PAM 
A medida que los entornos nativos de la nube se vuelven más dinámicos, las organizaciones deben equilibrar la seguridad, la visibilidad y el control de las
Publicado el febrero 25, 2025
Los proveedores externos son esenciales para las organizaciones, pero cada uno de ellos amplía la superficie de ataque y puede introducir diversos riesgos de seguridad, como filtraciones o violaciones de datos. Para gestionar de forma eficaz el acceso de los proveedores y evitar amenazas de seguridad, las organizaciones deben realizar evaluaciones exhaustivas de los riesgos asociados, implementar un acceso de privilegios mínimos, implantar políticas de acceso claras para los proveedores, exigir la autenticación MFA, registrar su actividad, actualizar el acceso de estos y garantizar que cumplan los estándares del sector.
Siga leyendo para obtener más información sobre los riesgos que conlleva gestionar de forma inadecuada a los proveedores externos, para conocer siete prácticas recomendadas de cara a la gestión del acceso de los proveedores y para conocer la manera en que una solución de gestión del acceso privilegiado (PAM) puede proteger este tipo de acceso.
La importancia de gestionar los riesgos asociados a terceros
Las organizaciones pueden enfrentarse a varios riesgos de seguridad si no gestionan adecuadamente el acceso de los proveedores, como amenazas internas, una higiene deficiente de la seguridad y vulnerabilidades en los sistemas de los proveedores. Aunque los proveedores sean externos, sus empleados o contratistas pueden acceder a la información confidencial de la organización. En 2024 se produjeron varias violaciones de datos destacadas debido a una vulneración del acceso de los proveedores que afectaron a empresas importantes como American Express y HealthEquity. Estas violaciones de datos se debieron a una higiene deficiente de la seguridad y al gran tamaño de las superficies de ataque de los proveedores externos implicados.
Dado que no todos los proveedores siguen prácticas de higiene de seguridad estrictas, pueden convertirse en objetivos fáciles para los cibercriminales, quienes se aprovechan de contraseñas poco seguras o reutilizadas para obtener acceso a los sistemas de la organización. Los cibercriminales pueden también utilizar a los proveedores con vulnerabilidades de seguridad como puerta trasera para acceder a la organización, aunque esta haya implantado medidas de seguridad sólidas. Una vez que las organizaciones conocen estos riesgos, pueden adoptar las medidas adecuadas para crear controles más estrictos sobre el acceso de los proveedores y evitar que se produzcan violaciones de datos.
7 prácticas recomendadas para gestionar el acceso de los proveedores
Una gestión adecuada del acceso de los proveedores ayuda a las organizaciones a identificar las vulnerabilidades de seguridad de las que podrían aprovecharse los cibercriminales. A continuación, le presentamos siete prácticas recomendadas para ayudar a las organizaciones a reducir los riesgos de seguridad cuando trabajan con proveedores externos.
1. Realice una evaluación exhaustiva de los riesgos asociados a los proveedores
Una evaluación de los riesgos asociados a un proveedor analiza a fondo las prácticas de seguridad de este y los posibles riesgos antes de concederle acceso a los datos o los sistemas de la organización. Puesto que no todos los proveedores tienen el mismo nivel de seguridad, es importante que las organizaciones evalúen exhaustivamente los riesgos antes de contratarlos, para asegurarse de trabajar únicamente con socios que cumplan sus estándares. Las organizaciones que analizan detenidamente los procedimientos de protección de datos, el historial, la reputación y el plan de respuesta a incidentes de un proveedor pueden evitar que se produzcan violaciones de datos y garantizar la conformidad normativa con los estándares del sector.
2. Implemente el principio de privilegios mínimos (PoLP)
El principio de privilegios mínimos (PoLP, por sus siglas en inglés) limita el acceso en función de las responsabilidades laborales específicas de un usuario. Según este principio, los proveedores solo deben tener permiso para acceder a los datos, los sistemas y los recursos necesarios para hacer su trabajo. Las organizaciones también deben definir qué tipo de acceso necesitan los proveedores, como acceso a las interfaces de usuario web internas, los paneles de administración, los servidores Windows o Linux, la infraestructura en la nube o las aplicaciones SaaS. Para garantizar un acceso seguro, se deben determinar de antemano los protocolos que van a utilizarse (como navegador web, RDP, SSH o VNC).
