Las cuentas de superusuario son altamente privilegiadas, utilizadas principalmente por el equipo de TI de las empresas. En teoría, estas cuentas/usuarios pueden tener privilegios o propiedad ilimitados sobre un sistema. Los privilegios de una cuenta de superusuario pueden permitir:

En este blog cubriré algunos tipos comunes de cuentas de superusuario, las implicaciones de seguridad de estas cuentas altamente privilegiadas, las mejores prácticas para protegerlas y las tecnologías clave para administrarlas y protegerlas.

Cuentas de superusuario en sistemas Windows, Linux y Unix

En los sistemas Windows, la cuenta “Administrador” tiene privilegios de superusuario. Cada computadora con Windows tiene al menos una cuenta “Administrador”. Esta cuenta le permite al usuario instalar software y cambiar configuraciones, entre otros. Los usuarios estándar tienen un conjunto de privilegios considerablemente restringido, mientras que las cuentas de usuarios invitados suelen estar aún más limitadas, como el acceso básico a las aplicaciones y la navegación por Internet.


En sistemas Linux y Unix, la cuenta de superusuario, llamada "root", o raíz, es virtualmente omnipotente, con acceso sin restricciones a todos los comandos, archivos, directorios y recursos. Las cuentas “root” también pueden otorgar y eliminar cualquier permiso para otros usuarios.

Si bien Mac OS X es similar a Unix, a diferencia de Unix y Linux, rara vez se implementa como un servidor. De manera predeterminada, los usuarios de Mac se ejecutan con acceso a la raíz; sin embargo, como una mejor práctica de seguridad, se debe crear una cuenta sin privilegios y usarla para reducir el alcance de las amenazas con privilegios.

Implicación de seguridad de las cuentas de superusuario

Cuando usadas incorrectamente, ya sea de forma inadvertida (es decir, se escribe incorrectamente un comando o se elimina accidentalmente un archivo importante), o con intenciones maliciosas, las cuentas de superusuario pueden causar daños catastróficos en un sistema o en toda la organización.

La mayoría de las tecnologías de seguridad son impotentes en la protección contra los superusuarios porque se desarrollaron para proteger el perímetro, pero los superusuarios ya están en el interior. Los superusuarios pueden cambiar las configuraciones de firewall, crear backdoors y anular las configuraciones de seguridad, todo al mismo tiempo que borran los rastros de su actividad.

Políticas y controles insuficientes en relación con el aprovisionamiento, la segregación y el monitoreo de superusuarios aumentan los riesgos. Por ejemplo, los administradores de bases de datos, los ingenieros de redes y los desarrolladores de aplicaciones a menudo reciben acceso completo a nivel de superusuario. El intercambio de cuentas de superusuario entre múltiples individuos también es una práctica desenfrenada, que confunde el rastro de auditoría. Y en el caso de las PC con Windows, los usuarios a menudo inician sesión con privilegios de cuenta administrativos, mucho más amplios de lo que se necesita.

Los atacantes cibernéticos, independientemente de sus motivos finales, buscan activamente cuentas de superusuario, sabiendo que, una vez que comprometen estas cuentas, esencialmente se convierten en un privilegiado poderoso. Además, el malware que infecta una cuenta de superusuario puede aprovechar los mismos derechos de privilegio de esa cuenta para propagar, infligir daños y robar datos.

En uno de los relatos más infames de un interno malintencionado, Edward Snowden, un empleado contratado de TI para la NSA, abusó de sus privilegios de superusuario para acceder, copiar y filtrar más de 1 millón de archivos de NSA altamente sensibles. Con este escándalo, la NSA se dirigió al 90% de los administradores de su sistema para su eliminación, y estableció un mejor modelo de seguridad con privilegios mínimos.

Protección y supervisión de cuentas de superusuario

Las organizaciones que buscan controlar y proteger las cuentas de superusuario deben implementar algunas o todas las siguientes prácticas recomendadas:

Tecnologías para la gestión / seguridad de superusuarios

La tecnología de gestión de accesos privilegiados, también llamada de Privilege Access Management (PAM), Privileged Identity Management (PIM) o simplemente Privilege Management, implica la creación y el despliegue de soluciones y estrategias para administrar el superusuario y otros tipos de cuentas / acceso privilegiado en un entorno de TI. Las Soluciones PAM le permiten:

Para saber cómo BeyondTrust puede ayudarlo a controlar a los superusuarios y madurar su programa de seguridad de acceso privilegiado, contáctenos hoy.

Recursos Relacionados