Glosario IAM de Keeper

Es una lista de permisos que especifica qué usuarios o sistemas tienen o no permiso para acceder a un determinado recurso del sistema, junto con las operaciones que pueden realizar en esos recursos.

Es el proceso mediante el cual los administradores de TI otorgan o restringen el acceso de los usuarios a sistemas o datos concretos. Por lo general, esto se consigue configurando grupos para roles de trabajo, departamentos o equipos de proyecto, y después asignando usuarios a los grupos apropiados. Funciona junto con la gestión de identidades.

Active Directory (AD) es un servicio de directorio desarrollado por Microsoft para las redes de dominio de Windows. Inicialmente, AD se utilizaba solo para la gestión de dominios centralizados, pero ahora es un término muy amplio que hace referencia a un gran abanico de servicios de identidad basados en directorios. Permite que las organizaciones gestionen varios sistemas y componentes de infraestructuras localmente haciendo uso de una sola identidad por usuario. No debe confundirse con Azure Active Directory, una herramienta usada junto con AD.

Como el Active Directory de una organización controla todos los accesos al sistema, una seguridad efectiva de Active Directory es crucial para proteger el entorno de datos al completo.

Son una herramienta complementaria a Active Directory (AD) que extiende las identidades locales a las aplicaciones en la nube. Es similar a una herramienta de SSO para aplicaciones web, pero que se utiliza localmente y no en la nube. Como Azure AD, AD FS no es un reemplazo de Active Directory, sino una herramienta que se usa conjuntamente.

También conocida como autenticación adaptable o autenticación basada en riesgos, es un método mediante el cual los parámetros de inicio de sesión se ajustan dinámicamente según el riesgo que plantee una determinada solicitud de acceso. Por ejemplo, un usuario que inicie sesión en un servicio desde un dispositivo que suele utilizar puede que necesite solo una contraseña, pero si intenta iniciar sesión desde un dispositivo nuevo, o incluso desde un navegador nuevo, se le requerirá también que responda a preguntas de seguridad o que facilite un código de acceso de un solo uso.

Es un conjunto de definiciones y protocolos que permite que diferentes aplicaciones de software hablen entre ellas. Por ejemplo, las aplicaciones meteorológicas utilizan las API de las agencias meteorológicas gubernamentales para mostrar datos sobre el tiempo. La mayoría de las páginas web y aplicaciones modernas utilizan al menos alguna API de terceros.

Hay cuatro tipos diferentes de API:

Cualquiera puede utilizar API públicas, aunque algunas requieren una autorización previa o usan tarifas.

Las API privadas son exactamente eso: privadas. Son internas a una organización y solo se utilizan dentro de la empresa.

Las API de socios son similares a las API privadas. Solo las pueden utilizar los socios empresariales externos autorizados para facilitar las transacciones y las aplicaciones entre empresas (B2B).

Las API compuestas son una combinación de dos o más tipos de API.

Es un identificador único utilizado para autenticar a un usuario, desarrollador o aplicación en una API. Normalmente incluye un conjunto de derechos de acceso a la API.

La autenticación asegura que el usuario es quien dice ser. Vea Gestión de identidades.

La autorización asegura que el usuario está autorizado para acceder a sistemas y datos específicos. Vea Gestión de accesos.

Son las herramientas y métodos para almacenar, acceder y gestionar de forma segura los secretos de infraestructura de un entorno de TI, como claves API, certificados digitales y credenciales de cuentas con privilegios. También se conoce como gestión de contraseñas de aplicación a aplicación (AAPM).

Es una solución de "identidad como servicio" (IDaaS, por sus siglas en inglés) que las organizaciones pueden utilizar para todas sus aplicaciones a través de su entorno de datos, tanto en la nube como localmente. Azure Active Directory (Azure AD) no es un reemplazo de Active Directory, sino que se usan en conjunto.

Hace referencia a las características físicas únicas de una persona, como el reconocimiento de la huella dactilar, del iris o facial.

Es un ataque automatizado en el que un atacante utiliza una secuencia de comandos para enviar un gran número de contraseñas o frases de contraseña y así probar de forma sistemática todas las posibles combinaciones hasta encontrar un conjunto de credenciales válido.

La BPA hace referencia al software que automatiza tareas repetitivas o manuales para mejorar la eficiencia organizativa. Un ejemplo de BPA son las respuestas automatizadas a las acciones de los clientes, como las confirmaciones de pedidos y el autoservicio de restablecimiento de contraseña (SSPR).

Es un marco de IAM heredado en el que todos los usuarios dentro de un perímetro de red definido son implícitamente de confianza, mientras que los que están fuera no lo son. La computación en la nube, la movilidad y el aumento del acceso remoto han hecho que el modelo de castillo y foso haya quedado obsoleto y se haya sustituido por la confianza cero.

El CTAP es un componente clave del conjunto de especificaciones FIDO2. Permite que un autenticador externo, como un teléfono inteligente o una clave de seguridad, trabaje con navegadores compatibles con WebAuthn y actúe como autenticador para los servicios web y las aplicaciones de escritorio.

También se conoce como seguridad en la nube. Es un término amplio que abarca las políticas, procedimientos, controles y herramientas utilizados para proteger datos, aplicaciones y servicios que se almacenan y utilizan en la nube, junto con la infraestructura en la nube subyacente.

Normalmente, los servicios en la nube públicos operan mediante un modelo de responsabilidad compartida, en el que el proveedor de servicios en la nube es responsable de la seguridad "de" la nube, mientras que la organización que compra los servicios es responsable de la seguridad "en" la nube. Esto significa que el proveedor de servicios en la nube protege la infraestructura subyacente, incluidos los centros de datos físicos y todos los servidores y equipamiento que hay en ellos, mientras que la organización protege los datos y las cargas de trabajo que pone en su despliegue en la nube.

