Sector público 
Keeper Security ahora está disponible a través de dos vehículos contractuales importantes a nivel estatal: el Programa de Licencias de Software de California (SLP) y el
Como ex-CISO federal que ha pasado décadas diseñando y asegurando la infraestructura empresarial, me preocupa cada vez más que las organizaciones continúen confiando en soluciones heredadas de gestión de acceso privilegiado (PAM) diseñadas para una época diferente.
Estos sistemas, que alguna vez fueron el modelo de referencia en seguridad, se han convertido en pasivos peligrosos en el mundo moderno nativo de la nube de hoy. Permítame explicarle por qué su solución PAM heredada no solo es ineficaz, sino que está poniendo activamente en riesgo su organización.
La falacia de la seguridad basada en el perímetro
El problema fundamental de las soluciones PAM heredadas radica en su ADN arquitectónico. Estos sistemas se construyeron para una época cuando los límites de red eran claros y cuando un perímetro fuerte era suficiente para protegerse de las amenazas. En el entorno actual de nubes híbridas, trabajo remoto y sistemas interconectados, este modelo no solo está desactualizado, sino que representa una amenaza significativa.
Seguimos aferrándonos a la idea de redes “confiables” y “no confiables” unidas por controles de seguridad. Keeper facilita un entorno sin perímetro al proteger secretos y contraseñas durante todo el ciclo de vida, dondequiera que estén.
Considere un típico despliegue federal de PAM heredado: requiere abrir numerosos puertos de firewall (443, 80, 8080, 22, 23, 1434) solo para la funcionalidad básica. Cada puerto representa un posible punto de entrada para los atacantes, creando «seguridad de queso suizo»: un perímetro lleno de agujeros necesarios que pueden comprometer a la empresa.
Por el contrario, las soluciones modernas como Keeper operan bajo un modelo de confianza cero, donde cada solicitud de acceso se autentica y cifra a nivel de dispositivo, eliminando la necesidad de aperturas permanentes de firewall.
La pesadilla de la implementación
Lo más preocupante no son solo las debilidades arquitectónicas, sino la realidad de cómo se utilizan estos sistemas. En mi experiencia, he visto constantemente que las organizaciones implementan solo entre el 20 % y el 30 % de las capacidades de su solución PAM heredada. La razón es simple: estos sistemas son tan complejos y engorrosos que la implementación completa se vuelve prácticamente imposible.
Esta implementación parcial genera una peligrosa falsa sensación de seguridad. Las organizaciones creen que están protegidas porque tienen una solución PAM, pero sin darse cuenta, han creado una pesadilla de TI en la sombra. Cuando los usuarios encuentran el sistema oficial demasiado engorroso, idean soluciones alternativas: almacenar contraseñas en lugares no autorizados, compartir credenciales a través de canales no oficiales y crear cuentas de administración no supervisadas «solo para cumplir con el trabajo».
La desconexión nativa de la nube
La falla más grave de las soluciones PAM heredadas es su incapacidad para admitir operaciones modernas nativas de la nube. Estos sistemas nunca se diseñaron para la naturaleza dinámica de la infraestructura actual, donde los contenedores se inician y detienen en segundos, y la infraestructura se define por código en lugar de hardware.
Las funciones no implementadas en su solución PAM heredada aumentan la superficie de ataque y hacen que su empresa sea menos segura. La sobrecarga de capacidad es un fallo, no una característica.
El impacto es grave: los equipos de DevOps se encuentran con soluciones PAM que no pueden integrarse con sus canalizaciones de CI/CD o manejar la inyección dinámica de secretos y, a menudo eluden las medidas de seguridad por completo.
Las soluciones modernas abordan esto a través de diseños API-first e integración nativa con los flujos de trabajo de desarrollo. Por ejemplo, Keeper Secrets Manager proporciona cifrado de conocimiento cero a la vez que se integra sin problemas con las canalizaciones de CI/CD. Permite la inyección y rotación automática de secretos sin comprometer la seguridad ni la velocidad de desarrollo.
La urgencia de la confianza cero
En el panorama actual de amenazas, asumir la confianza una vez dentro del perímetro de una red es un lujo que ya no podemos permitirnos. Sin embargo, las soluciones PAM heredadas continúan operando bajo este principio obsoleto. Una vez que los usuarios se autentican en el sistema PAM, a menudo obtienen un amplio acceso con una verificación continua limitada.
