Skip to content

¿Qué es PAM (Privileged Access Management)?

5/5 - (1 voto)
PAM ciberseguridad

En este artículo, descubrirás todos los detalles de la Gestión de Acceso Privilegiado (PAM).

Aprenderás sobre los diferentes tipos de cuentas privilegiadas, los riesgos asociados con esas cuentas cuando no son administradas, y cómo puedes usar una solución PAM para mitigar estos riesgos.

Al final tendrás una visión más clara de cómo funciona PAM, los problemas clave que aborda y los métodos que las organizaciones utilizan para prevenir los ciberataques, mejorar el cumplimiento de normativas y reducir la complejidad operativa.

La gestión de acceso privilegiado (PAM o Priviledge Access Management) es una solución de seguridad que gestiona las credenciales de los usuarios administradores y procesos con acceso privilegiado en una infraestructura.

Las cuentas de los administradores son uno de los objetivos de los ciberdelincuentes, mediante la supervisión, detección PAM evita el acceso no autorizado a recursos críticos de nuestra infraestructura.

¿Qué hace PAM?

Las principales funciones de PAM incluyen:

  1. Control de Acceso: Restringe el acceso a cuentas privilegiadas y asegura que solo usuarios y procesos autorizados puedan acceder a ellas.
  2. Auditoría y Monitorización: Registra y monitoriza las actividades realizadas con cuentas privilegiadas para detectar comportamientos sospechosos o no autorizados.
  3. Rotación de Contraseñas: Automatiza el forzado al cambio regular de contraseñas de cuentas privilegiadas para reducir el riesgo de acceso no autorizado.
  4. Control de Sesiones: Supervisa y, en algunos casos, graba las sesiones de usuarios privilegiados para análisis y auditoría.
  5. Segregación de Funciones: Limita las capacidades de los usuarios privilegiados para realizar ciertas acciones, disminuyendo el riesgo de abusos.

¿Cómo funciona PAM?

PAM funciona a través de una combinación de personas, procesos y tecnología.

PAM permite controlar quién está utilizando las cuentas privilegiadas y lo que están haciendo en nuestros servidores e infraestructura.

1.-Control de acceso:

  • Gestión de credenciales: PAM gestiona las credenciales (como contraseñas) de las cuentas privilegiadas. Esto incluye la generación, almacenamiento, rotación y eliminación segura de contraseñas.
  • Autenticación robusta: Se implementan mecanismos de autenticación avanzada (como la autenticación multifactor) para garantizar que solo usuarios autorizados puedan acceder a cuentas privilegiadas.

2.- Monitorización y registro de actividades:

  • Registro de actividades: Se registran todas las actividades realizadas por las cuentas privilegiadas para tener un historial detallado de acciones y poder auditar en caso de incidentes de seguridad.
  • Monitoreo en tiempo real: PAM proporciona la capacidad de monitorear en tiempo real las sesiones de usuarios privilegiados, lo que permite detectar y responder rápidamente a actividades sospechosas.

3.- Control y reducción de privilegios:

  • Principio de privilegios mínimos: PAM implementa este principio, limitando el acceso de los usuarios solo a los recursos y datos necesarios para realizar su trabajo, minimizando así el riesgo de abuso de privilegios.
  • Elevación temporal de privilegios: Permite que los usuarios adquieran permisos elevados solo cuando sea necesario y por un tiempo limitado.

Automatización y políticas:

  • Automatización de políticas de seguridad: PAM automatiza la aplicación de políticas de seguridad, como la rotación de contraseñas o la expiración de sesiones.
  • Auditoría y cumplimiento: Las soluciones PAM ayudan a las organizaciones a cumplir con regulaciones y estándares de seguridad mediante la auditoría y el cumplimiento de políticas de gestión de acceso.

Tipos de cuentas

Los usuarios de más alto nivel técnico el 90% de su tiempo están realizando tareas rutinarias y administrativas para las que no se requieren usar cuentas privilegiadas.

Sólo utilizará cuentas privilegiadas para ajustar permisos, cambiar datos críticos o realizar otras acciones críticas.

Una buena estrategia PAM es gestionar tanto las cuentas privilegiadas como las no privilegiadas y asignarlas a los técnicos de TI para las tareas administrativas.

Cuentas sin privilegios o estándar.

Cuentas de usuario estándar: Estas cuentas satisfacen las necesidades de los usuarios empresariales típicos: correo electrónico, navegación web y procesamiento de textos, además de acceso basado en roles a herramientas SaaS para comunicación y gestión de proyectos.


Cuentas de usuario invitado: Estas cuentas tienen privilegios limitados, incluido el acceso básico a aplicaciones y la navegación por Internet. Son las que suelen usar los invitados(proveedores, clientes, etc. ) cuando vienen a nuestras instalaciones.