Es un servicio basado en la nube que ofrece soluciones de IAM a otros servicios basados en la nube.

Es un proceso mediante el cual un sistema supervisa el comportamiento del usuario durante una sesión comparándolo con una línea de base en busca de anomalías. Si se detecta un comportamiento anómalo, se le pide al usuario que se vuelva a autenticar.

Es un ataque que se aprovecha del hecho de que muchas personas utilizan las mismas credenciales de inicio de sesión en varias cuentas. En un ataque de relleno de credenciales, cuando los atacantes consiguen con éxito un conjunto de credenciales de acceso que funcionan en un sitio, las utilizan en todos los sitios posibles.

Es el proceso mediante el cual las organizaciones gestionan las identidades y los niveles de acceso de los clientes. Básicamente, es un subtipo de IAM que hace referencia solo a los clientes en contraposición a los usuarios internos o a los socios comerciales.

La DiD es un enfoque multicapa de la ciberseguridad. Cada capa se enfoca en un tipo diferente de seguridad para crear una defensa amplia y robusta contra las ciberamenazas. La idea consiste en que si una capa cae, la siguiente todavía se interpone en el camino del atacante. Entre los elementos más comunes en una estrategia DiD se encuentran los programas antivirus, los controles y herramientas de seguridad de la red, las soluciones de IAM y las soluciones de prevención de pérdida de datos.

Es el proceso mediante el cual se elimina el acceso de un usuario a un sistema completo o a aplicaciones individuales. Por ejemplo, un empleado que abandona la empresa es desaprovisionado de todo el sistema, mientras que un empleado que se traslada a otro lugar o departamento sería desaprovisionado de los sistemas del lugar o departamento en los que estuviera anteriormente.

También llamada DevSecOps, es una práctica de seguridad de las aplicaciones que busca lo que se conoce como "shift security left", es decir, introducir la seguridad lo antes posible dentro del ciclo de desarrollo de software (SDLC) con el objetivo de crear aplicaciones seguras. Además, al igual que DevOps, DevSecOps rompe los silos organizativos, pues mejora la comunicación y la colaboración entre los equipos de desarrollo, las operaciones y la seguridad a lo largo del SDLC.

En ocasiones llamada detección y respuesta a amenazas en los puntos de conexión (ETDR), una solución EDR es una herramienta de seguridad de los puntos de conexión integrada que combina la supervisión continua en tiempo real y la recopilación de datos en los puntos de conexión con la respuesta y el análisis automatizados basados en reglas. Una solución EDR supervisa toda la actividad de los puntos de conexión, la analiza para identificar patrones de amenaza, responde automáticamente para eliminar o contener las amenazas identificadas y envía notificaciones al personal de seguridad. Los objetivos de un sistema EDR son identificar las amenazas en tiempo real, mitigarlas o contenerlas automáticamente si es posible y facilitar una respuesta rápida por parte del personal humano.

La gestión de los privilegios en los puntos de conexión combina el control de la aplicación con el acceso de mínimo privilegio para asegurar que los usuarios únicamente ejecutan aplicaciones de confianza con el mínimo privilegio posible.

Tradicionalmente, el acceso a la red dentro de una organización estaba dividido en dos amplias categorías: usuarios estándar y administradores. Desgraciadamente, esto no es suficiente para protegerse de los ciberataques relacionados con las credenciales en los entornos de datos distribuidos y muy complejos de hoy en día. La gestión de los privilegios en los puntos de conexión regula los niveles de acceso de los usuarios para que se concedan privilegios administrativos al menor número posible de usuarios. Además de proteger contra las amenazas internas, la gestión de los privilegios en los puntos de conexión limita la capacidad de los atacantes externos para moverse lateralmente dentro de la red si consiguen comprometer un conjunto de credenciales de usuario en funcionamiento.

Una EPP es una solución integrada que detecta la actividad maliciosa en los dispositivos de punto de conexión y los protege de los accesos no autorizados, del phishing y de los ataques de malware basados en archivos. Normalmente, las EPP modernas se basan en la nube y algunas incluyen un firewall personal, funciones para proteger los datos y evitar su pérdida, el control de dispositivos y la integración con soluciones de gestión de vulnerabilidades, parches y configuración.

Un EPM es una plataforma de gestión de contraseñas diseñada específicamente para uso comercial. Un EPM es una parte fundamental de las pilas de la IAM y de seguridad de cualquier organización.

Los EPM hacen todo lo que hacen los gestores de contraseñas de los consumidores, como generar automáticamente contraseñas seguras y proporcionar a los usuarios un almacén digital seguro que pueden utilizar para almacenar y acceder a sus contraseñas desde varios dispositivos. Sin embargo, también incluyen una gran cantidad de funciones específicas para organizaciones, como una panel administrativo que el personal de TI y de seguridad pueden utilizar para aprovisionar y desaprovisionar las cuentas de los usuarios, supervisar y controlar el uso de las contraseñas de la organización, configurar los controles de acceso basado en roles (RBAC) y el acceso de mínimo privilegio, ejecutar informes de auditoría y gestionar las contraseñas compartidas.

Además, algunos EPM ofrecen soluciones que se adaptan específicamente para cumplir con las necesidades de los proveedores de servicios gestionados (como KeeperMSP) y de las agencias gubernamentales estadounidenses (como Keeper Security Government Cloud, también conocido como KSGC).

La FIM es un método de autenticación por el que varios sistemas de software comparten datos de identidad de un sistema centralizado más grande, lo que permite a los usuarios acceder a varias aplicaciones y sistemas con un único conjunto de credenciales de inicio de sesión. Aunque la gestión de identidades federadas se utiliza a menudo como sinónimo de SSO, la FIM permite acceder a sistemas y aplicaciones a través de dominios (conocidos como "organizaciones federadas"), mientras que el SSO permite el acceso dentro de un único dominio.