La seguridad moderna exige un enfoque de confianza cero donde cada solicitud de acceso se autentica, autoriza y cifra. Esto requiere implementar cifrado a nivel de registro, seguridad a nivel de dispositivo y validación continua de la postura de seguridad. Por ejemplo, la arquitectura de Keeper garantiza que cada registro de bóveda almacenado se cifre individualmente usando AES-256 Galois/Counter Mode (GCM), con el cifrado y descifrado ocurriendo localmente en el dispositivo, nunca en la nube o en servidores centrales.
El atolladero del cumplimiento
Las implicaciones de cumplimiento de las soluciones PAM heredadas se están volviendo cada vez más problemáticas. A medida que los requisitos regulatorios evolucionan para abordar las amenazas modernas, muchos sistemas heredados luchan por proporcionar los controles y la visibilidad necesarios. Sus capacidades de registro y auditoría a menudo omiten eventos de acceso críticos, lo que convierte la validación del cumplimiento en un proceso manual y propenso a errores.
Las soluciones PAM modernas abordan esto con capacidades integrales de registro e informes que se integran directamente con los sistemas SIEM. Por ejemplo, las funciones avanzadas de informes y alertas de Keeper proporcionan registros de auditoría detallados de todos los intentos de acceso y cambios, a la vez que mantienen el cifrado de conocimiento cero para garantizar la privacidad de los datos.
Arquitectura de conocimiento cero reinventada
El núcleo de PAM moderno es una arquitectura de conocimiento cero que elimina las vulnerabilidades tradicionales. La implementación de Keeper lleva esto al siguiente nivel con un modelo de cifrado multicapa.
Cada registro de bóveda se cifra utilizando una clave AES única de 256 bits en modo Galois/Counter (GCM) generada en el dispositivo cliente. Este cifrado a nivel de registro garantiza que, incluso si un registro se ve comprometido, otros registros permanecen seguros. El proceso de cifrado y descifrado ocurre completamente en el dispositivo del usuario, nunca en la nube ni en los servidores de Keeper.
Implementar su PAM en las instalaciones significa que confía en todas las capas de infraestructura que ya sabe que son inseguras: su red, su hipervisor, sus sistemas operativos.
Este modelo se extiende aún más para las implementaciones empresariales: las claves de registro en carpetas compartidas se encapsulan con una clave de carpeta compartida AES de 256 bits, y las claves de registro y carpeta se cifran con otra clave AES de 256 bits llamada clave de datos. Esto crea múltiples capas de cifrado que deben ser vulneradas para acceder a cualquier pieza de información, evitando cualquier movimiento lateral y compromisos adicionales.
Autenticación reinventada
La PAM moderna debe repensar cómo manejamos la autenticación. El enfoque de Keeper elimina las vulnerabilidades tradicionales mediante un sofisticado proceso de varios pasos:
- Verificación del dispositivo: antes de que los usuarios puedan iniciar sesión, deben pasar un paso de aprobación y verificación del dispositivo. Esto evita los ataques de enumeración y protege contra los intentos de fuerza bruta.
- Inicio de sesión único (SSO) de conocimiento cero: Keeper mantiene la seguridad de conocimiento cero cuando se integra con proveedores de identidad empresariales, al tiempo que permite una autenticación de SSO sin interrupciones. Esto se logra mediante un enfoque único: se genera una clave privada de curva elíptica y se almacena localmente en cada dispositivo. La clave se almacena como una CryptoKey no exportable en navegadores modernos, en el llavero en dispositivos iOS/macOS o se cifra con el almacén de claves de Android en dispositivos Android.
- Autenticación multifactor (MFA): Keeper admite muchas opciones de MFA, incluidas las claves de hardware FIDO2 WebAuthn, la biometría y las contraseñas de un solo uso basadas en el tiempo (TOTP). La diferencia es que la MFA se realiza después de la verificación del dispositivo pero antes de la entrada de la contraseña maestra, creando múltiples capas de seguridad que deben pasarse en secuencia.
