Para aquellos de nosotros que tenemos la costumbre de asistir a las noticias de la noche, cada día a menudo parece el más del mismo: "Infracción importante de datos de Compañía A, detalles a continuación." Y luego se pregunta: "¿podría pasar esto a mi organización?"
Bueno, puede y probablemente lo hará si no toma las precauciones adecuadas lo antes posible. Asegurar controles de acceso sólidos en torno a los recursos de información de su organización podría evitar muchas de las infracciones que se producen hoy en día. Más importante aún, debe controlar el acceso a sus cuentas privilegiadas. Estas cuentas gobiernan los activos de información más importantes de su organización. En las manos equivocadas, sus cuentas privilegiadas representan su mayor amenaza.
Los ataques cibernéticos más dañinos ocurren cuando se roban credenciales privilegiadas, dando a los atacantes el mismo nivel de acceso que los empleados internos que administran sus sistemas de información. Esto pone a su organización a merced de las intenciones nefastas de los atacantes.
Credencial Privilegiada de Seguridad y Compliance
La gestión segura de sus contraseñas privilegiadas es esencial para controlar el acceso a sus cuentas más importantes. La seguridad de contraseñas privilegiadas (también llamada administración de contraseñas privilegiadas) es un tipo de gestión de contraseña que se usa para asegurar las credenciales de las ID de inicio de sesión que poseen privilegios de seguridad elevados.
Hoy en día, es esencial implementar y hacer cumplir las políticas de protección de contraseña, no solo para evitar el acceso no autorizado, sino también para cumplir con una creciente letanía de mandatos de cumplimiento. Los controladores internos, regulatorios y de cumplimiento de una organización variarán según la industria y el mercado específicos. Algunas regulaciones importantes que afectan a muchas organizaciones incluyen (por nombrar algunas):
- Sarbanes Oxley (SOX), que afecta a todas las empresas públicas en los Estados Unidos e internacionalmente. Las auditorías de SOX se centran en cómo la empresa puede proteger y asegurar la exactitud completa de las informaciones financieras y su divulgación.
- Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS): aunque no es una regulación impulsada por el gobierno, PCI-DSS aplica estándares en todas las organizaciones que almacenan, procesan y / o transmiten datos de titulares de tarjetas.
- La Ley Gramm-Leach Bliley (GLBA) exige que las "instituciones financieras" proporcionen una protección adecuada a los datos de los clientes.
Actualización de prácticas de gestión de contraseñas privilegiadas para enfrentar las amenazas modernas
Si bien la protección de las credenciales privilegiadas ha sido una preocupación durante muchos años, las prácticas tradicionales de seguridad de contraseñas eran manuales e inmaduras. Algunas de las tácticas comunes de administración de contraseñas incluyen:
- Físicamente almacenando y controlando contraseñas. Puedo recordar cuando las contraseñas privilegiadas se escribieron en un papel, se sellaron en un sobre y se guardaron en una caja fuerte, con un custodio que controla el acceso. Esta solución basada en el proceso se denominó "firecall ID".
- Usando una aplicación para almacenar y controlar la contraseña. Las contraseñas privilegiadas se almacenaron en un documento de Excel, Word o base de datos hasta que se necesitaran.
Estos métodos tenían algunos problemas obvios. El método del sobre es imposible de escalar y es totalmente manual, lo que requiere un proceso para garantizar que se mantenga un inventario preciso. Las soluciones basadas en aplicaciones no fueron diseñadas para la confianza, y sufrieron problemas de seguridad asociados con el almacenamiento y el acceso.
A continuación, surgieron varias soluciones comerciales basadas en tecnología:
- Las soluciones de administración de identidad, que intentan reducir la cantidad de contraseñas que uno debe administrar al permitir que la tecnología cree una asignación de una credencial única a múltiples credenciales. Sin embargo, estas soluciones no abordan el problema de las cuentas administrativas compartidas. Debido a que las cuentas compartidas no son "propiedad" de ninguna persona, no hay forma de reducir el número de ID requeridas.
- Herramientas de restablecimiento de contraseña, que intentan permitir a los usuarios restablecer una contraseña desconocida utilizando una contraseña conocida. Esto podría ayudar hipotéticamente con el problema de las cuentas administrativas compartidas, ya que la cuenta de administrador podría generar una nueva contraseña cuando sea necesario. Sin embargo, este enfoque requiere que el sistema de destino funcione en el modo normal de múltiples usuarios con acceso a la red. En muchos casos, la cuenta administrativa compartida es necesaria para restaurar un sistema que ha dejado de funcionar normalmente.
- Las herramientas de almacenamiento de contraseñas, que ofrecen una alternativa a los sobres, pero no abordan el problema de administrar la cuenta en el sistema de destino. Al resolver parte del problema, eliminan la mayoría de los procesos manuales necesarios para actualizar y administrar la cuenta de destino.