Las organizaciones frecuentemente utilizan tanto el SSO como la FIM.

Es una asociación industrial abierta cuya misión es promover "estándares de autenticación para ayudar a reducir la excesiva dependencia de las contraseñas en el mundo".

Es un esfuerzo conjunto de la Alianza FIDO y el World Wide Web Consortium (W3C) que pretende permitir a los usuarios aprovechar dispositivos comunes, como los teléfonos inteligentes y los tokens de seguridad de hardware, para autenticarse en servicios en línea tanto en entornos de escritorio como móviles. Basado en gran medida en el estándar de autenticación U2F, FIDO2 se compone del conjunto de estándares WebAuthn y del protocolo de cliente a autenticador (CTAP) de FIDO.

La IAM es un término general que engloba las políticas, procedimientos, controles y herramientas tecnológicas que las organizaciones utilizan para gestionar las identidades digitales de los usuarios finales y controlar los accesos a las redes, aplicaciones y datos de la organización. La IAM es una parte fundamental de la defensa en profundidad (DiD).

La gestión de accesos con privilegios (PAM), la gestión de sesiones con privilegios (PSM), la administración y gobernanza de identidades (IGA) y la gestión de accesos e identidades de clientes (CIAM) son todas subcategorías de la IAM.

La IDaaS es una solución de autenticación basada en la nube. A veces se denomina IAM suministrada por SaaS (Gartner) o IAM como servicio (IaaS). IDaaS es un término general que se refiere a una amplia variedad de soluciones SaaS para IAM, desde plataformas SSO hasta gestores de contraseñas.

La IGA es una subcategoría de la IAM que se refiere a las políticas y herramientas tecnológicas que permiten a las organizaciones garantizar que sus políticas de IAM sean coherentes y se apliquen universalmente en todo el entorno de datos. Las herramientas IGA permiten a las organizaciones gestionar de forma más eficaz las identidades digitales y mitigar los riesgos de acceso relacionados con la identidad mediante la automatización de la creación, gestión y certificación de las cuentas de usuario, los roles y los derechos de acceso.

Aunque la IGA y la IAM se utilizan a veces indistintamente, la IGA se diferencia de la IAM en que, como dice Gartner, la IGA "permite a las organizaciones no solo definir y aplicar la política de la IAM, sino también conectar las funciones de la IAM para cumplir con los requisitos de auditoría y conformidad".

La ILM es una subcategoría de la IAM que hace referencia a las políticas, procedimientos y herramientas tecnológicas utilizados para crear identidades digitales y sus permisos asociados, gestionarlas y actualizarlas a lo largo de su ciclo de vida y eliminarlas cuando ya no se necesiten. La identidad digital puede pertenecer a una persona (empleado, contratista, proveedor, socio comercial...) o a una aplicación.

Los privilegios de los usuarios evolucionan con el tiempo. Si un empleado es ascendido o asume funciones adicionales, es posible que haya que ajustar sus privilegios de red. Cuando un empleado deja la organización, su acceso se debe revocar de inmediato. Estas son algunas situaciones en las que entra en juego la ILM.

Es el proceso mediante el cual los sistemas determinan que los usuarios son quienes dicen ser. Algunos ejemplos incluyen nombres de usuario y contraseñas, además de la autenticación de varios factores. Funciona junto con la gestión de accesos.

Un IdP es un servicio que almacena y gestiona las identidades de los usuarios. Un IdP puede verificar a los usuarios con una lista almacenada de combinaciones de nombres de usuario y contraseñas, o puede proveer una lista de identidades de usuario que otro proveedor comprueba. Los proveedores de SSO son IdP.

El JWT es un estándar abierto utilizado para compartir información de seguridad entre clientes y servidores. Los JWT se firman usando un secreto privado o una clave pública o privada, de modo que las reclamaciones no pueden alterarse después de la emisión del token.

El acceso JIT es una práctica de la gestión de acceso con privilegios (PAM) en la que los privilegios de usuarios humanos y no humanos se elevan en tiempo real y la duración de la sesión se limita a un tiempo predeterminado. Esto asegura que el usuario humano o la aplicación pueden acceder a un sistema o aplicación privilegiados solo cuando lo necesitan y durante un cierto periodo de tiempo.

Es un protocolo de autenticación de red de código abierto que utiliza el cifrado de clave simétrica para autenticar solicitudes entre hosts de confianza que se comunican a través de una red no fiable, como internet. Kerberos es el protocolo de autorización predeterminado en Microsoft Windows y un componente clave de Windows Active Directory. La compatibilidad con Kerberos está integrada en los principales sistemas operativos. Se utiliza ampliamente en grandes despliegues del SSO, donde es compatible con varios métodos de autenticación.

Es una buena práctica de seguridad en la que tanto personas como aplicaciones tienen el mínimo nivel de acceso a los sistemas que necesitan para realizar sus tareas y nada más.

El LDAP es un estándar abierto de protocolo de aplicación para acceder y mantener servicios de información de directorio distribuidos a través de una red IP. El LDAP se usa comúnmente como una única fuente de verdad para nombres de usuario y contraseñas. Las aplicaciones se pueden conectar al servidor del LDAP y añadir y eliminar automáticamente usuarios a medida que los empleados se incorporan y dejan la organización. El LDAP se utiliza como base para Microsoft Active Directory.

Vea también la SCIM, una alternativa al LDAP que está ganando en popularidad.

La MIM gobierna las identidades digitales de los usuarios no humanos, es decir, las claves y certificados digitales usados por dispositivos de hardware (incluidos los dispositivos IoT), las cargas de trabajo, las aplicaciones, los contenedores... La MIM es un subconjunto de IAM y de gestión de secretos.

