La sofisticación y dirección que se brinda a las amenazas de seguridad tanto de atacantes externos como internos hacen que cada vez sea más difícil y costoso para las organizaciones afrontar este tipo de riesgos. Además, hoy en día, existen grandes organizaciones criminales que disponibilizan, para terceros sin grandes conocimientos técnicos, plataformas y software completos como servicio (PaaS y SaaS) dedicadas a cometer delitos informáticos. Por otro lado, el crecimiento de las infraestructuras TIC incorporando entornos mixtos y heterogéneos que abarcan distintas localidades tanto físicas como en la nube, han agregado complejidad a la implementación de seguridad de la información hacia los activos y, específicamente, a la adecuada implantación de roles, responsabilidades y accesos con privilegios. Es un hecho, como lo señala el último reporte de brechas de Verizon
(https://www.verizon.com/business/resources/reports/dbir/), que el principal vector de ataque corresponde al robo de cuentas (credenciales), en particular aquellas cuentas con privilegios.
En este contexto, el crecimiento en la complejidad de gestión de la infraestructura tecnológica de comunicación, sumado a la seguridad de la información y ciberseguridad, permite que un posible compromiso de una cuenta con privilegios pase desapercibido por días, semanas, meses e incluso años. Este compromiso de cuentas puede ser resultado de técnicas de ingeniería social apoyadas por campañas de phishing, spear phishing o whaling.
https://www.compunetgroup.net/blogs/post/spear-phishing-como-funciona La obtención de una cuenta con privilegios es lo que se denomina "las llaves del reino". Normalmente, mediante estas campañas se obtienen cuentas de usuario final (user/password) las cuales son empleadas para realizar escalamiento e ir obteniendo cuentas con mayores privilegios.
¿Qué son las cuentas privilegiadas?
Hay dos tipos de cuentas: Las cuentas de usuario y las cuentas privilegiadas. Las cuentas de usuario son aquellas asociadas a una persona y que permiten acceder a un entorno, servicio o infraestructura bajo o con un rol funcional. Es decir, este tipo de cuentas permite iniciar sesión en un banco, un comercio electrónico, sistema de pensión, correo electrónico, cuentas de redes sociales, sistema CRM, sistema ERP, etc. Las cuentas de usuario representan a una persona y poseen asociadas una contraseña la cual controla el acceso para aquel que "conozca algo", este algo corresponde, como he señalado, a la contraseña. Lo anterior, podría ser robustecido mediante autenticación de doble factor (A2F) o de múltiple factor (AMF), por supuesto dependiendo de las necesidades, políticas y regulaciones propias de cada entorno. Normalmente, un usuario solo posee una única cuenta de usuario (por sistema). En resumen, se trata de un usuario/contraseña que permite acceder a un servicio, aplicación y/o recurso PERO que no permite modificar las condiciones, comportamientos, configuraciones, roles, accesos o privilegios de este.
Por otro lado, una cuenta privilegiada puede o no ser un humana (cuentas de servicio), como también no necesariamente debe representar o corresponder con un humano. Se trata entonces de aquellas credenciales las cuales permiten a los equipos de TI realizar la administración y soporte de aplicaciones, software, servidores, servicios, hardware, dispositivos de comunicaciones, de seguridad, en fin; Toda la infraestructura tecnológica, de comunicaciones, seguridad de la información, ciberseguridad y operacional que soporta y apoya el negocio. Es decir, se trata de cuentas que SÍ permiten modificar las condiciones, comportamientos, configuraciones, roles, accesos o privilegios de este.
Dado que estas credenciales corresponden a "las llaves del reino", deberían ser tratadas como un activo de alto valor: como aquellas llaves que proveen acceso total y completo a toda la infraestructura y activos de tu negocio. Entre las cuentas privilegiadas, está la existencia de las cuentas de servicio; aquellas cuentas que proveen de distintos permisos y accesos a determinadas aplicaciones cumpliendo la función de habilitar o gestionar servicios, procesos y otras operaciones. También es necesario considerar que una cuenta de usuario podría convertirse en una cuenta privilegiada en el contexto de poseer determinados privilegios o permisos sobre determinada operación, servicio, sistema u otros usuarios, y por lo tanto, debe ser protegida y gestionada adecuadamente.
¿Por qué son importantes las cuentas privilegiadas?
Las cuentas privilegiadas son importantes porque proporcionan acceso a información crítica y recursos valiosos de una organización. Si estas cuentas son comprometidas, los atacantes pueden obtener acceso a información confidencial, sistemas y servicios críticos, y pueden causar daños irreparables a la organización y su reputación. Además, las cuentas privilegiadas son a menudo utilizadas por los equipos de TI y de seguridad para realizar tareas esenciales, como la administración de sistemas y la gestión de la seguridad de la información. Si estas cuentas no están protegidas adecuadamente, pueden ser explotadas por los atacantes para llevar a cabo actividades maliciosas.
Por lo tanto, la gestión adecuada de las cuentas privilegiadas es crucial para garantizar la seguridad de la información y la ciberseguridad en una organización. Esto incluye la implementación de controles de seguridad adecuados para proteger estas cuentas, la supervisión activa de su uso y la implementación de políticas y procedimientos claros para la gestión y control de estas cuentas. Además, es importante que las organizaciones realicen auditorías regulares para identificar posibles vulnerabilidades y debilidades en la gestión de sus cuentas privilegiadas y tomar medidas para remediarlas.
Ahora, estas cuentas privilegiadas están a salvo; Normalmente sucede que nosotros, los administradores de sistemas, tenemos una memoria privilegiada y recordamos (almacenadas en nuestro palacio mental) una amplia multitud de complejas contraseñas, una para cada sistema gestionado en toda nuestra infraestructura, servicios y aplicaciones. Dada nuestra privilegiada mente jamás, PERO JAMÁS, usamos las mismas contraseñas. Mucho menos la misma en más de un sistema crítico para la operación de negocio y, por supuesto, mucho menos (solo por si mientras caminamos nos cae un rayo) documentamos estas credenciales en una planilla excel. Léase lo anterior en un suave y sano tono de sarcasmo.
Lo cierto es que, en un entorno medianamente normado; Los administradores poseen una cuenta estándar sin mayores privilegios que aquellos funcionales y otra cuenta privilegiada con la cual realizar su gestión administrativa diaria la cual posee distintos niveles de accesos y privilegios en función del rol, el derecho a saber y siempre bajo la premisa del mínimo privilegio. Esto es, en un entorno medianamente normado (nuevamente, ese leve y sano tono de ironía). Si lo anterior, no es lo que sucede en tu infraestructura: Te invito a revisar detalladamente y a instaurar un procedimiento que permita implantar la gestión, registro y auditoría de cuentas con privilegios.
Entonces, si estas cuentas administrativas son las llaves del reino:
¿Las estás resguardando adecuadamente?
Escrito por:
César Millavil ACOMPUNETGROUP CEO
C|EH - ISO27001LA – ISO27032LM
7345 W Sand Lake RD