Verdadera seguridad nativa en la nube
En lugar de adaptar las capacidades de la nube a una arquitectura heredada, Keeper se creó desde cero para entornos modernos. La plataforma emplea AWS en múltiples regiones (EE. UU., EE. UU. GovCloud, UE, AU, CA, JP) para alojar y operar su infraestructura, lo que permite a las organizaciones mantener la soberanía de los datos al tiempo que garantiza una alta disponibilidad.
Todos los datos en reposo se cifran en el dispositivo del usuario mediante AES-256 GCM, y los datos en tránsito están protegidos con TLS 1.3, además de una capa adicional de cifrado en la carga útil. Este enfoque de doble cifrado ofrece protección incluso si TLS se ve comprometido de alguna manera.
Integración de DevOps que realmente funciona
Keeper Secrets Manager proporciona una integración adecuada de DevOps para los equipos de desarrollo sin comprometer la seguridad. La implementación incluye lo siguiente:
- Acceso a API de conocimiento cero: las aplicaciones recuperan secretos mediante una clave de cifrado AES de 256 bits generada en el lado del cliente en modo GCM. Cada secreto se cifra individualmente, y el cifrado y el descifrado se producen localmente en el dispositivo.
- Distribución segura de claves: cuando es necesario compartir secretos entre usuarios o aplicaciones, Keeper emplea la criptografía de curva elíptica para distribuir las claves de forma segura, garantizando que incluso el proceso de intercambio de claves mantenga un conocimiento cero.
- Rotación de secretos automatizada: se instala una puerta de enlace única en el entorno del cliente, estableciendo conexiones salientes seguras a la infraestructura de Keeper. Esto permite la rotación automatizada de contraseñas sin exponer los sistemas internos.
Protección contra infracciones en tiempo real
La PAM moderna debe proteger activamente contra el riesgo de contraseñas. La función BreachWatch® de Keeper demuestra cómo debería funcionar: el sistema mantiene una arquitectura separada y autónoma en AWS para procesar la detección de infracciones. Las contraseñas se procesan mediante hash HMAC_SHA512 con un Hardware Security Module (HSM) empleando claves no exportables. Al comprobar si hay contraseñas comprometidas, se genera un hash de HMAC_SHA512 en el dispositivo cliente y se crea un segundo hash del lado del servidor a través del HSM. Este enfoque de «hash de hashes» garantiza que las contraseñas reales nunca queden expuestas durante el proceso de detección de infracciones.
Seguridad de sesión reinventada
Para casos de acceso remoto, Keeper Connection Manager reinventa la administración segura de sesiones:
- Conexiones de confianza cero: al establecer sesiones remotas, el cliente de bóveda se comunica con la infraestructura del router de Keeper mediante conexiones WebRTC protegidas por claves simétricas ECDH almacenadas en el registro Keeper correspondiente.
- Túneles seguros: Para las funciones de reenvío de puertos, los datos se transmiten a través de conexiones WebRTC a la puerta de enlace de Keeper y luego se reenvían a los puntos finales de destino. Cada sesión está protegida por una clave de cifrado AES-256 generada en la puerta de enlace.
- Grabación de sesiones: todas las grabaciones de sesiones están protegidas por una clave de cifrado AES-256 única generada para cada sesión, que se envuelve con una clave de recursos AES-256 derivada de HKDF.
Los pasos por seguir
La transición a PAM moderno no solo implica adoptar nuevas tecnologías, sino también adoptar un enfoque fundamentalmente diferente de la seguridad. Las organizaciones deben reconocer que su solución PAM heredada, lejos de ser un activo de seguridad, puede ser en realidad una responsabilidad importante.
La buena noticia es que las soluciones de Keeper demuestran cómo el PAM moderno puede proporcionar seguridad sólida con facilidad de uso. Al combinar la arquitectura de conocimiento cero, el cifrado a nivel de dispositivo y la integración nativa con flujos de trabajo modernos, las organizaciones pueden lograr una verdadera gestión de acceso privilegiado sin comprometer la seguridad o la experiencia del usuario.
En el panorama actual de amenazas, para que una solución PAM sea adecuada, no solo debe gestionar privilegios, sino también garantizar que su base de seguridad permita la agilidad empresarial en lugar de obstaculizar el progreso. La tecnología existe; la pregunta es si las organizaciones harán la transición antes de que sus soluciones heredadas se conviertan en su perdición.
Reserve una demostración hoy mismo para ver cómo KeeperPAM puede ayudar a proteger su entorno.