El software malicioso, más conocido como malware, es exactamente lo que su nombre indica: un tipo de programa malicioso que infecta los dispositivos a través de varias técnicas. Se puede producir, por ejemplo, cuando las víctimas hacen clic en correos electrónicos de phishing o descargan archivos maliciosos como juegos, películas o programas.

Una contraseña principal (a veces abreviada como MP, por sus siglas en inglés) es la contraseña que los usuarios finales crean durante la instalación y configuración de un gestor de contraseñas como Keeper. La contraseña principal de un usuario es la única contraseña que debe recordar. Como es la clave de su almacén de contraseñas digital, es importante que sea fuerte y única, y que el usuario nunca la pierda ni olvide. Por este motivo, una frase de contraseña es una buena forma de crear una contraseña principal.

La MFA y la 2FA son métodos de autenticación que requieren que los usuarios faciliten dos o más factores de autenticación para poder acceder a un recurso, como una aplicación, una carpeta o un sistema. Para ser considerado como 2FA/MFA, cada factor de verificación debe proceder de una categoría de verificación diferente, como las siguientes:

Algo que sabe, como una contraseña o un PIN.

Algo que tiene, como una clave de seguridad o una tarjeta.

Algo que es (biometría), como la huella dactilar o el escaneo del iris.

Un lugar en el que está, como su dirección IP o la geolocalización (no usado con tanta frecuencia).

Un cajero automático es un ejemplo de MFA, ya que los usuarios tienen que insertar una tarjeta (algo que tienen) y marcar un PIN (algo que saben).

La 2FA y la MFA son básicamente términos sinónimos. La única diferencia es que la 2FA requiere solo dos factores de autenticación, como en el ejemplo del cajero automático, mientras que la MFA puede, en teoría, requerir tres o más (como una tarjeta inteligente, un PIN y la huella dactilar).

Es un estándar abierto para delegar el acceso a la información de los usuarios en aplicaciones web o en páginas web. Lo usan empresas como Amazon, Google, Facebook, Microsoft y Twitter para permitir a los usuarios compartir información sobre sus cuentas con aplicaciones o páginas web de terceros sin tener que darles sus contraseñas.

Ambos tipos de contraseñas son una cadena de caracteres generada automáticamente que autentica al usuario para una sola transacción o sesión de acceso. Las OTP se pueden enviar por correo electrónico, SMS o a través de una aplicación de autenticación. Se utilizan frecuentemente como un factor de autenticación en la 2FA/MFA.

Una TOTP es similar a una OTP con la diferencia de que solo es válida durante un periodo de tiempo, normalmente entre 30 y 60 segundos.

Es un sistema de autenticación RESTful construido sobre el marco OAuth 2.0 que utiliza tokens web JSON. Permite que aplicaciones de terceros verifiquen las identidades de los usuarios y obtengan la información básica del perfil del usuario, lo que permite el inicio de sesión único en varias aplicaciones.

En un ataque "pass-the-hash", el atacante roba una contraseña con hash y, sin descifrarla, intenta utilizarla para engañar a un sistema y que este cree una nueva sesión de usuario autenticada. Este tipo de ataque se utiliza normalmente para moverse lateralmente dentro de una red que ya ha sido comprometida. Los equipos Windows son especialmente susceptibles a estos ataques debido a una vulnerabilidad en los hashes del Gestor de la LAN de Windows NT (conocido como NTLM), que permite a los atacantes aprovechar las cuentas de dominio comprometidas con solo el hash de la contraseña, sin necesitar siquiera la contraseña real.

Es una forma muy sencilla para los usuarios de crear una contraseña fuerte y única. Por este motivo, se utilizan frecuentemente para crear contraseñas principales.

Para crear una frase de contraseña, el usuario tiene que inventar una frase que incluya una combinación de letras mayúsculas y minúsculas, números y caracteres especiales y de puntuación.

Ejemplo de frase de contraseña inaceptable: "Mi primera vivienda estaba en Alexandria, Virginia". Esto genera la contraseña MpveeAV, que es bastante corta (solo 7 caracteres) y no incluye ningún carácter especial ni números. Un atacante que utilice un descifrador de contraseñas automatizado podría adivinar la contraseña bastante rápido.

Ejemplo de frase de contraseña aceptable: "Mi primera vivienda estaba en 2630 Hegal Place #42 Alexandria, Virginia 23242". Esto genera la contraseña Mpvee2630HP#42AV23242, que tiene 21 caracteres e incluye letras mayúsculas y minúsculas, números y caracteres especiales. ¡Incluso un descifrador de contraseñas automatizado necesitaría décadas para descifrar esta contraseña!

Un ataque de fuerza bruta aprovecha el hecho de que muchas contraseñas son bastante "populares" entre los usuarios. Por ejemplo, muchas personas utilizan el patrón del teclado "qwerty" o simplemente la palabra "contraseña". En un ataque de pulverización de contraseñas, se toma una lista de contraseña "populares" y se prueban en combinación con los nombres de usuario del sistema.

Es un método de verificación de la identidad de un usuario sin utilizar una contraseña. En su lugar, se usa la biometría, claves de seguridad o contraseñas de un solo uso (OTP).

La PEDM (también denominada SUPM) es un subconjunto de la PAM que ofrece a los usuarios no administrativos un acceso temporal a los sistemas privilegiados con ciertas limitaciones. Por ejemplo, a un usuario se le puede conceder acceso a una aplicación concreta solamente durante un periodo de tiempo determinado. Cuando venza el límite de la sesión, los derechos de acceso del usuario se revocan automáticamente.

Las soluciones PEDM permiten a las organizaciones aprovechar el acceso justo a tiempo para reducir el número de usuarios con privilegios administrativos.