Seis consejos para proteger sus contraseñas privilegiadas
Cuando se trata de garantizar una protección sólida para sus credenciales privilegiadas, aplique estos seis consejos:
Consejo 1: Utilice la autenticación de 2 factores (2FA) o la autenticación de múltiples factores (MFA)
Una contraseña es un único factor de autenticación. El tipo de cuenta o información que la contraseña está protegiendo debe determinar qué controles de seguridad adicionales puede necesitar. Para cuentas privilegiadas, 2FA de MFA siempre debe usarse junto con una contraseña.
Consejo 2: Crear contraseñas largas, fuertes y complejas
La fortaleza de una contraseña se reduce a la facilidad con la que alguien puede adivinar su contraseña mediante el uso de fuerza bruta o ataques de craqueo. Por lo tanto, cuando cree una contraseña, hágala única y que no sea fácil de adivinar. Haga que sus contraseñas tengan al menos 8 caracteres, pero cuanto más largas, mejor. Además, le recomiendo que considere usar frases de contraseña, que son una combinación de palabras que conoce y solo algunos caracteres especiales como ?% & @!), En lugar de contraseñas. Una frase de contraseña larga y sólida combinada con 2FA será la mejor protección para sus cuentas. Para obtener más reglas sobre cómo crear credenciales privilegiadas robustas, consulte esta infografía.
Consejo 3: utilizar un administrador de contraseñas
Si tiene muchas cuentas y contraseñas para proteger, debe usar un administrador de contraseñas para protegerlas. Un administrador de contraseñas ayuda a rastrear la “edad” de cada contraseña, le permite saber qué controles de seguridad adicionales se han aplicado y le ayuda a generar contraseñas complejas para todas sus cuentas. Con el administrador de contraseñas, solo necesita recordar una contraseña segura.
Consejo 4: use cifrado y no confíe en nadie
Incluso si usa contraseñas o frases de contraseña seguras, sigue siendo una práctica de seguridad responsable cifrar su información crítica. Además, no confíe a nadie con sus contraseñas. Incluso las personas más confiables.
Consejo 5: edad de la contraseña
Establece un ciclo de alteración dinámica regular para sus contraseñas. La mejor práctica para las contraseñas de sistemas es rotar las contraseñas con la frecuencia que se requiera. Una gestión de contraseñas puede permitirle automatizar fácilmente este proceso. Mi recomendación es rotar las contraseñas al menos entre 6 y 9 meses. Sin embargo, cuanto más sensible sea la contraseña, con más frecuencia debe rotarla.
Consejo 6: Utilice una solución de administración de contraseña privilegiada
Finalmente, este es mi consejo MÁS IMPORTANTE para usted. Con una solución de gestión de contraseñas privilegiadas, puede crear, compartir y cambiar automáticamente las contraseñas de la empresa. Puede asignar permisos de usuario en cualquier nivel y hacer un seguimiento del uso de la contraseña con informes de auditoría completos. La administración de cuentas privilegiadas, también conocida como PAM, se puede utilizar para mejorar la información sobre las evaluaciones de vulnerabilidad, el análisis de inventario de la red de TI, la seguridad del entorno virtual, la administración y el gobierno de la identidad, y los análisis de comportamiento. Si presta mucha atención a la seguridad de su cuenta privilegiada, podrá proteger su organización de la manera más eficiente y efectiva posible.
Conclusiones
A medida que las regulaciones y auditorías de cumplimiento continúan expandiéndose, la tolerancia para las soluciones manuales o basadas en procesos para la administración y el control de cuentas y contraseñas privilegiadas se vuelve cada vez más insostenible. Los sistemas PAM sin duda harán que su organización sea más segura. Haga esto ahora, porque es realmente una cuestión de cuándo, no si, se verán comprometidas sus cuentas privilegiadas.
Para profundizar en los aspectos básicos de la administración de contraseñas privilegiadas, vea mi webinar: Privileged Password Management 101: Laying the foundation for success.

Derek A. Smith, Founder, National Cybersecurity Education Center
Derek A. Smith is an expert at cybersecurity, cyber forensics, healthcare IT, SCADA security, physical security, investigations, organizational leadership and training. He is currently the Director of Cybersecurity Initiatives for the National Cybersecurity Institute at Excelsior College, responsible to perform complex duties relating to the development and coordination of cyber initiatives at NCI. Formerly, he has worked for a number of IT companies including Computer Sciences Corporation and Booz Allen Hamilton. Derek spent 18 years as a special agent for various government agencies and the military. He has also taught business and IT courses at several universities for over 20 years. Derek has served in the US Navy, Air Force and Army for a total of 24 years. He completed an MBA, MS in IT Information Assurance, Masters in IT Project Management, and a BS in Education.