden ayudar a remediar estas vulnerabilidades.

Los almacenes de credenciales dificultan el robo de cuentas con privilegios, y las herramientas PEDM aplican un acceso granular con privilegios mínimos que reduce el movimiento lateral. Las organizaciones pueden utilizar estas y otras soluciones de PAM para reemplazar los privilegios perpetuos por un modelo zero trust en el que los usuarios deben autenticarse y autorizarse para cada conexión y actividad. Este modelo puede ayudar a reducir la superficie de ataque de la identidad y limitar las oportunidades de los hackers.
Administración de la expansión de identidades

La transformación digital ha provocado una explosión de identidades privilegiadas en las redes corporativas, lo que representa un desafío importante para la seguridad de la información.

El departamento de negocios promedio utiliza 87 aplicaciones SaaS diferentes3, por no hablar de los distintos dispositivos de IoT, servicios de infraestructura en la nube y usuarios remotos con dispositivos BYOD que pueblan ahora las redes corporativas. Muchos de estos activos y usuarios necesitan cuentas privilegiadas para interactuar con los recursos de TI.

Y a medida que más organizaciones incorporan la IA generativa a sus operaciones, estas nuevas aplicaciones e integraciones de IA añaden otro conjunto de identidades privilegiadas.

Muchas de estas identidades privilegiadas pertenecen a usuarios no humanos, como aplicaciones de IA y dispositivos IoT. Los usuarios no humanos superan en número a los humanos en muchas redes hoy en día, y son bastante malos a la hora de mantener sus credenciales en secreto. Por ejemplo, algunas aplicaciones vuelcan sus credenciales en texto sin formato en los registros del sistema y los informes de errores.

PAM puede ayudar a las organizaciones a gestionar la proliferación de identidades almacenando credenciales privilegiadas para usuarios humanos y no humanos y controlando de forma centralizada el acceso a las mismas. La rotación automatizada de credenciales puede limitar el daño de cualquier credencial que se filtre, y las herramientas de monitorización de sesión ayudan a rastrear lo que todos estos usuarios dispares hacen con sus privilegios.
Conformidad con la normativa 

Las regulaciones de privacidad y seguridad de datos, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y el Reglamento General de Protección de Datos (RGPD), requieren que las organizaciones controlen el acceso a la información de salud, los números de tarjetas de crédito y otros datos confidenciales.

PAM puede ayudar a las organizaciones a cumplir con los requisitos de cumplimiento de varias maneras. Las herramientas PAM pueden hacer cumplir privilegios de acceso granulares para que solo los usuarios necesarios puedan acceder a datos sensibles y solo por razones autorizadas.

Los almacenes de credenciales y la elevación de privilegios eliminan la necesidad de compartir cuentas de administrador, lo que puede provocar que usuarios no autorizados accedan a datos confidenciales.

La monitorización de sesiones privilegiadas ayuda a las organizaciones a atribuir actividades y producir rastros de auditoría para probar el cumplimiento en caso de una infracción o investigación.
Gestión de secretos de DevOps

La gestión de credenciales privilegiadas, a menudo denominadas "secretos" en entornos DevOps, puede resultar especialmente difícil para los equipos DevOps.

La metodología DevOps utiliza en gran medida servicios en la nube y procesos automatizados, lo que significa que hay muchos usuarios humanos y no humanos privilegiados repartidos por muchas partes diferentes de la red.

No es raro que las claves SSH, contraseñas, claves API y otros secretos estén codificados en aplicaciones o almacenados como texto sin formato en sistemas de control de versiones y otros lugares. Esto facilita a los usuarios la obtención de las credenciales cuando las necesitan para que los flujos de trabajo no se interrumpan, pero también facilita que los actores malintencionados roben esas credenciales.

Las herramientas PAM pueden ayudar almacenando los secretos de DevOps en un almacén centralizado. Solo los usuarios y las cargas de trabajo legítimos pueden acceder a los secretos, y solo por motivos legítimos. Los almacenes pueden rotar automáticamente los secretos para que las credenciales robadas se vuelvan inútiles rápidamente.
Soluciones relacionadas
IBM Verify Privileged Identity

Descubra, gestione y asegure las cuentas privilegiadas en todos los endpoints y entornos multinube híbridos.

 Explore la identidad privilegiada de IBM Verify
Soluciones de seguridad

Proteja sus entornos de nube híbrida e IA con una protección inteligente y automatizada de los datos, la identidad y las amenazas.

 Explore las soluciones de seguridad
Servicios de gestión de identidades y accesos

Proteja y gestione el acceso de los usuarios con controles de identidad automatizados y una gobernanza basada en el riesgo en los entornos de nube híbrida.

         Explore los servicios de IAM
    Dé el siguiente paso

    Descubra cómo IBM Verify Privilege le ayuda a proteger y gestionar cuentas privilegiadas en entornos híbridos para dar soporte a una estrategia zero trust.

         Explore IBM Verify Privileged Identity Explore las soluciones de seguridad