La PAG aplica las normas de la IAM a usuarios con privilegios para asegurar que incluso el acceso de estos usuarios sigue el principio de mínimo privilegio. Los procesos asociados con la PAG incluyen el aprovisionamiento y desaprovisionamiento automatizado, un proceso de aprobación formal para conceder un nuevo acceso privilegiado y revisiones periódicas de las cuentas con privilegios para asegurar que los niveles de acceso siguen siendo apropiados.

La PAM hace referencia a las herramientas y tecnología que las organizaciones usan para asegurar, controlar y supervisar el acceso a su información y recursos más importantes, como las cuentas administrativas locales y de dominio.

La PAMaaS (también denominada PAM como servicio) es una solución de gestión de accesos con privilegios basada en la nube.

Una PAW, denominada a veces como estación de trabajo de acceso seguro (SAW), es una estación de trabajo reforzada diseñada única y específicamente para ejecutar tareas altamente privilegiadas. Las PAW se configuran con políticas y controles de seguridad que restringen el acceso administrativo local y bloquean el correo electrónico, las herramientas de productividad de oficina y la navegación web. Están equipadas solo con herramientas que son absolutamente necesarias para realizar tareas altamente privilegiadas. Esto bloquea los vectores más comunes de los ataques de phishing (correo electrónico y navegación web) y reduce drásticamente el riesgo de que la PAW se vea comprometida.

Una cuenta con privilegios tiene niveles de acceso a la red mucho más altos que las cuentas de usuario estándar. Por ejemplo, las cuentas con privilegios pueden ser capaces de aprovisionar y desaprovisionar usuarios, cambiar los niveles de acceso de los usuarios o modificar las configuraciones del sistema o de las aplicaciones.

A veces, a las cuentas con privilegios se las denomina cuentas de administración, pero no todas las cuentas con privilegios las usan personas. Las cuentas de servicio, usadas por aplicaciones, son también cuentas con privilegios.

Además, el término "cuenta con privilegios" puede referirse a un usuario no técnico de alto nivel, como un director general o financiero, que tiene acceso a datos extremadamente sensibles, como los archivos gubernamentales clasificados, los historiales médicos o la información financiera de una organización.

La gestión de cuentas y sesiones con privilegios (PASM) forma parte de la gestión de accesos con privilegios (PAM) y ofrece a las organizaciones una forma de proteger, controlar y supervisar las cuentas de usuarios privilegiados. Permite a los equipos de TI tener un sólido control sobre las sesiones de usuarios administrativos críticos.

La PIM funciona junto con la PAM. Mientras que la PAM se refiere a las políticas y soluciones técnicas para gestionar las cuentas de usuarios con privilegios, la PIM implica gestionar a qué recursos pueden acceder los usuarios con privilegios. La PIM permite a las organizaciones controlar, gestionar y supervisar los permisos de acceso de los usuarios con privilegios a datos y sistemas concretos.

La PSM funciona junto con la gestión de accesos con privilegios (PAM) para asegurar el acceso a los sistemas y datos más sensibles y críticos de una organización. Mientras que la PAM se centra en asegurar las credenciales de los usuarios con privilegios, la PSM se ocupa de controlar, supervisar y registrar las sesiones con privilegios, es decir, las acciones que realizan los usuarios con privilegios una vez que se conectan a la red.

Además de evitar que los usuarios con privilegios abusen de su acceso, la PSM permite a las organizaciones cumplir con normativas como SOX, HIPAA, PCI DSS, ICS CERT, GLBA, FDCC y FISMA, que exigen que la actividad con privilegios se registre y supervise.

La PUM se utiliza normalmente como sinónimo de gestión de accesos con privilegios (PAM) y gestión de identidades con privilegios (PIM). Sin embargo, hay algunas diferencias importantes. A diferencia de las cuentas PAM, las cuentas PUM normalmente se comparten y no utilizan la 2FA/MFA, pues los usuarios pueden acceder a sus cuentas PUM con tan solo una contraseña. Por esta razón, deben evitarse las cuentas PUM.

Es el proceso de estabilizar el acceso de un usuario a sistemas completos o a aplicaciones individuales. Una contratación nueva se aprovisiona a todos los sistemas y aplicaciones que necesita para realizar su trabajo, y un empleado que asume responsabilidades nuevas puede también necesitar que se le aprovisione en aplicaciones y sistemas adicionales.

También se conoce como cifrado de clave pública o cifrado asimétrico. Es un método de cifrado de datos que utiliza dos claves: una pública, que puede utilizar cualquiera, y una privada. Los datos cifrados con la clave pública solo pueden descifrarse con la clave privada y viceversa.

PWN es una jerga de piratas informáticos que se originó en la comunidad de juegos en línea como un error ortográfico de "owned" (por ello se pronuncia como "own" y no como "pawn"). Significa conquistar o dominar, como cuando se logra vulnerar una cuenta o una red.

RADIUS es un protocolo de cliente a servidor que permite la gestión centralizada de la autenticación, la autorización y la contabilidad para el acceso remoto e inalámbrico a la red. RADIUS se ejecuta en la capa de aplicación y permite a las organizaciones mantener los perfiles de usuario en un repositorio central compartido por todos los servidores remotos.

El RDP es un protocolo de comunicaciones de red patentado desarrollado por Microsoft. El RDP permite el acceso remoto seguro a estaciones de trabajo y servidores. Pueden utilizarlo los usuarios finales no técnicos para acceder de forma remota a sus estaciones de trabajo, así como los administradores de TI y los equipos de DevOps para realizar el mantenimiento del sistema de forma remota y diagnosticar y reparar problemas. Mediante una interfaz gráfica de usuario, los usuarios remotos pueden abrir aplicaciones y editar archivos de la misma forma que si estuvieran sentados frente al equipo remoto.

