No todas las cuentas valen lo mismo. La de un vendedor que se compromete es un problema; la de un administrador de dominio que se compromete es el fin de la partida. Las cuentas privilegiadas —administradores de sistemas, de la nube, de bases de datos, root— son las llaves maestras de la organización, y por eso son el objetivo que todo atacante persigue. Gestionarlas con las mismas reglas que a una cuenta normal es como guardar las llaves de la bóveda en el mismo cajón que las del baño. PAM —gestión de acceso privilegiado— es el régimen aparte que merecen.
Por qué las cuentas privilegiadas son otro juego
Una cuenta de administrador no solo puede hacer más: puede borrar el rastro, crear otras cuentas, apagar defensas y moverse por todo el entorno. Cuando un atacante entra con una cuenta normal, su primer objetivo es casi siempre escalar hacia una privilegiada, porque ahí está el poder real. Y como vimos, comprometer al administrador de Active Directory es ganar el juego completo. El daño potencial de estas cuentas es tan desproporcionado que el mínimo privilegio por sí solo no basta: necesitan controles propios.
El primer control, y el más ignorado: cuentas separadas
La regla más básica de PAM, y la que más se incumple: un administrador no navega, no lee correo ni abre adjuntos con su cuenta privilegiada. Debe tener dos identidades —una normal para el trabajo diario y una administrativa solo para tareas administrativas—. ¿Por qué? Porque si abre un correo con malware desde su cuenta de máximo poder, ese malware hereda ese poder al instante. La cantidad de brechas graves que empiezan por un administrador revisando su correo con la cuenta equivocada es deprimente —y totalmente evitable—.
Las prácticas que definen PAM
- Bóveda de credenciales (vaulting): las contraseñas privilegiadas no las sabe el administrador de memoria ni viven en una hoja de cálculo; se guardan en una bóveda que las entrega bajo control y las rota automáticamente tras cada uso.
- Acceso justo a tiempo (JIT): en vez de tener privilegios permanentes ("standing access"), el administrador los recibe solo cuando los necesita y por un tiempo limitado, y se le retiran solos. Una cuenta que no es admin las 24 horas es una cuenta mucho menos útil de robar.
- Grabación y monitoreo de sesión: lo que se hace con una cuenta privilegiada queda registrado, para auditar y para investigar si algo sale mal.
El modelo por niveles (tiering)
Las organizaciones maduras separan sus sistemas en niveles (tiers) y prohíben que las credenciales crucen entre ellos. En el modelo de Microsoft, el Tier 0 es todo lo que controla la identidad misma —los controladores de dominio, el servidor de sincronización a la nube—; el Tier 1, los servidores y aplicaciones; el Tier 2, las estaciones de trabajo. La regla de oro: una credencial de Tier 0 jamás se usa en un equipo de Tier 2, porque bastaría una estación infectada para robarla y llegar a la corona. Suena estricto; es exactamente lo que evita que un clic desafortunado en una laptop termine en control total del dominio.
Cómo empezar sin comprar una plataforma cara
Un mito frena a muchas empresas: creer que PAM es un producto caro que hay que licenciar antes de hacer nada. La verdad es que los primeros pasos —y los de mayor retorno— no cuestan una licencia, solo disciplina. Empieza por lo básico: inventariar qué cuentas privilegiadas existen (casi siempre hay más de las que nadie recuerda), separar las cuentas administrativas de las de uso diario, eliminar el privilegio permanente que no se justifica —esa cuenta que es administrador de dominio "por si acaso"— y dejar de compartir contraseñas de administrador entre varias personas. Una plataforma de bóveda y acceso justo a tiempo llega después, cuando la higiene básica ya está puesta. Comprar la herramienta antes de ordenar las cuentas es pavimentar el caos.
El modelo por niveles: Tier 0 (la identidad) arriba, Tier 1 (servidores) y Tier 2 (estaciones). Una credencial Tier 0 jamás se usa en un equipo Tier 2.
La idea que se queda
PAM reconoce una verdad incómoda: unas pocas cuentas concentran casi todo el riesgo, y merecen un régimen propio —cuentas separadas, bóveda con rotación, acceso justo a tiempo y niveles que las credenciales no cruzan—. No es paranoia; es proporción. Es el candado reforzado de la identidad como perímetro, y de las inversiones de seguridad con mejor retorno que existen. Vigilar quién usa esas llaves, y cuándo, es parte de lo que hace un NOC/SOC administrado.