El departamento de tecnología de la información (TI) tiene un pequeño secreto sucio del que voy a hablarte. Pero primero, déjame preguntarte: ¿Qué te dijeron siempre que no hicieras con tu contraseña? Apuesto a que lo primero que te dijeron fue «No lo apuntes». Y en segundo lugar, «No lo compartas». Porque si lo compartes, entonces no sabremos quién está realmente conectado. Ahora, el pequeño secreto sucio: ¿Qué crees que hacen con sus cuentas más confidenciales? Lo que llamamos cuentas privilegiadas como root, sysadmin, administradores de bases de datos, y cosas así. Aquí está el pequeño secreto sucio: las comparten. No todas las organizaciones, pero muchas sí. Tienen un caso de uso diferente con el que intentan lidiar. En tu caso, eres una persona aquí y te estás conectando a tal vez un par de sistemas diferentes. Y así, tienes tu contraseña y debes mantenerla en tu cabeza y no compartirla. Y te conectas y ya está. Bueno, en su caso, tienen muchos usuarios. Tal vez tienen, en este ejemplo ficticio, cinco usuarios privilegiados que necesitan iniciar sesión en tal vez 100 de estos servidores diferentes. Ahora, si tuvieran contraseñas únicas, serían 500 contraseñas que deben recordar y administrar. Eso es un problema. Entonces, en lugar de tener esto donde se conectan por separado con contraseñas separadas y únicas, establecen una contraseña para todos ellos. La comparten entre los usuarios privilegiados y les dicen «No se lo digas a nadie». Pero de hecho, están compartiendo. Bueno, ahora sabemos intuitivamente que eso es lo incorrecto. Este consejo que te dieron es el consejo correcto. Simplemente no lo están siguiendo. Y la razón por la que no lo están siguiendo es por esto.
Una mejor solución para proteger cuentas privilegiadas
Ahora, ¿qué podrían hacer que fuera mejor? Te sugeriré una solución mejor, que es que los administradores inicien sesión, no directamente en estos sistemas con sus contraseñas, sino que en realidad inserten una capa intermedia. Llamémosle sistema de gestión de acceso privilegiado (PAM, por sus siglas en inglés). Y lo que hace el sistema PAM es que los usuarios se conectan directamente al sistema PAM y utilizan algo como, de lo que hablé en un video anterior, autenticación multifactor. Por tanto, no solo una contraseña. De hecho, tal vez ni siquiera una contraseña, sino que usaríamos algo que tienes, como un teléfono o algo así, que esté pre-registrado, algo que eres, como una biometría que reconozca tu rostro. Entonces, utilizaremos una forma de autenticación multifactor sólida para saber que estos usuarios privilegiados son quienes dicen ser, y luego el sistema mantendrá las contraseñas únicas y en constante cambio para todos los sistemas a los que necesitan iniciar sesión. Así que obtendrán las credenciales para iniciar sesión en un sistema sin ni siquiera saber cuáles son esas contraseñas. Realizarán su trabajo y, cuando terminen, devolverán la cuenta. Y una vez que eso se haya hecho, la contraseña se cambiará literalmente. Por lo tanto, ni siquiera podrán volver a usar esa misma contraseña. No hay reutilización y, por lo tanto, no hay compartición en este caso. Ahora siempre sabemos cuál de las cinco personas estaba conectada a este sistema en un momento particular. Y en un buen sistema PAM también agregaremos una capa de supervisión y control adicional. Con eso, veremos todas las cosas que esos usuarios escriban durante su sesión. Es un sistema de monitoreo digital y reproducción. Y una vez que tengamos ese nivel de supervisión, ahora tenemos una solución mucho más sólida. Entonces, si el departamento de TI sigue su propio consejo y no comparte contraseñas y utiliza un sistema PAM, pueden obtener una solución de seguridad mucho más fuerte que también es más fácil para sus usuarios finales, los usuarios privilegiados, porque ahora tienen una solución que incluye autenticación multifactor, es más segura, más fácil y tenemos la supervisión y control para garantizar que sea una solución mejor en todos los sentidos.
Resumen del artículo
A continuación, se muestra un resumen de los puntos clave discutidos en este artículo:
| Puntos clave |
|---|
| El departamento de TI comparte contraseñas de cuentas privilegiadas. |
| La recomendación de no compartir contraseñas es correcta. |
| La solución propuesta es utilizar un sistema de gestión de acceso privilegiado (PAM). |
| El sistema PAM permite la autenticación multifactor y el mantenimiento de contraseñas únicas y cambiantes. |
| El sistema PAM también proporciona una capa de supervisión y control adicional. |
Preguntas frecuentes
A continuación, se responden algunas preguntas frecuentes relacionadas con el tema:
- ¿Por qué los departamentos de TI comparten contraseñas?
- En muchos casos, los departamentos de TI comparten contraseñas debido a la dificultad de administrar contraseñas únicas para múltiples usuarios y sistemas.
- ¿Cómo funciona un sistema de gestión de acceso privilegiado (PAM)?
- Un sistema PAM actúa como una capa intermedia entre los usuarios y los sistemas, proporcionando autenticación multifactor y manteniendo contraseñas únicas que se cambian constantemente.
- ¿Qué beneficios ofrece un sistema PAM?
- Un sistema PAM ofrece mayor seguridad al garantizar contraseñas únicas y de cambio constante, autenticación multifactor y supervisión y control adicionales.
Gracias por leer este artículo. Por favor, no dudes en consultar nuestros artículos relacionados para obtener más información relevante en el campo de la ciberseguridad. ¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!