PAM 
La mayoría de las soluciones de acceso de red de confianza cero (ZTNA) afirman eliminar los riesgos de seguridad basados en el perímetro, pero muchas en
Publicado el marzo 05, 2025
Si bien muchas organizaciones se centran en mitigar las amenazas cibernéticas externas, las amenazas internas pueden atacar a cuentas privilegiadas con acceso a muchos sistemas o datos sensibles. Según el informe sobre amenazas internas de Cybersecurity Insiders, el 83 % de las organizaciones sufrieron al menos un ataque interno en 2024. A diferencia de las posibles respuestas de las organizaciones a las amenazas cibernéticas externas, las amenazas internas requieren un enfoque más específico capaz de garantizar que los empleados solo tengan el acceso necesario a los recursos para hacer su trabajo y de limitar, al mismo tiempo, el uso indebido de los datos sensibles. La mejor forma de proteger las cuentas privilegiadas frente a las amenazas internas es recurriendo a una solución de gestión del acceso privilegiado (PAM).
Siga leyendo para saber por qué las amenazas internas maliciosas atacan a las cuentas privilegiadas, cómo las soluciones PAM protegen este tipo de cuentas de estas amenazas y los errores comunes que deben evitarse a la hora de proteger las cuentas privilegiadas.
Por qué las amenazas internas atacan a las cuentas privilegiadas
Aunque las amenazas internas pueden ser involuntarias (como por una negligencia), las personas con información privilegiada e intenciones maliciosas intentan sabotear su organización y utilizar la información confidencial que roban en su propio beneficio. Las amenazas internas maliciosas atacan a las cuentas privilegiadas debido a su acceso de alto nivel a los sistemas y los datos críticos, su capacidad para eludir los controles de seguridad, el valor de las recompensas y el incremento de privilegios.
Acceso de alto nivel a los sistemas y los datos críticos
Las cuentas privilegiadas proporcionan acceso a mucha información confidencial y a los sistemas críticos (los sistemas financieros y la infraestructura, por ejemplo), por lo que son objetivos clave de las amenazas internas. Como todas las organizaciones disponen de cuentas privilegiadas con un acceso potente, las personas con información privilegiada e intenciones maliciosas las utilizan para manipular, robar o sabotear información empresarial importante en su propio beneficio o por venganza. El uso indebido de las cuentas privilegiadas puede generar daños financieros y operativos mucho más graves que el de las cuentas normales. Una situación así vivió Disney en 2024, cuando un antiguo responsable de producción de menús manipuló la información de creación de menús patentada y sustituyó todas las fuentes para que los menús legítimos fueran ilegibles. Además, este exempleado añadió información falsa sobre alérgenos y afirmó que determinados platos del menú podían consumirlos con seguridad personas con alergias específicas, poniendo su vida en peligro. Como consecuencia, todo el proceso de creación de menús tuvo que volver a hacerse de forma manual durante varias semanas, lo que ralentizó la producción y supuso la pérdida de confianza de los clientes.
Capacidad para eludir los controles de seguridad
A diferencia de los cibercriminales externos que intentan acceder a las cuentas privilegiadas, las personas con información privilegiada e intenciones maliciosas ya trabajan dentro de la red de una organización, por lo que tienen más facilidad para eludir los controles de seguridad. Como las cuentas privilegiadas tienen acceso a datos muy sensibles, resultan mucho más atractivas para este tipo de personas, que buscan la manera de eludir los cortafuegos y los controles de acceso, desactivar los sistemas de supervisión de la seguridad y elevar sus privilegios para crear puertas traseras. Sin un control y una supervisión de la seguridad adecuados, los usuarios privilegiados podrían pasar desapercibidos al acceder a los sistemas restringidos, desplazarse lateralmente por la red de la organización o robar datos sensibles. Las organizaciones deben aplicar controles estrictos de acceso y monitorizar la actividad de las cuentas privilegiadas en tiempo real para limitar las repercusiones de las amenazas internas.
