7 tipos de cuentas privilegiadas en Digital Identity

Durante el trabajo suelo tener que lidiar de una forma u otra con cuentas privilegiadas, son cuentas que se presentan en diferentes formas y que plantean riesgos de seguridad significativos si no se protegen, gestionan y supervisan de forma adecuada.

En esta entrada quería hacer un resumen de aquellas con las que trato habitualmente y que incluyen:

1) Las cuentas administrativas locales

Son cuentas no personales que proporcionan acceso administrativo sólo al host o instancia local. Las cuentas de administración local son utilizadas rutinariamente por el personal IT para realizar el mantenimiento de estaciones de trabajo, servidores, dispositivos de red, bases de datos, mainframes, etc. A menudo, para facilitar su uso, tienen la misma contraseña en toda una plataforma u organización. El uso de una contraseña compartida en miles de hosts convierte a las cuentas administrativas locales en un blanco fácil de usar que las amenazas avanzadas explotan de forma rutinaria.

2) Las cuentas de usuario con privilegios

Son credenciales a las que se han concedido privilegios administrativos en uno o más sistemas. Esta es típicamente una de las formas más comunes de acceso privilegiado a cuentas que se otorga en una red empresarial, permitiendo a los usuarios tener derechos administrativos, por ejemplo, en sus escritorios locales o a través de los sistemas que administran. A menudo estas cuentas tienen contraseñas únicas y complejas. El poder que ejercen a través de los sistemas gestionados hace necesario monitorizar continuamente su uso.

3) Las cuentas administrativas de dominio

Tienen acceso administrativo privilegiado a todas las estaciones de trabajo y servidores del dominio. Aunque estas cuentas son pocas en número, proporcionan el acceso más amplio y robusto a través de la red. Con el control total sobre todos los controladores de dominio y la capacidad de modificar la pertenencia de cada cuenta administrativa dentro del dominio, tener estas credenciales comprometidas es a menudo el peor escenario para cualquier organización.

4) Las cuentas de emergencia

Proporcionan a los usuarios no privilegiados acceso administrativo a sistemas seguros en caso de emergencia y a veces se denominan cuentas «firecall» o «breakglass». Aunque el acceso privilegiado a estas cuentas suele requerir la aprobación de la dirección por razones de seguridad, suele ser un proceso manual ineficaz que suele carecer de auditabilidad.

5) Las cuentas de servicio

Pueden ser cuentas locales privilegiadas o cuentas de dominio que son utilizadas por una aplicación o servicio para interactuar con el sistema operativo. En algunos casos, estas cuentas de servicio tienen privilegios de administración de dominio en función de los requisitos de la aplicación para la que se utilizan. Las cuentas de servicio local pueden interactuar con una variedad de componentes de Windows, lo que dificulta la coordinación de los cambios de contraseña.

6) Las cuentas de Active Directory o de servicios de dominio

Hacen que los cambios de contraseña sean aún más complicados, ya que requieren coordinación entre varios sistemas. Este desafío a menudo lleva a una práctica común de cambiar raramente las contraseñas de las cuentas de servicio, lo que representa un riesgo significativo en toda la empresa.

7) Las cuentas de aplicación

Son cuentas utilizadas por las aplicaciones para acceder a bases de datos, ejecutar trabajos por lotes, scripts o proporcionar acceso a otras aplicaciones. Estas cuentas privilegiadas suelen tener un amplio acceso a la información subyacente de la empresa que reside en aplicaciones y bases de datos. Las contraseñas de estas cuentas suelen estar incrustadas y almacenadas en archivos de texto no cifrados, una vulnerabilidad que se replica en varios servidores para proporcionar una mayor tolerancia a las fallas de las aplicaciones. Esta vulnerabilidad representa un riesgo significativo para una organización porque las aplicaciones a menudo alojan los datos exactos a los que se dirigen los APT.

Y como la cosa va de sietes, de regalo, os dejo este enlace a siete maneras de proteger cuentas privilegiadas.

Espero que os haya gustado, ¡hasta la próxima!

Cristóbal Espinosa

Cloud Security Manager en Accenture.

Ingeniero en Informática, Máster en Seguridad de la Información, CISA, CPTP e ISO 27.001 LA.

He sido galardonado con el premio Microsoft Imagine Cup 2.007 en la categoría Software Design y como Microsoft Active Professional en 2.010. También con el diploma honorífico de la Universidad de Granada y el X premio Granada Joven.

Quiero contar lo que hago en el trabajo, lo que aprendo de los compañeros y cualquier cosa que te pueda ayudar a solucionar ese problema, a mejorar un proceso o a interesarte por la seguridad.

Si quieres saber más o contactar, puedes ver mi perfil en LinkedIn.
Cristóbal Espinosa