El riesgo del acceso privilegiado: por qué las cuentas de administrador son el objetivo más valioso

En cualquier sistema de información, las cuentas con acceso privilegiado —administradores de sistemas, superusuarios, cuentas de servicio, accesos de emergencia— son el objetivo más valioso para un actor malicioso. Con una cuenta de administrador comprometida, un actor puede hacer casi cualquier cosa: acceder a todos los datos, modificar registros, borrar logs, crear usuarios fantasma.

Y frecuentemente, son las cuentas menos protegidas. Porque se asume que solo las usan personas de confianza.

Los riesgos específicos del acceso privilegiado

El primero es la concentración de poder: una cuenta de administrador puede hacer lo que ninguna cuenta normal puede. El segundo es la invisibilidad: los administradores frecuentemente tienen la capacidad de modificar o borrar los logs que registrarían sus acciones. El tercero es la proliferación: en muchas organizaciones, hay más cuentas privilegiadas activas de las necesarias, muchas de ellas de personas que ya no trabajan en la organización.

En una auditoría de accesos que realicé, encontré dieciséis cuentas de administrador activas en un sistema crítico. Cuatro correspondían a personas que habían dejado la organización entre seis meses y dos años antes. Ninguna había sido desactivada.

Principios de gestión del acceso privilegiado

• ▸Principio de mínimo privilegio — cada cuenta debe tener solo el acceso necesario para su función.
• ▸Inventario de cuentas privilegiadas — saber exactamente cuántas existen y quién las usa.
• ▸Revisión periódica — verificar que cada cuenta privilegiada activa sigue siendo necesaria.
• ▸Autenticación reforzada — las cuentas privilegiadas deben requerir más que una contraseña.
• ▸Logs de auditoría independientes — que el administrador no pueda modificar los registros de sus propias acciones.