Mayor impacto y mejores recompensas
Para las personas con información privilegiada e intenciones maliciosas, las cuentas privilegiadas suponen un recurso muy valioso, porque pueden utilizarse para acceder a muchísima información confidencial. Vulnerar una cuenta privilegiada genera mayores recompensas que vulnerar una cuenta normal, incluidos beneficios económicos o sabotajes. Dado que las cuentas privilegiadas contienen mucha más información confidencial, el impacto de un uso indebido de estas es mucho más grave que el de una cuenta normal. Las personas con información privilegiada que vulneran las cuentas privilegiadas pueden manipular los registros financieros o interrumpir las operaciones de los sistemas por dinero o en su propio beneficio. Implementar controles estrictos de acceso y monitorizar las cuentas privilegiadas puede mitigar los riesgos asociados a que las amenazas internas fijen estas cuentas como sus objetivos.
Incremento de privilegios
Las personas con información privilegiada y acceso a cuentas privilegiadas pueden aumentar sus propios privilegios, otorgándose más autoridad de la que necesitan. Con privilegios más elevados, una persona con información privilegiada puede desplazarse por la red de la organización y pasar desapercibida en el momento en que accede a la información confidencial, modifica la configuración de seguridad o incluso se hace pasar por otros usuarios privilegiados. Vulnerar las cuentas privilegiadas puede ayudar a las personas con información privilegiada a eludir las medidas de seguridad, adentrarse en los sistemas y ejecutar ataques perjudiciales, como la implementación de ransomware o el sabotaje de operaciones críticas. El incremento de privilegios es una de las tácticas más peligrosas utilizadas por las personas con información privilegiada para vulnerar sistemas enteros. Es uno de los motivos por los que las organizaciones deben monitorizar de cerca la actividad de las cuentas privilegiadas.
Cómo protegen las soluciones PAM las cuentas privilegiadas frente a las amenazas internas
Las organizaciones pueden proteger las cuentas privilegiadas frente a las amenazas internas invirtiendo en una solución PAM capaz de aplicar un acceso de privilegios mínimos, evitar accesos no autorizados, limitar el incremento de privilegios, garantizar la asunción de responsabilidades y reducir los errores humanos.
Habilitan la autenticación multifactor (MFA)
La autenticación multifactor (MFA) protege las cuentas privilegiadas frente a las amenazas internas y otras amenazas cibernéticas. Cuando se habilita la autenticación MFA, los usuarios autorizados deben proporcionar tanto el nombre de usuario como la contraseña de sus cuentas y, además, otra forma de verificación. La autenticación MFA protege las cuentas privilegiadas con esta capa adicional de seguridad y garantiza que solo los usuarios autorizados que dispongan del método de autenticación MFA correcto puedan acceder a ellas.
🔒 KeeperPAM aplica el uso de la autenticación MFA para acceder a la bóveda, iniciar sesiones y usar aplicaciones que no admitan este sistema de autenticación de forma nativa.
Reducen los privilegios y revocan los derechos de administrador
Con una solución PAM, el cliente es el responsable de la asignación de roles a los distintos usuarios. La PAM limita el acceso a los recursos críticos y garantiza que solo los usuarios con el rol adecuado puedan acceder a ciertos sistemas y datos. Además, la PAM eleva el nivel de acceso de los usuarios durante las sesiones privilegiadas, lo que ayuda a controlar el acceso en tiempo real. La PAM también puede elevar los permisos para acciones específicas con la gestión de terminales privilegiados (PEDM, por sus siglas en inglés) en los propios terminales, lo que refuerza todavía más la seguridad. Las organizaciones minimizan los posibles daños que puede causar una persona con información privilegiada reduciendo los privilegios y revocando los accesos innecesarios. Si la cuenta de una persona con información privilegiada se viera comprometida o se utilizara indebidamente, limitar los derechos administrativos garantizaría que el daño quedara contenido en un ámbito operativo más reducido.
🔒 Con KeeperPAM, los usuarios autorizados disponen de los permisos exactos que necesitan para hacer su trabajo, pues aplica el principio de privilegios mínimos (PoLP). El acceso se revoca automáticamente cuando ya no es necesario, lo que minimiza el posible uso indebido y el riesgo generalizado de que existan amenazas internas.
Permiten configurar una puerta de enlace segura para controlar el acceso remoto a los sistemas
Una puerta de enlace segura es un punto de acceso controlado que actúa como barrera entre los usuarios y los sistemas confidenciales. Cada vez que un usuario intenta acceder a un sistema remoto, debe pasar por la puerta de enlace segura, que garantiza que solo los usuarios autorizados puedan acceder a él. Con la regulación y el seguimiento estrictos del acceso remoto a los datos sensibles, los sistemas se protegen frente a las amenazas internas.