Además de Windows, los clientes del RDP están disponibles para Mac OS, Linus/Unix, Google Android y Apple iOS. Las versiones de código abierto del software RDP están disponibles.

REST significa "transferencia de estado representacional". Es una API moderna, sin estado y muy flexible que define un conjunto de funciones, como OBTENER, COLOCAR y ELIMINAR, que los clientes pueden utilizar para acceder a los datos del servidor. Los clientes y los servidores intercambian datos mediante HTTP.

Similar a la automatización de procesos empresariales (BPA), la RPA hace referencia al software que automatiza el trabajo manual y repetitivo. Sin embargo, a diferencia de las soluciones BPA, la RPA hace un mayor uso de la inteligencia artificial y del aprendizaje automático para que los bots puedan imitar a los usuarios humanos y adaptarse a circunstancias dinámicas. Por ejemplo, mientras que la BPA se utiliza para enviar por correo electrónico una respuesta predefinida a un cliente (como un pedido o confirmación de envío), la RPA se utiliza para crear bots de chat interactivos que pueden analizar las consultas de los clientes en tiempo real.

El RBAC, también conocido como seguridad basada en roles, es un modelo de control de accesos en el que el rol del usuario dentro de una organización determina a qué recursos de red puede acceder. El objetivo del RBAC es asegurar que los usuarios no pueden acceder a los sistemas y datos que no están relacionados con las funciones de sus puestos de trabajo, lo que mejora la conformidad y evita la filtración de datos en el caso de que las credenciales de un usuario se vean comprometidas. Así se obstaculiza la capacidad de un atacante para moverse lateralmente dentro de la red. Funciona junto con el acceso de mínimo privilegio.

El SAML es un estándar abierto para intercambiar datos de autenticación y autorización entre las partes. Normalmente lo utilizan los proveedores de identidades SSO para comunicarse con los proveedores de servicios, lo que permite que el SSO se extienda por los dominios de seguridad y que el inicio de sesión único en el navegador web sea posible.

En un entorno de TI, un secreto hace referencia a cualquier dato compacto que debe permanecer confidencial. Suelen utilizarlo equipos no humanos para la autenticación en sistemas y datos altamente privilegiados. Algunos ejemplos de secretos de TI son las credenciales RDP, las claves SSH, las claves API y las credenciales de cuentas privilegiadas.

Son las herramientas y métodos para almacenar, acceder y gestionar de forma segura los secretos de infraestructura de un entorno de TI, como claves API, certificados digitales y credenciales de cuentas con privilegios. También se conoce como gestión de contraseñas de aplicación a aplicación (AAPM).

El protocolo Secure Shell (SSH, por sus siglas en inglés) es un protocolo de red criptográfico que permite a dos ordenadores comunicarse de forma segura. El SSH se desarrolló como una alternativa segura a Telnet y a los protocolos de shell remoto de Unix no seguros, que transmiten datos (incluidas las contraseñas) en texto plano. El SSH utiliza la criptografía de claves públicas para autenticar el ordenador remoto y permitirle autenticar al usuario. Cifra todas las comunicaciones entre dos ordenadores. Los usos más comunes del SSH son el inicio de sesión remoto y la ejecución de la línea de comandos.

La SaaS/SecaaS es un modelo de negocio en el que las organizaciones subcontratan soluciones y servicios de ciberseguridad en lugar de utilizar recursos internos. La SecaaS puede ser tan mínima como el despliegue de una plataforma PAM o IAM gestionada en la nube o tan amplia como la externalización de todas las funciones de seguridad de una organización.

Un sistema SIEM es una plataforma de software que agrega datos de seguridad de todo el entorno de datos de una organización, los analiza y notifica al personal de seguridad humano en caso de posibles amenazas. Los SIEM recogen y analizan datos tanto del hardware como de las aplicaciones, incluidos los dispositivos de red, los servidores y los controladores de dominio.

Es un dispositivo físico o lógico utilizado por un usuario final para demostrar su identidad y acceder a un recurso digital. Los tokens de seguridad pueden utilizarse como factor de autenticación 2FA/MFA junto con las contraseñas; o sustituir a estas en una configuración de autenticación sin contraseñas.

Los tokens de seguridad físicos incluyen tarjetas de claves o claves de seguridad (como YubiKey). Los tokens de seguridad digitales incluyen OTP o TOTP generadas por aplicaciones de autenticación.

El SSPR es una función de automatización de procesos empresariales que permite a los usuarios restablecer sus contraseñas sin tener que interactuar con el personal de TI, lo que ahorra tiempo tanto a los usuarios finales como al personal del servicio de asistencia. El SSPR se utiliza normalmente para restablecer contraseñas perdidas, olvidadas o vencidas.

Es un tipo especial de cuenta privilegiada utilizada por usuarios no humanos, especialmente aplicaciones. Algunos usos comunes de las cuentas de servicio incluyen la ejecución de cargas de trabajo en instancias de equipos virtuales (VM), la ejecución de cargas de trabajo en estaciones de trabajo locales o centros de datos que llaman a la API y otros procesos automatizados.

Los usuarios humanos no se ven directamente involucrados en la creación o uso de cuentas de servicio. Normalmente, las crea y configura el administrador de paquetes durante la instalación del software, y una aplicación asume la identidad de una cuenta de servicio para llamar a una API o ejecutar otros procesos. Esta automatización ahorra tiempo al equipo de TI, pero, al igual que otras cuentas privilegiadas, las cuentas de servicio tienen mayores riesgos de seguridad y deben estar gestionadas y controladas rigurosamente.

Una clave de acceso es una moderna tecnología de autenticación sin contraseñas que permite a los usuarios acceder a cuentas y aplicaciones usando una clave criptográfica en lugar de una contraseña. Las claves de acceso usan la biometría (huella dactilar, reconocimiento facial...) para confirmar la identidad del usuario.

