IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

PAM: por qué las cuentas privilegiadas son otro juego

14/07/2026 4 min de lectura Rubén Espinoza

No todas las cuentas valen lo mismo. La de un vendedor que se compromete es un problema; la de un administrador de dominio que se compromete es el fin de la partida. Las cuentas privilegiadas —administradores de sistemas, de la nube, de bases de datos, root— son las llaves maestras de la organización, y por eso son el objetivo que todo atacante persigue. Gestionarlas con las mismas reglas que a una cuenta normal es como guardar las llaves de la bóveda en el mismo cajón que las del baño. PAM —gestión de acceso privilegiado— es el régimen aparte que merecen.

Por qué las cuentas privilegiadas son otro juego

Una cuenta de administrador no solo puede hacer más: puede borrar el rastro, crear otras cuentas, apagar defensas y moverse por todo el entorno. Cuando un atacante entra con una cuenta normal, su primer objetivo es casi siempre escalar hacia una privilegiada, porque ahí está el poder real. Y como vimos, comprometer al administrador de Active Directory es ganar el juego completo. El daño potencial de estas cuentas es tan desproporcionado que el mínimo privilegio por sí solo no basta: necesitan controles propios.

El primer control, y el más ignorado: cuentas separadas

La regla más básica de PAM, y la que más se incumple: un administrador no navega, no lee correo ni abre adjuntos con su cuenta privilegiada. Debe tener dos identidades —una normal para el trabajo diario y una administrativa solo para tareas administrativas—. ¿Por qué? Porque si abre un correo con malware desde su cuenta de máximo poder, ese malware hereda ese poder al instante. La cantidad de brechas graves que empiezan por un administrador revisando su correo con la cuenta equivocada es deprimente —y totalmente evitable—.

Las prácticas que definen PAM

  • Bóveda de credenciales (vaulting): las contraseñas privilegiadas no las sabe el administrador de memoria ni viven en una hoja de cálculo; se guardan en una bóveda que las entrega bajo control y las rota automáticamente tras cada uso.
  • Acceso justo a tiempo (JIT): en vez de tener privilegios permanentes ("standing access"), el administrador los recibe solo cuando los necesita y por un tiempo limitado, y se le retiran solos. Una cuenta que no es admin las 24 horas es una cuenta mucho menos útil de robar.
  • Grabación y monitoreo de sesión: lo que se hace con una cuenta privilegiada queda registrado, para auditar y para investigar si algo sale mal.

El modelo por niveles (tiering)

Las organizaciones maduras separan sus sistemas en niveles (tiers) y prohíben que las credenciales crucen entre ellos. En el modelo de Microsoft, el Tier 0 es todo lo que controla la identidad misma —los controladores de dominio, el servidor de sincronización a la nube—; el Tier 1, los servidores y aplicaciones; el Tier 2, las estaciones de trabajo. La regla de oro: una credencial de Tier 0 jamás se usa en un equipo de Tier 2, porque bastaría una estación infectada para robarla y llegar a la corona. Suena estricto; es exactamente lo que evita que un clic desafortunado en una laptop termine en control total del dominio.

Cómo empezar sin comprar una plataforma cara

Un mito frena a muchas empresas: creer que PAM es un producto caro que hay que licenciar antes de hacer nada. La verdad es que los primeros pasos —y los de mayor retorno— no cuestan una licencia, solo disciplina. Empieza por lo básico: inventariar qué cuentas privilegiadas existen (casi siempre hay más de las que nadie recuerda), separar las cuentas administrativas de las de uso diario, eliminar el privilegio permanente que no se justifica —esa cuenta que es administrador de dominio "por si acaso"— y dejar de compartir contraseñas de administrador entre varias personas. Una plataforma de bóveda y acceso justo a tiempo llega después, cuando la higiene básica ya está puesta. Comprar la herramienta antes de ordenar las cuentas es pavimentar el caos.

Diagrama del modelo de niveles: Tier 0 la identidad, Tier 1 servidores, Tier 2 estaciones, con la regla de que las credenciales no cruzan

El modelo por niveles: Tier 0 (la identidad) arriba, Tier 1 (servidores) y Tier 2 (estaciones). Una credencial Tier 0 jamás se usa en un equipo Tier 2.

La idea que se queda

PAM reconoce una verdad incómoda: unas pocas cuentas concentran casi todo el riesgo, y merecen un régimen propio —cuentas separadas, bóveda con rotación, acceso justo a tiempo y niveles que las credenciales no cruzan—. No es paranoia; es proporción. Es el candado reforzado de la identidad como perímetro, y de las inversiones de seguridad con mejor retorno que existen. Vigilar quién usa esas llaves, y cuándo, es parte de lo que hace un NOC/SOC administrado.

#pam #cuentas privilegiadas #jit #tiering #tier 0 #identidad

Preguntas frecuentes

¿Qué es PAM (gestión de acceso privilegiado)?

Es el conjunto de controles específicos para las cuentas privilegiadas —administradores de sistemas, de la nube, de bases de datos, root—, que son las llaves maestras de la organización. A diferencia de una cuenta normal, una privilegiada puede borrar rastros, crear otras cuentas, apagar defensas y moverse por todo el entorno, así que su daño potencial es desproporcionado. PAM les da un régimen aparte: cuentas separadas, bóveda de credenciales con rotación, acceso justo a tiempo y monitoreo, porque el mínimo privilegio por sí solo no basta para ellas.

¿Por qué un administrador debe tener dos cuentas separadas?

Porque si usa su cuenta privilegiada para navegar, leer correo o abrir adjuntos y algo trae malware, ese malware hereda al instante el máximo poder de esa cuenta. La regla básica de PAM es que el administrador tenga una identidad normal para el trabajo diario y una administrativa que use solo para tareas administrativas. Una cantidad enorme de brechas graves empieza por un administrador revisando su correo con la cuenta equivocada, y es totalmente evitable.

¿Qué es el modelo de niveles o tiering en seguridad de identidad?

Es separar los sistemas en niveles y prohibir que las credenciales crucen entre ellos. En el modelo de Microsoft, el Tier 0 es todo lo que controla la identidad misma (controladores de dominio, el servidor de sincronización a la nube), el Tier 1 son los servidores y aplicaciones, y el Tier 2 las estaciones de trabajo. La regla de oro es que una credencial de Tier 0 jamás se usa en un equipo de Tier 2, porque bastaría una estación infectada para robarla y llegar al control total. Es lo que evita que un clic desafortunado en una laptop termine en control del dominio.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Entra ID (ex Azure AD): por qué no es "el Active Directory en la nube"
IAM en cristiano: RBAC, mínimo privilegio y el ciclo joiner-mover-leaver
Identidad híbrida: Active Directory y Entra ID conviviendo sin romperse