IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

CIS Control 5: Gestión de cuentas, cada usuario olvidado es una llave perdida

14/07/2026 3 min de lectura Rubén Espinoza

El quinto Control CIS trata las cuentas de usuario como lo que son: llaves de tu organización. Cada cuenta es un acceso, y una cuenta que existe pero que nadie controla es una llave perdida que cualquiera podría encontrar. El Control 5 pide gestionar el ciclo de vida completo de las cuentas: saber cuáles existen, para quién, y cerrarlas cuando dejan de necesitarse. Suena obvio; el desorden de cuentas es una de las causas más comunes de compromiso.

El problema de las cuentas fantasma

La escena típica: un empleado se va, y su cuenta sigue activa meses o años después. O una cuenta genérica compartida (ese "admin" o "recepcion" que usan varios) cuya contraseña conocen diez personas y que nadie sabe quién usó de verdad. O credenciales de un proveedor que terminó su trabajo hace un año. Cada una de estas es una cuenta huérfana: un acceso válido sin un dueño que responda por él. Los atacantes las adoran, porque usar una credencial legítima olvidada levanta muchas menos sospechas que forzar la entrada. La cuenta del ex empleado que nadie deshabilitó es un clásico de las investigaciones de incidentes.

Qué pide en la práctica

  • Un inventario de cuentas: saber qué cuentas existen, a quién pertenecen y qué acceso tienen. Incluye las de administrador y las de servicio, no solo las de personas.
  • Gestión del ciclo de vida (el flujo joiner-mover-leaver): crear el acceso cuando alguien entra, ajustarlo cuando cambia de rol, y revocarlo el día que se va. Ese último punto es donde más se falla.
  • Eliminar o deshabilitar cuentas inactivas y evitar las genéricas compartidas: cada persona, su cuenta, para saber quién hizo qué.
  • Cuidado especial con las cuentas privilegiadas, que son las llaves maestras.

El aterrizaje honesto

Este control es hermano del Control 6 (control de acceso): el 5 se ocupa de qué cuentas existen, el 6 de qué pueden hacer. Y ambos son la cara operativa de la gestión de identidades (IAM), uno de los temas que más desarrollamos en este blog porque la identidad es el verdadero perímetro de la seguridad moderna. El aterrizaje práctico empieza por una auditoría incómoda: listar todas las cuentas y preguntarse, una por una, "¿esta de quién es y sigue haciendo falta?". Las respuestas suelen incluir varias sorpresas, y cada cuenta huérfana que cierras es una llave que recuperas.

#ciberseguridad #cis #cuentas #identidad

Preguntas frecuentes

¿Qué tiene de malo una cuenta genérica compartida como "recepcion"?

Dos problemas graves: nadie responde individualmente por ella (si pasa algo, no sabes quién fue) y su contraseña la conocen varias personas, así que sigue viva cuando alguna se va y es difícil de cambiar sin afectar a todos. Además complican aplicar autenticación fuerte. Lo recomendable es una cuenta por persona, para tener responsabilidad individual y poder revocar accesos limpiamente.

¿Por qué es tan riesgosa la cuenta de un ex empleado que sigue activa?

Porque es un acceso legítimo y conocido que ya nadie supervisa. La persona que se fue (o cualquiera que consiga esas credenciales) puede entrar sin levantar las sospechas que causaría un intento de intrusión externo. Es uno de los vectores más explotados en incidentes reales. Por eso revocar el acceso el mismo día de la baja es una de las prácticas de seguridad más importantes y más incumplidas.

¿Qué son las cuentas de servicio y por qué también hay que gestionarlas?

Son cuentas que usan los sistemas y aplicaciones para operar entre sí, no personas. Se olvidan fácilmente porque no tienen un usuario humano, pero suelen tener privilegios amplios y contraseñas que rara vez cambian, lo que las hace un objetivo atractivo. Deben inventariarse, limitarse a lo mínimo que necesitan y gestionarse con el mismo rigor que las cuentas de personas, o más.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)