Retirar el acceso permanente de un proveedor a los datos sensibles de la organización evita amenazas internas y ayuda a cumplir la conformidad normativa, ya que los proveedores solo podrán acceder a aquello que necesitan para hacer su trabajo. Además de implementar este principio, las organizaciones deben instaurar controles de acceso basados en roles (RBAC, por sus siglas en inglés) para determinar qué roles tienen derecho a acceder a determinados datos, sistemas o recursos. Para proteger los sistemas de una organización, es primordial definir claramente las actividades que puede realizar un proveedor externo y a qué datos puede acceder.
3. Implante políticas de acceso claras para los proveedores
Una política de acceso para los proveedores define las reglas y los procedimientos que deben seguir estos al acceder a los datos y los sistemas de una organización. Las organizaciones deben implantar políticas de acceso claras para los proveedores con el fin de estandarizar las prácticas de seguridad, como la aplicación de políticas de autenticación multifactor (MFA) o de contraseñas seguras, así como especificar los requisitos de monitorización, como la supervisión y el registro de todas las actividades de los proveedores. Cuando se requiere acceso mediante VPN, las organizaciones deben determinar la manera en que se autenticarán los proveedores, ya sea con el nombre de usuario y la contraseña o con la integración de un proveedor de identidad. Este proceso también debe especificar cómo van a compartirse las credenciales de forma segura (por ejemplo, con soluciones cifradas como la función Uso compartido único de Keeper).
4. Exija la autenticación multifactor (MFA)
Proteja el acceso de los proveedores exigiéndoles que habiliten la autenticación multifactor (MFA), que añade una capa adicional de seguridad a la hora de verificar su identidad. Como los proveedores pueden tener permisos para acceder a los datos o los sistemas sensibles, es necesario que utilicen la autenticación MFA para evitar que los cibercriminales accedan a la red de la organización si logran vulnerar las credenciales de estos proveedores. Implemente la autenticación MFA para los proveedores, exigiéndola para todos los inicios de sesión, incluidos aquellos para las bases de datos de los clientes y los servicios en la nube. Exigir la autenticación MFA protege los sistemas de las organizaciones frente a los accesos no autorizados, el robo de credenciales y las violaciones de datos.
5. Registre y monitorice de forma continua la actividad de los proveedores
Muchas soluciones PAM tradicionales no supervisan las sesiones web de los paneles web o las aplicaciones SaaS, pero KeeperPAM® ofrece una visibilidad total de todas las actividades de los proveedores, incluidas las sesiones web privilegiadas. Las organizaciones deben registrar y monitorizar de forma continua la actividad de los proveedores para detectar comportamientos sospechosos en cuanto se producen y evitar así que los posibles incidentes de seguridad causen daños irreversibles. KeeperPAM notifica a las organizaciones los accesos no autorizados, los intentos de inicio de sesión sospechosos y el incremento de privilegios. Al realizar un seguimiento de los inicios de sesión de los proveedores, el acceso a los datos, las descargas de archivos, las actualizaciones de los privilegios y los comportamientos inusuales, las organizaciones pueden identificar las amenazas de seguridad y evitar que se produzcan violaciones de datos.
6. Revise y actualice el acceso de los proveedores con regularidad
Cuando las organizaciones conceden a los proveedores acceso a los sistemas confidenciales, deben revisarlo y actualizarlo periódicamente para garantizar que solo tengan acceso a lo necesario durante un período de tiempo específico. Las organizaciones que hacen uso de una solución PAM pueden automatizar la rotación de las contraseñas y el vencimiento de los accesos, lo que garantiza que los proveedores solo dispongan de un acceso temporal que se revoca automáticamente cuando ya no se necesita. Las organizaciones pueden reforzar su situación de seguridad programando auditorías del acceso de los proveedores y revocando los accesos obsoletos, lo que evita que los cibercriminales se aprovechen de las cuentas inactivas.
7. Asegúrese de que los proveedores cumplan los estándares de conformidad y seguridad
Si los proveedores no cumplen los estándares de conformidad y seguridad, los datos y los sistemas sensibles de las organizaciones pueden correr el riesgo de verse comprometidos. Las organizaciones deben definir los requisitos de conformidad en los contratos con los proveedores, en especial si los estándares son específicos del sector, como es el caso de la ley HIPAA para los datos sanitarios. Si las organizaciones no se aseguran de que los proveedores cumplan los estándares de seguridad, se las puede responsabilizar de los incumplimientos cometidos por ellos, lo que podría traducirse en multas, demandas y daños a la reputación.
Cómo la gestión del acceso privilegiado (PAM) protege el acceso de los proveedores
Implementar la PAM protege el acceso de los proveedores, pues permite a las organizaciones controlar y monitorizar los accesos privilegiados, gestionar las sesiones de los proveedores, ofrecer un acceso con restricciones temporales, automatizar la generación de informes y permitir la integración de soluciones de gestión de información y eventos de seguridad (SIEM, por sus siglas en inglés).