Cuentas de Administradores:


Cuenta de superusuario: También conocido como root, admin, administrador o supervisor, esta cuenta da a los administradores del sistema todos los privilegios sobre un sistema. Esto incluye la capacidad de ejecutar comandos, realizar cambios en el sistema, crear y modificar archivos de configuraciones, y conceder o revocar permisos a otros usuarios.
Cuenta de administrador de dominio: También llamada administrador de dominio, es una cuenta de usuario de Windows que puede administrar el Active Directory (AD), incluyendo la creación y eliminación de usuarios y el cambio de permisos de usuario, ejecución de políticas (gpos), habilitar servicios, etc.
Cuenta de administrador local: Una cuenta de administrador local permite a un usuario acceder y realizar cambios en un equipo concreto de Windows local, pero carece de la capacidad de modificar información en las máquinas de otros usuarios.
Claves SSH: Las claves SSH (Secure Socket Shell) son credenciales de acceso, formadas por una clave privada que almacena el usuario y una clave pública que almacena el servidor. La clave privada está a su vez protegida por un PIN en el equipo del usuario.
Cuenta de emergencia: También llamada cuenta de emergencia, permite a los técnicos arrancar el sistema en caso de crisis (fallo del sistema operativo, fallo de un dispositivo) y poder realizar cambios en el sistema para permitir que vuelva a funcionar.
Usuarios con privilegios especiales: Son usuarios de contabilidad, marketing, recursos humanos y otras funciones que requieren un acceso limitado a sistemas sensibles.

¿Cómo implementar PAM en una organización?

1.- Redactar una política formal para cuentas privilegiadas.


Redacta una política formal para cuentas privilegiadas, definiendo los roles dentro de tu organización y que establezca los privilegios y derechos de acceso requeridos para cada rol.

un vistazo a los tipos de cuentas privilegiadas que hemos definido en este artículo. ¿Cuáles tiene en tu organización? ¿Quién necesita acceder a ellas y durante cuánto tiempo?

2.- Cambiar o eliminar las credenciales por defecto


Cambie o elimine las credenciales incrustadas, los identificadores predeterminados y las contraseñas de las cuentas de servicio y los dispositivos con privilegios. Recuerde que las cuentas de máquina suelen venir con privilegios excesivos y contraseñas fáciles de adivinar. Haga un inventario de todos estos sistemas y actualice los privilegios y credenciales para que se ajusten a las necesidades de su organización.

3.-Concienciación de los usuarios.

Conciencia a tus usuarios sobre las mejores prácticas de seguridad para garantizar contraseñas seguras, protegerse contra el phishing y eliminar el uso compartido de contraseñas.

4.-Aplicar el principio de mínimos privilegios.


Aplica el principio del menor privilegio tanto para las cuentas de usuarios como para las de los procesos. Restrinja la creación de cuentas y los niveles de permiso a los recursos exactos que una persona o sistema necesita para desempeñar una función definida.

Cuando proceda, fija una fecha de expiración del acceso privilegiado. Presta especial atención a la incorporación y el despido, o cuando los empleados actuales cambien de función en la organización.

Haz un inventario de las aplicaciones en la nube, las cuentas SaaS y otros sistemas de terceros.
Asegúrate de que los empleados siguen las mismas políticas estrictas de PAM tanto con los recursos internos como con los externos.

Presta especial atención a la forma en que los contratistas y proveedores externos acceden a tu red para garantizar que ninguna cuenta privilegiada quede sin gestionar.

5.- Almacén, rotación y gestión de las credenciales.


Hay que habilitar una herramienta para guardar, y gestionar las redenciales de las cuentas con privilegios en la nube y en la infraestructura local, incluidos los servicios de contenedorización, los entornos de aprendizaje automático y las plataformas de automatización de infraestructuras.

Limitar la vida útil de las contraseñas y otras credenciales confidenciales, se reduce el riesgo y el impacto de un ataque.

6.-Supervise, audite y analice la actividad de las sesiones con privilegios.

Mediante la monitorización del uso de las credenciales en la infraesturctura se puede detectar y corregir errores de usuario catastróficos y actividad maliciosa antes de que el problema se extienda.

Son los responsables de los recursos los que deben de realizar revisiones anuales de los accesos privilegiados y dar de baja las credenciales no usadas.

7.- Revisar periódicamente sus políticas de credenciales


Hay que revisar periódicamente las políticas de seguridad y que los procedimientos están actualizados.

A medida que una organización crece, se reestructura o adopta nuevas tecnologías, sus necesidades de seguridad y gestión de riesgos pueden cambiar.

Por ejemplo se puede poner como normativa una revisión cada dos años de las políticas de gestión de credenciales.

Conclusión:

Limitar el número de usuarios y procesos que tienen acceso a funciones administrativas y realizar una auditoría de sus acciones reduce el riesgo y aumenta la seguridad del sistema.

La gestión de los privilegios de acceso o PAM aumenta la seguridad al limitar las posibilidades de error de los usuarios y de ataques malintencionados usando cuentas abandonadas o sin gestionar.