🔒 Se puede configurar una puerta de enlace de Keeper como punto de retracción para todos los accesos remotos a los sistemas y las cuentas de servicio, lo que elimina todas las rutas secundarias y garantiza que todas las solicitudes de acceso se verifiquen, supervisen y auditen.
Proporcionan acceso a demanda sin compartir credenciales de administrador
El acceso a demanda permite a los usuarios autorizados acceder a los sistemas, las bases de datos, los servidores o las cargas de trabajo críticos solo cuando es necesario, sin tener que compartir credenciales administrativas. Este enfoque garantiza que el acceso se conceda a través de una cuenta temporal específica, por lo que no hay riesgo de exponer la información de inicio de sesión confidencial. Si se mantienen ocultas las credenciales administrativas, se evita que las posibles amenazas internas hagan un uso indebido de los sistemas críticos u obtengan acceso no autorizado a ellos, por lo que se mantiene la integridad y la seguridad de las cuentas privilegiadas.
🔒 KeeperPAM proporciona acceso a demanda otorgando credenciales temporales para tareas específicas sin exponer las credenciales administrativas confidenciales. Una vez completada la tarea, el acceso se revoca automáticamente, lo que garantiza una exposición mínima de los datos privilegiados y reduce el riesgo de que se produzcan accesos no autorizados o usos indebidos.
Automatizan el bloqueo de las bóvedas cuando los empleados se dan de baja
El protocolo System for Cross-domain Identity Management (SCIM) automatiza el intercambio de información sobre la identidad de los usuarios entre los sistemas de identidad y las aplicaciones. La PAM integra el protocolo SCIM para sincronizar automáticamente el acceso de los usuarios. Por ello, cuando un empleado abandona la organización, el sistema sabe que debe revocar su acceso y bloquear automáticamente las bóvedas que contengan credenciales confidenciales. Las cuentas a las que ha accedido el empleado que ha causado baja se pueden rotar automáticamente para garantizar que las credenciales que pudieran haberse filtrado dejen de ser válidas.
🔒 Con KeeperPAM se puede configurar el protocolo SCIM para que se revoquen automáticamente los accesos de los empleados que se han dado de baja y se bloqueen las bóvedas confidenciales. Así, ningún exempleado puede acceder a la información privilegiada.
Permiten la integración de sistemas SIEM para supervisar el acceso a las cuentas privilegiadas
La gestión de información y eventos de seguridad (SIEM, por sus siglas en inglés) recopila y analiza los datos sobre la actividad de la red y los eventos que se producen en los sistemas para detectar comportamientos sospechosos. La combinación de sistemas SIEM y PAM detecta las posibles amenazas internas enviando alertas en tiempo real si se produce alguna actividad sospechosa con acceso de administrador.
🔒 KeeperPAM se integra con los sistemas SIEM para supervisar el acceso a las cuentas privilegiadas e identificar comportamientos inusuales que podrían indicar la existencia de una amenaza interna. Si ocurre algo sospechoso, se activa una alerta para que las organizaciones puedan responder rápidamente. El panel de gestión de riesgos de Keeper monitoriza los eventos de configuración y seguridad en tiempo real.
Rotan automáticamente las credenciales cuando los accesos compartidos vencen
Cambiar automáticamente las credenciales utilizadas para las cuentas privilegiadas en cuanto vencen los períodos de acceso compartido minimiza el riesgo de que se produzcan usos indebidos por parte de personas con información privilegiada. Como automatiza los controles de acceso, la rotación de contraseñas y las aprobaciones de acceso, la PAM reduce los errores humanos que pueden generar amenazas internas sin intenciones maliciosas. La PAM también cambia y protege automáticamente las contraseñas de las cuentas privilegiadas, lo que reduce el riesgo de que se produzcan accesos no autorizados y exposiciones accidentales de credenciales.
🔒 Con KeeperPAM se pueden configurar las credenciales privilegiadas para que roten automáticamente cuando vencen los accesos compartidos. Esto garantiza que la contraseña antigua deje de ser válida una vez finalizada una tarea, lo que reduce el riesgo de que se produzcan usos indebidos por parte de personas con información privilegiada.