Controla y monitoriza el acceso privilegiado en tiempo real
Las soluciones PAM permiten a las organizaciones controlar y supervisar la actividad de los proveedores que implica un acceso privilegiado. Las organizaciones pueden realizar un seguimiento de todas las actividades privilegiadas de los proveedores (como inicios de sesión, actividades, acceso a archivos o cambios realizados en los sistemas o los datos) y auditarlas. A diferencia de las soluciones PAM tradicionales, KeeperPAM ofrece una puerta de enlace de acceso web que permite a los proveedores acceder de forma segura a cualquier recurso sin exponer las credenciales en el equipo local del proveedor. De esta manera, las claves SSH, las contraseñas y las credenciales de acceso privilegiado nunca se comparten directamente con el proveedor.
Protege las credenciales de los proveedores con la gestión de sesiones
La PAM garantiza que el acceso de los proveedores sea seguro, responsable y auditable en todo momento gracias a la gestión de las sesiones de acceso. Las soluciones PAM guardan de forma segura las credenciales de los proveedores en una bóveda cifrada, lo que evita la filtración y la reutilización de contraseñas y el robo de credenciales. Soluciones como KeeperPAM pueden brindar a los proveedores acceso a los recursos sin exponer las credenciales, lo que reduce drásticamente los riesgos de seguridad. Con KeeperPAM, los proveedores tampoco tienen que instalar agentes ni modificar las configuraciones de la red, pues solo tienen que hacer uso de una conexión saliente con la nube de Keeper.
Brinda acceso temporal limitado
La PAM evita el acceso permanente porque concede un acceso temporal a los proveedores, por lo que solo tienen permitido acceder a los datos de la organización en la medida de lo necesario. KeeperPAM facilita el acceso justo a tiempo (JIT, por sus siglas en inglés) sin necesidad de configurar ninguna VPN, lo que garantiza que los proveedores solo puedan acceder a los recursos para una tarea específica antes de que se revoquen sus privilegios.
Automatiza la conformidad y la generación de informes
La PAM genera registros de auditoría detallados automáticamente y puede crear informes que muestran cómo los proveedores cumplen las políticas de seguridad y las normativas del sector. La PAM facilita a las organizaciones el seguimiento, la documentación y la demostración de que se siguen las prácticas recomendadas de seguridad en materia de acceso de terceros. Al no tener que realizar ningún seguimiento manual ni auditoría, la PAM garantiza que las organizaciones puedan aplicar políticas de seguridad sólidas, tener visibilidad total del acceso de los proveedores y simplificar la conformidad.
Permite la integración con soluciones SIEM
La PAM se integra con las soluciones de gestión de información y eventos de seguridad (SIEM), con lo que ofrece una visión integral del acceso de los proveedores y de los riesgos asociados al tiempo que mejora la supervisión de la seguridad. Como se integran con soluciones SIEM, los registros de auditoría generados por la PAM facilitan a las organizaciones la realización de análisis mejorados de la actividad de los proveedores y la detección de comportamientos inusuales. Las soluciones SIEM se combinan con las soluciones PAM para identificar las amenazas relacionadas con los proveedores y responder de forma eficiente a estas activando alertas de los sistemas de detección de intrusiones, bloqueando el acceso a los sistemas confidenciales o avisando de inmediato a los equipos de seguridad.
Tome el control del acceso de los proveedores con KeeperPAM®
Las organizaciones pueden gestionar el acceso de los proveedores con KeeperPAM, una solución basada en la nube que protege los datos sensibles, reduce el riesgo de que se produzcan amenazas cibernéticas y garantiza la conformidad normativa. KeeperPAM permite un acceso web independiente de protocolos a los sistemas internos sin necesidad de introducir credenciales de VPN ni exponer credenciales privilegiadas a los proveedores. Con su bóveda de contraseñas, KeeperPAM puede almacenar y gestionar credenciales privilegiadas para los proveedores, lo que elimina el riesgo de que se filtren contraseñas o se produzcan accesos no autorizados. KeeperPAM guarda registros detallados y grabaciones de sesiones en tiempo real, lo que permite a las organizaciones realizar un seguimiento de las actividades de los proveedores e identificar las amenazas de seguridad de inmediato.
Solicite un demo de KeeperPAM hoy mismo para reforzar la gestión del acceso de los proveedores de su organización.
