Obtener acceso a las cuentas privilegiadas de una empresa es como conseguir las «llaves del reino» para los ciberdelincuentes. De hecho, este tipo de cuentas están involucradas en el 80% de las brechas de seguridad. Y es que, hackear las cuentas de un superusuario permite a estos criminales robar, manipular o eliminar datos, acceder a sistemas críticos y, en general, causar estragos en cualquier organización. Y, lo que es peor, también les permite ocultar su rastro creando sus propias cuentas para dificultar aún más la detección de la intromisión.

Las contraseñas débiles o robadas son la forma de acceso a cuentas privilegiadas más habitual para los ciberdelincuentes. Pero para poder descifrar u obtener una contraseña, primero necesitan realizar un trabajo previo de reconocimiento. Los hackers pueden llegar a dedicar hasta el 90% de su tiempo a buscar una posible empresa objetivo, entrar en las cuentas de redes sociales de los empleados clave y usar el dorking de Google para encontrar debilidades en los sitios web. Una vez conseguido, a través del uso de plantillas y datos personales, -bien de la organización o bien de proveedores externos-, los ciberdelincuentes envían un correo electrónico de apariencia auténtica a una serie de empleados seleccionados, que previamente han identificado como un objetivo fácil. En este correo, los delincuentes de la red le piden a la víctima que haga clic en un enlace y escriba sus credenciales, que en realidad son recogidas por el ciberatacante. Y una vez conseguidas, las usan para hacerse pasar por un miembro oficial del personal de la compañía y explorar el entorno de TI, bajo el disfraz de un empleado legítimo.

Este tipo de ataques realizados en redes corporativas con una seguridad deficiente, significa que los ciberdelincuentes están a solo unos pasos de conseguir un acceso privilegiado. Porque el proceso de escalar privilegios es más fácil si los ciberdelincuentes acceden a organizaciones donde la mayoría de los empleados tienen derechos de administrador local, algo que no es infrecuente. O incluso, en aquellas que otorgan derechos de administrador completos a empleados que no los necesitan o que tienen poco conocimiento sobre cómo proteger su información. Y, en tales escenarios, una vez que los delincuentes tienen las credenciales de estas cuentas relativamente desprotegidas, ya han conseguido el acceso a cuentas privilegiadas.

La importancia de conocer los niveles de madurez en la gestión de accesos privilegiados

En un esfuerzo por detener este proceso delictivo para acceder a las cuentas privilegiadas, muchas organizaciones implementan soluciones de gestión de accesos privilegiados o PAM para reducir el riesgo de que las cuentas privilegiadas se vean comprometidas y, al mismo tiempo, mejorar la agilidad comercial y la eficiencia operativa. Para ayudar a las organizaciones a comprender cómo de maduras son sus prácticas de seguridad PAM y dónde deberían estar, existen cuatro niveles de madurez:

• El analógico o manual es el nivel más bajo de seguridad PAM. Este nivel ofrece muy poca protección, a veces sólo cumple con la verificación. Una organización está operando en este nivel si usa contraseñas predeterminadas, tiene pocos requisitos de complejidad de contraseñas y no tiene rotación. En este nivel, el seguimiento de contraseñas y credenciales se registra en papel o incluso en una hoja de cálculo. Además, es probable que la organización tenga poca idea de cuántas cuentas privilegiadas tiene o quién tiene acceso.

• El siguiente nivel es el básico. En esta etapa de madurez, una organización ya se ha desarrollado lo suficiente como para comenzar a usar autenticación multifactor, contraseñas no predeterminadas y almacenamiento de contraseñas. También debe contar con una detección de cuentas privilegiadas de forma automatizada, para conocer qué hay en su sistema y quién tiene acceso.

• Para llegar a la madurez avanzada, una organización debe haber realizado una serie de comprobaciones e implementado algunas medidas. Como por ejemplo, la ofuscación de contraseñas, proxy de sesión privilegiado, privilegios mínimos y control de aplicaciones. Otro tipo de medidas para detectar cualquier actividad inusual también deben incluir protocolos de cuatro ojos, monitoreo de sesiones, actividad privilegiada inmutable y auditoría.

• Y, por último, se encuentra el nivel de inteligencia adaptativa, que es el pináculo de la madurez PAM. En esta etapa, las organizaciones emplean la detección y corrección de anomalías automatizadas, la gestión automatizada del ciclo de vida de la cuenta con privilegios y la gestión de acceso con privilegios del flujo de trabajo de DevOps.

¿Cómo hacer madurar a tu empresa?

A pesar de que una gran mayoría de organizaciones ya implementan algún tipo de solución PAM, todavía queda mucho camino por recorrer. Es cierto que en este último año, la demanda de soluciones de gestión de accesos e identidades privilegiadas ha aumentado tanto en España como en todo el mundo, como consecuencia de las nuevas necesidades surgidas tras la Covid-19. Pero para crear una estrategia de PAM madura, las organizaciones deben aplicar un modelo de seguridad que vaya cumpliendo etapas, que comience con la propia definición de cuenta privilegiada, seguida de la identificación de todas las cuentas privilegiadas existentes en la red.

Una vez que se conocen estas cuentas, se debe aplicar la política de «privilegios mínimos», junto con la rotación de contraseñas, auditoría, análisis, gestión y seguimiento de la actividad de las sesiones con privilegios individuales. Además, las compañías también necesitan una supervisión en tiempo real de sus cuentas privilegiadas para detectar cualquier actividad inusual, que luego debe alinearse con un plan de respuesta a incidentes. Y finalmente, realizar la revisión y auditoría automatizadas del acceso privilegiado para ayudar a rastrear las posibles causas de los incidentes de seguridad.

Prevenir los ciberataques no es fácil, pero es posible hacerlo con una estrategia de seguridad adecuada, teniendo en cuenta las necesidades y el tipo de empresa. El nivel de madurez de las soluciones de gestión de acceso privilegiado es un indicador que permite a las compañías saber el nivel de protección con el que cuentan. Y, hoy en día, con la alta proliferación de ciberataques que estamos viviendo, este tipo de soluciones se han convertido en los nuevos cortafuegos de las empresas. Es por tanto fundamental conocer si el modelo y el nivel de seguridad es el adecuado, porque esto puede evitar graves ciberataques en muchas empresas.

 

 

Carlos Ferro, Vicepresidente de Thycotic para el Sudeste de Europa, Medio Oriente y África