Es un subconjunto de la gestión de secretos. La SAG hace referencia a las políticas, procedimientos y herramientas tecnológicas utilizadas para asegurar y gestionar las cuentas de servicio, incluyendo el aprovisionamiento y el desaprovisionamiento, la gestión de contraseñas y la gestión de dependencias.

La SAPM es parecida a la gestión de usuarios con privilegios (PUM). Hace referencia a la gestión de cuentas con privilegios compartidas, algo que las organizaciones deberían evitar, ya que las cuentas con privilegios deben gestionarse y supervisarse de forma estricta por motivos de seguridad y conformidad.

El SSO es un método de autenticación con el que los usuarios pueden aprovechar un único conjunto de credenciales para acceder a varios sistemas y aplicaciones. Aunque el SSO se utiliza a menudo como sinónimo de la gestión de identidades federadas (FIM), el SSO permite el acceso dentro de un único dominio, mientras que la FIM permite el acceso a sistemas y aplicaciones entre dominios.

Ejemplos del SSO: Los empleados utilizan un solo conjunto de credenciales para acceder al correo electrónico del trabajo, al portal de recursos humanos y a otros recursos internos.

Ejemplo de la FIM: Los empleados utilizan un solo conjunto de credenciales para acceder a aplicaciones de terceros, como aplicaciones de videoconferencia y sistemas de incidencias.

El SSO y la FIM se utilizan frecuentemente de forma conjunta.

Es un tipo antiguo de API que ha quedado en desuso en favor de otras opciones más flexibles, como REST. Utiliza el protocolo simple de acceso de objetos (SOAP), en el que los clientes y los servidores intercambian mensajes usando el XML.

Gartner define el SCCM como herramientas que se utilizan para gestionar y controlar las versiones y configuraciones del software. Gartner también considera como parte del SCCM las soluciones para la "gestión de cambios de desarrollo, el seguimiento de defectos, la automatización de cambios, la gestión de lanzamientos de desarrollo, la gestión integrada de pruebas, la gestión integrada de creaciones y otros procesos relacionados".

El SCIM es un estándar abierto para automatizar el aprovisionamiento y desaprovisionamiento de usuarios. El SCIM permite el intercambio de información sobre la identidad de los usuarios entre dominios de identidad o sistemas de TI a través de una API estandarizada mediante REST, con datos en formato JSON o XML. Las organizaciones utilizan el SCIM para añadir y eliminar automáticamente a usuarios de plataformas de terceros (como los programas de productividad de oficina, la gestión de relaciones con el cliente y los sistemas de incidencias) a medida que los empleados se incorporan y se marchan.

A medida que las organizaciones adoptan más soluciones SaaS, el SCIM está ganando en popularidad como alternativa al LDAP. Los principales proveedores de identidades, incluido Azure Active Directory, son compatibles con el SCIM, al igual que las plataformas SaaS más conocidas, como Microsoft Office and Google Workspace.

Son protocolos criptográficos que cifran los datos y autentican las conexiones cuando se transfieren datos por internet.

La TLS evolucionó desde la SSL. En un inicio, el protocolo TLS debía llamarse SSL 3.0. El nombre se cambió antes de su publicación para desvincularlo de Netscape, la ya desaparecida empresa que creó la SSL. Aunque ambos términos se usan normalmente de forma indistinta, la SSL ya no se utiliza porque contiene vulnerabilidades de seguridad que la TLS debía solucionar.

Es un método a través del cual los usuarios pueden autenticarse en una aplicación usando una cookie firmada que contiene información sobre el estado de la sesión. La autenticación basada en tokens se usa normalmente junto con otros métodos de autenticación. En este escenario, se utiliza otro método para la autenticación inicial de la identidad, mientras que la autenticación basada en tokens se utiliza para la reautenticación en caso de que el usuario vuelva a una página web o aplicación.

El UAF es un estándar abierto desarrollado por la Alianza FIDO con el objetivo de permitir la autenticación sin contraseñas como factor de autenticación principal, en lugar de secundario.

El U2F es un estándar abierto que utiliza tokens de seguridad de hardware, conectado por USB o mediante la transmisión de datos en proximidad (NFC), como factores adicionales en la 2FA/MFA. Inicialmente desarrollado por Google y Yubico, con la contribución de NXP Semiconductors, el estándar U2F lo hospeda ahora la Alianza FIDO. Le sucedió el Proyecto FIDO2.

El UAC es una función de cumplimiento del control de los accesos obligatoria incluida en los sistemas de Microsoft Windows. El UAC mitiga el impacto del malware al evitar que los usuarios humanos, las aplicaciones y el malware realicen cambios no autorizados en el sistema operativo. Funciona obligando a todas las aplicaciones que requieren un token de acceso de administrador a solicitar el consentimiento antes de realizar ciertos procesos, como instalar un software nuevo.

El UEBA aprovecha los algoritmos de la inteligencia artificial y el aprendizaje automático para crear líneas de base de comportamiento para usuarios humanos, enrutadores, servidores y puntos de conexión en una red organizativa, y después supervisa las desviaciones de esa línea de base. Un ejemplo común de UEBA en acción se produce cuando una empresa de tarjetas de crédito congela temporalmente la cuenta de un cliente porque el algoritmo ha notificado un cambio importante en el comportamiento del usuario, como, por ejemplo, que el cliente de repente haya hecho varios pedidos de cantidades elevadas.

La VPAM es un subconjunto de la PAM que trata con los proveedores que necesitan acceder a sistemas delicados, como, por ejemplo, un desarrollador externo, un proveedor de seguridad o una empresa dedicada al pago de nóminas. Las soluciones VPAM aseguran que el acceso de los proveedores con privilegios sigue las mismas restricciones que las cuentas PAM de la organización, como el mínimo privilegio, el acceso justo a tiempo y el registro/supervisión de las sesiones.