Monitorizan el uso de los sistemas remotos con grabaciones de sesiones
Todas las acciones realizadas con cuentas privilegiadas pueden rastrearse hasta personas específicas con las grabaciones de sesiones, lo que crea un registro de auditoría claro con el que los usuarios pueden asumir sus responsabilidades por los usos indebidos. La grabación de sesiones y su monitorización permiten a las organizaciones mantener un registro detallado de todas las actividades privilegiadas, que sirve de ayuda en las investigaciones internas cuando se producen comportamientos sospechosos.
🔒 KeeperPAM puede registrar la actividad de los usuarios mediante la grabación de sesiones y el registro de las pulsaciones de teclas, capturando las acciones durante las conexiones remotas y en los sitios web protegidos con fines de revisión, conformidad y seguridad. Así, se garantizan unas interacciones adecuadas y se reducen las amenazas internas.
Limitan el acceso a las aplicaciones web internas gracias al RBI
La PAM puede proteger las cuentas privilegiadas limitando el acceso a las aplicaciones web internas con el aislamiento remoto del navegador (RBI, por sus siglas en inglés), que ejecuta sesiones web en un entorno virtual independiente del dispositivo. Impide el acceso directo a los sistemas internos y reduce el riesgo de que se produzcan amenazas internas porque aísla las actividades de navegación web.
🔒 Con KeeperPAM, las organizaciones pueden utilizar el RBI para ejecutar sesiones web en un entorno seguro y evitar que las posibles amenazas internas afecten a la red principal o a los sistemas confidenciales. KeeperPAM limita el acceso a las aplicaciones web internas y mantiene las posibles amenazas contenidas en un entorno virtual, lo que protege los sistemas frente a los usos indebidos por parte de personas con información privilegiada.
Errores comunes que deben evitarse al proteger las cuentas privilegiadas
Las organizaciones que implantan medidas de seguridad sólidas siguen pudiendo cometer errores y dejar las cuentas privilegiadas expuestas a las amenazas internas. Estos son algunos de los errores más comunes que cometen las organizaciones cuando protegen sus cuentas privilegiadas:
- Descuidar las revisiones del acceso de los usuarios: las organizaciones no revisan regularmente qué usuarios tienen acceso a qué recursos, lo que se traduce en permisos innecesarios u obsoletos. Es posible que los empleados con roles nuevos o aquellos que ya no trabajan en la organización sigan teniendo acceso a los sistemas confidenciales. Por ello, auditar el acceso con regularidad garantiza que solo las personas adecuadas dispongan de un acceso privilegiado apropiado.
- Implementar políticas incoherentes: si un equipo sigue controles estrictos de acceso privilegiado pero los de otro equipo son más relajados, las personas con información privilegiada pueden aprovechar estas deficiencias de seguridad para obtener acceso no autorizado a las cuentas privilegiadas. Disponer de políticas de seguridad sólidas es poco eficaz a menos que se apliquen de forma coherente en toda la organización.
- Ignorar el acceso de terceros: muchas empresas se centran en el acceso privilegiado de sus empleados, pero no monitorizan de cerca el acceso de terceros, como contratistas, proveedores o trabajadores independientes. Dado que es posible que los usuarios externos no sigan los mismos protocolos de seguridad que las personas con información privilegiada, las organizaciones deben supervisar y controlar todo acceso privilegiado de terceros con la misma precisión que lo hacen con los usuarios internos.
- Carecer de un plan de respuesta a incidentes: las organizaciones deben prepararse para los ataques internos antes de que se produzcan, lo que implica elaborar un plan de respuesta a incidentes. Sin un plan de este tipo, los equipos de seguridad pueden tener dificultades para detectar, investigar y minimizar los daños causados por las cuentas privilegiadas vulneradas.
Proteja las cuentas privilegiadas de su organización con KeeperPAM®
Proteja las cuentas privilegiadas de su organización con KeeperPAM, una plataforma de confianza cero y conocimiento cero nativa de la nube. Con KeeperPAM, su organización puede registrar y monitorizar todas las actividades de las cuentas privilegiadas, almacenar registros de auditoría y recibir alertas de seguridad en tiempo real si se produce alguna actividad sospechosa.
Solicite un demo de KeeperPAM hoy mismo para proteger las cuentas privilegiadas y los datos sensibles de su organización.
