Por: Adrián Landero
Analyst, Unix/Linux OCD TECH

Mucho se habla últimamente de la seguridad de la información dentro de las organizaciones, ya sea públicas o privadas y de las tecnologías para mitigar o eliminar riesgos generados por amenazas como son el phishing, malware, ransomware o campañas de ingeniería social que en los últimos años han presentado un auge importante en el mundo; se habla mucho de la implementación de tecnologías de última generación como sistemas SIEM, EDR, XDR, NGFW y sistemas de protección para servicios en nube, todo apoyado por algoritmos de IA con el fin de garantizar el monitoreo, la detección y la mitigación o eliminación de amenazas casi en tiempo real.
Aunque lo anterior es sin duda una parte importante dentro de una arquitectura de seguridad en profundidad, todas estas nuevas tecnologías sirven poco o nada si las mismas no son complementadas adecuadamente con políticas, estrategias y las mejores prácticas dentro de la industria.
En este artículo abordaremos los riesgos que conlleva la acumulación de privilegios por parte de los usuarios en cualquier nivel organizacional dentro de la infraestructura de TI, y que de no ser resuelto e implementar procesos que ayuden a mitigar o eliminar este problema podría ocasionar grandes pérdidas y daños ya sea monetarias, de propiedad intelectual o imagen empresarial, entre otras muchas cosas dentro de cualquier organización, algo nada deseable.
Pero ¿Qué es la acumulación de privilegios?, también conocida en inglés como privilege creep o authorization creep, en palabras simples es permitir que un usuario mantenga más permisos de acceso y autorización dentro de la infraestructura de TI de los que requiere para la ejecución de sus labores diarias; violentado así uno de los principios clave de la seguridad de la información que es la confidencialidad, así como prácticas clave como la separación de responsabilidades y el menor privilegio.
¿Cómo es posible que un usuario adquiera más privilegios de los que requiere? Normalmente esto sucede cuando un usuario cambia de área, adquiere nuevas responsabilidades, asume un nuevo rol, inicia o participa en un nuevo proyecto. En cada cambio, es normal que se asignen nuevos privilegios para que el usuario pueda llevar a cabo sus actividades, sin embargo, de lo que nadie o muy pocos se preocupan y menos son los que resuelven, es de remover dichos privilegios cuando el usuario concluye sus actividades y ya no necesita dichos accesos.
El tema se torna mucho más complicado en grandes organizaciones donde existen movimientos de personal a diario, aunque esto no excluye a las pequeñas y medianas organizaciones. Imagine, ¿qué podría realizar un usuario descontento con accesos no monitoreados a infraestructura crítica dentro de la organización? Y el asunto se vuelve mucho peor y crítico en organizaciones del sector salud, financiero, transporte, de procesamiento de alimentos, etc.

Los párrafos anteriores demuestran la importancia de no solo enfocar los esfuerzos de seguridad de la información en la adquisición de tecnologías de punta, sino también en implementar procesos y políticas para eliminar o mitigar otros aspectos igual de comprometedores dentro de una arquitectura de seguridad, como es la acumulación de privilegios. En este sentido es importante implementar políticas y procesos bien definidos para el constante monitoreo de asignación de privilegios, su correcta y rápida revocación cuando los mismos ya no son necesarios, lo anterior cae dentro del paraguas de los procesos y soluciones conocidos como PAM (Privileged Access Management).