Cuentas de superusuario: ¿Qué son y cómo protegerlas?

Las cuentas de superusuario son altamente privilegiadas, utilizadas principalmente por el equipo de TI de las empresas. En teoría, estas cuentas/usuarios pueden tener privilegios o propiedad ilimitados sobre un sistema. Los privilegios de una cuenta de superusuario pueden permitir:

• privilegios completos de lectura / escritura / ejecución
• creación o instalación de archivos o software
• modificación de archivos y configuraciones
• eliminación de usuarios y datos

En este blog cubriré algunos tipos comunes de cuentas de superusuario, las implicaciones de seguridad de estas cuentas altamente privilegiadas, las mejores prácticas para protegerlas y las tecnologías clave para administrarlas y protegerlas.

Cuentas de superusuario en sistemas Windows, Linux y Unix

En los sistemas Windows, la cuenta “Administrador” tiene privilegios de superusuario. Cada computadora con Windows tiene al menos una cuenta “Administrador”. Esta cuenta le permite al usuario instalar software y cambiar configuraciones, entre otros. Los usuarios estándar tienen un conjunto de privilegios considerablemente restringido, mientras que las cuentas de usuarios invitados suelen estar aún más limitadas, como el acceso básico a las aplicaciones y la navegación por Internet.

En sistemas Linux y Unix, la cuenta de superusuario, llamada "root", o raíz, es virtualmente omnipotente, con acceso sin restricciones a todos los comandos, archivos, directorios y recursos. Las cuentas “root” también pueden otorgar y eliminar cualquier permiso para otros usuarios.

Si bien Mac OS X es similar a Unix, a diferencia de Unix y Linux, rara vez se implementa como un servidor. De manera predeterminada, los usuarios de Mac se ejecutan con acceso a la raíz; sin embargo, como una mejor práctica de seguridad, se debe crear una cuenta sin privilegios y usarla para reducir el alcance de las amenazas con privilegios.

Implicación de seguridad de las cuentas de superusuario

Cuando usadas incorrectamente, ya sea de forma inadvertida (es decir, se escribe incorrectamente un comando o se elimina accidentalmente un archivo importante), o con intenciones maliciosas, las cuentas de superusuario pueden causar daños catastróficos en un sistema o en toda la organización.

La mayoría de las tecnologías de seguridad son impotentes en la protección contra los superusuarios porque se desarrollaron para proteger el perímetro, pero los superusuarios ya están en el interior. Los superusuarios pueden cambiar las configuraciones de firewall, crear backdoors y anular las configuraciones de seguridad, todo al mismo tiempo que borran los rastros de su actividad.

Políticas y controles insuficientes en relación con el aprovisionamiento, la segregación y el monitoreo de superusuarios aumentan los riesgos. Por ejemplo, los administradores de bases de datos, los ingenieros de redes y los desarrolladores de aplicaciones a menudo reciben acceso completo a nivel de superusuario. El intercambio de cuentas de superusuario entre múltiples individuos también es una práctica desenfrenada, que confunde el rastro de auditoría. Y en el caso de las PC con Windows, los usuarios a menudo inician sesión con privilegios de cuenta administrativos, mucho más amplios de lo que se necesita.

Los atacantes cibernéticos, independientemente de sus motivos finales, buscan activamente cuentas de superusuario, sabiendo que, una vez que comprometen estas cuentas, esencialmente se convierten en un privilegiado poderoso. Además, el malware que infecta una cuenta de superusuario puede aprovechar los mismos derechos de privilegio de esa cuenta para propagar, infligir daños y robar datos.

En uno de los relatos más infames de un interno malintencionado, Edward Snowden, un empleado contratado de TI para la NSA, abusó de sus privilegios de superusuario para acceder, copiar y filtrar más de 1 millón de archivos de NSA altamente sensibles. Con este escándalo, la NSA se dirigió al 90% de los administradores de su sistema para su eliminación, y estableció un mejor modelo de seguridad con privilegios mínimos.

Protección y supervisión de cuentas de superusuario

Las organizaciones que buscan controlar y proteger las cuentas de superusuario deben implementar algunas o todas las siguientes prácticas recomendadas:

• Impone el acceso de privilegios mínimos: limite la membresía de superusuario a las personas mínimas. Asegúrese de que cada usuario tenga los privilegios mínimos absolutos que necesita para hacer su trabajo. Esto puede significar aumentar los privilegios temporalmente cuando sea necesario (por ejemplo, a una aplicación), pero sin otorgar todos los derechos de superusuario a la cuenta de usuario. En los sistemas Unix y Linux, el comando sudo (superuser do) permite a un usuario normal elevar temporalmente los privilegios a nivel de raíz, pero sin tener acceso directo a la cuenta y contraseña de la raíz;
• Sistemas y redes de segmentos: al dividir usuarios y procesos según diferentes niveles de confianza, necesidades y conjuntos de privilegios, puede restringir dónde y cómo puede actuar un superusuario;
• Impone la separación de privilegios: esto implicará separar las funciones de superusuario de los requisitos de la cuenta estándar, separar las capacidades de auditoría / registro dentro de las cuentas administrativas, e incluso separar las funciones del sistema (leer, editar, escribir, ejecutar, etc.);
• Exija la rotación y seguridad de las contraseñas de superusuario: las contraseñas deben cumplir con rigurosos estándares de seguridad, además de rotarse regularmente, incluso después de cada uso para las cuentas más poderosas;
• Monitoree y audite todas las sesiones de superusuario: Registre, audite y controle toda la actividad de la sesión de superusuario para brindar responsabilidad y cumplir con las demandas de cumplimiento.

Tecnologías para la gestión / seguridad de superusuarios

La tecnología de gestión de accesos privilegiados, también llamada de Privilege Access Management (PAM), Privileged Identity Management (PIM) o simplemente Privilege Management, implica la creación y el despliegue de soluciones y estrategias para administrar el superusuario y otros tipos de cuentas / acceso privilegiado en un entorno de TI. Las Soluciones PAM le permiten:

• Descubrir todas las cuentas de superusuario y privilegiadas
• Exigir privilegios mínimos (eliminar derechos de administrador)
• Implementar la administración de privilegios de superusuario (SUPM) para obtener un control granular sobre la elevación de privilegio
• Aplicar las mejores prácticas de seguridad de contraseña para cuentas de superusuario
• Auditar toda la actividad de la sesión de superusuario

Para saber cómo BeyondTrust puede ayudarlo a controlar a los superusuarios y madurar su programa de seguridad de acceso privilegiado, contáctenos hoy.

Recursos Relacionados

• Aprenda a controlar y auditar al superusuario y otros accesos privilegiados con PAM (White Paper)
• Lea la Guía de mercado de Gartner para la gestión de acceso privilegiado (investigación de analistas)
• Aprenda a administrar y monitorear sesiones para cuentas de superusuario (Solutions Page)
• Aprenda cómo administrar contraseñas para cuentas de superusuario (Solutions Page)