La VNC es un sistema de compartición de pantalla multiplataforma usado para controlar de forma remota el escritorio de otro ordenador. Usando la VNC, un usuario remoto puede utilizar la pantalla, el teclado y el ratón de un ordenador como si estuviera sentado frente a él.

La VNC funciona en un modelo de cliente/servidor, el cual requiere que se instale un componente servidor en el equipo remoto al que se está accediendo y un lector VNC, o cliente, en el dispositivo desde el que se accede al equipo remoto. La VNC utiliza el protocolo RFB (búfer de fotogramas remoto) para regular el formato de los datos que pasan entre el cliente y el servidor.

La VNC es similar al RDP, pero la VNC funciona en varios sistemas operativos y se conecta directamente al ordenador remoto en lugar de hacerlo a través de un servidor.

La WAM es la predecesora de la IAM, utilizada en la década de 1990 y a principios de los 2000. Las soluciones WAM ofrecían control y gobernanza sobre el acceso de los usuarios a los recursos web que se hospedaban localmente en centros de datos empresariales. Como las herramientas WAM no pudieron adaptarse a la llegada de la computación en la nube, a la movilidad, a las API y al acceso remoto, se reemplazaron por soluciones IAM más robustas.

WebAuthn (autenticación web) es una API basada en la web publicada por el World Wide Web Consortium (W3C) y un componente clave del conjunto de especificaciones de FIDO2. WebAuthn permite a las páginas web actualizar sus páginas de inicio de sesión para añadir una autenticación basada en FIDO en los navegadores y plataformas compatibles.

Es un lenguaje estructurado aprovechado por las soluciones IAM compatible con el control de accesos basado en atributos (ABAC), el control de accesos basado en políticas (PBAC) y otros mecanismos de autorización muy complejos que conceden derechos de acceso según un conjunto de atributos de usuario granulares que funcionan en conjunto.

Es un modelo de seguridad que utiliza un cifrado único y un marco de segregación de datos que protege de las filtraciones de datos remotas al asegurar que los proveedores de servicios de TI no tienen ningún conocimiento sobre los datos de los clientes que se almacenan en sus servidores.

En un entorno de conocimiento cero, los datos se cifran y descifran en el dispositivo, no en el servidor. Este servidor nunca recibe o almacena datos en texto plano y el proveedor de servicios de TI no puede acceder a las claves de cifrado del cliente. Como resultado, únicamente el cliente puede acceder a los datos cifrados, ni siquiera los propios empleados del proveedor de servicios de TI.

Keeper Security es un proveedor de seguridad de conocimiento cero. Los datos se cifran en el dispositivo del usuario antes de transmitirlos y almacenarlos en el almacén digital de Keeper. Cuando los datos se sincronizan en otro dispositivo, permanecen cifrados hasta que se descifran en otro dispositivo. En Keeper no podemos acceder a las contraseñas principales de nuestros clientes ni tampoco a sus claves cifradas de acceso utilizadas para descifrar sus datos.

Es un marco de IAM moderno que asume que todos los usuarios y dispositivos podrían verse comprometidos y que todo el mundo, tanto personas como máquinas, deben verificarse antes de acceder a la red y deben tener un acceso de mínimo privilegio a los recursos de red.

El acceso de red de confianza cero (ZTNA) es un marco de seguridad de red centrado en el mantenimiento de estrictos controles de acceso y mecanismos de autenticación, independientemente de si el usuario o dispositivo se ubica dentro o fuera del perímetro de la red.

Las credenciales detectables, también conocidas como claves residente, permiten a la API de WebAuthn ofrecer una MFA de alta seguridad con una experiencia de inicio de sesión sin contraseñas.

En una configuración de autenticación "tradicional", las credenciales del usuario se almacenan en el servidor del usuario de confianza. Esto hace que sea necesario para el servidor devolver las credenciales al autenticador antes de que este pueda descifrarlas y usarlas. Además, el usuario tiene que introducir el nombre de usuario, y normalmente también una contraseña, para verificar su identidad.

En la configuración de una credencial detectable, la clave privada del usuario y los metadatos asociados se almacenan en el autenticador en lugar de en el servidor del usuario de confianza. Durante el proceso de registro inicial, el servidor del usuario de confianza genera un controlador de usuario que contiene un identificador único. Este controlador de usuario, junto con la clave privada, se almacena en el autenticador.

Después, durante el proceso de autenticación, el autenticador devuelve el controlador de usuario y permite que el servidor busque al usuario asociado para que el usuario no tenga que introducir su nombre de usuario para iniciar sesión. Si el autenticador también acepta un número PIN o la verificación biométrica, el usuario de confianza obtiene una MFA de alta seguridad en un solo paso de inicio de sesión y sin tener que transmitir ninguna contraseña.

La atestación hace referencia al hecho de probar algo. El conjunto de especificaciones de seguridad de FIDO 2.0 usa la atestación para proporcionar una prueba criptográfica del modelo de autentificación al usuario de confianza, desde la cual el usuario de confianza puede entonces derivar las características de seguridad del autenticador.

En FIDO 2.0, las declaraciones de la atestación están vinculadas a los datos contextuales. Los datos se observan y añaden a medida que la solicitud de firma pasa del servidor al autenticador. Para verificar una firma, el servidor comprueba los datos que recibe con los valores esperados.

En el contexto de FIDO 2.0, un usuario de confianza es una página web o cualquier otra entidad que utiliza el protocolo FIDO para autenticar usuarios directamente.

En aquellos casos en los que FIDO se combina con protocolos de gestión de identidades federales, como SAML y OpenID Connect, el proveedor de identidades también es un usuario de confianza de FIDO.