{"id":1220826,"date":"2024-03-07T11:33:36","date_gmt":"2024-03-07T11:33:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/identidad-humana-versus-no-humana-en-saas\/"},"modified":"2024-03-07T11:33:40","modified_gmt":"2024-03-07T11:33:40","slug":"identidad-humana-versus-no-humana-en-saas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/identidad-humana-versus-no-humana-en-saas\/","title":{"rendered":"Identidad humana versus no humana en SaaS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Identidad-humana-versus-no-humana-en-SaaS.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>En el entorno SaaS actual en r\u00e1pida evoluci\u00f3n, la atenci\u00f3n se centra en los usuarios humanos.  Esta es una de las \u00e1reas m\u00e1s comprometidas en la gesti\u00f3n de seguridad de SaaS y requiere una gobernanza estricta de los roles y permisos de los usuarios, monitoreo de usuarios privilegiados, su nivel de actividad (inactivo, activo, hiperactivo), su tipo (interno\/externo), si son incorporaciones, mudanzas o salidas, y m\u00e1s. <\/p>\n<p>No sorprende que los esfuerzos de seguridad se hayan centrado principalmente en las personas.  Las opciones de configuraci\u00f3n incluyen herramientas como MFA y SSO para autenticaci\u00f3n humana.  El control de acceso basado en roles (RBAC) limita el nivel de acceso;  Las pautas de complejidad de contrase\u00f1as impiden que personas no autorizadas accedan a la aplicaci\u00f3n.<\/p>\n<p>Sin embargo, en el mundo de SaaS, no falta el acceso otorgado a actores no humanos o, en otras palabras, aplicaciones conectadas de terceros. <\/p>\n<p>Las cuentas de servicio, las autorizaciones OAuth y las claves API son solo algunas de las identidades no humanas que requieren acceso SaaS.  Cuando se ven a trav\u00e9s de la lente de la aplicaci\u00f3n, las cuentas no humanas son similares a las cuentas humanas.  Deben autenticarse, otorgarse un conjunto de permisos y monitorearse.  Sin embargo, debido a que no son humanos, se piensa mucho menos en garantizar la seguridad.<\/p>\n<h2 style=\"text-align: left;\">Ejemplos de acceso no humano<\/h2>\n<p>Las integraciones son probablemente la forma m\u00e1s sencilla de comprender el acceso no humano a una aplicaci\u00f3n SaaS.  Calendly es una aplicaci\u00f3n que elimina los correos electr\u00f3nicos de ida y vuelta para concertar citas al mostrar la disponibilidad del usuario.  Se integra con el calendario de un usuario, lee el calendario para determinar la disponibilidad y agrega citas autom\u00e1ticamente.  Al integrarse con Google Workspace a trav\u00e9s de una autorizaci\u00f3n OAuth, solicita \u00e1mbitos que le permiten ver, editar, compartir y eliminar Google Calendars, entre otros \u00e1mbitos.  La integraci\u00f3n la inicia un humano, pero Calendly no es humano.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/1709811214_114_Identidad-humana-versus-no-humana-en-SaaS.jpg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/1709811214_114_Identidad-humana-versus-no-humana-en-SaaS.jpg\" alt=\"\" border=\"0\" data-original-height=\"407\" data-original-width=\"728\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 1: \u00c1mbitos de permisos requeridos por Calendly<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Otras cuentas no humanas implican el intercambio de datos entre dos o m\u00e1s aplicaciones.  SwiftPOS es una aplicaci\u00f3n y dispositivo de punto de venta (POS) para bares, restaurantes y establecimientos minoristas.  Los datos capturados por el POS se transfieren a una plataforma de inteligencia empresarial, como Microsoft Power BI, donde se procesan y analizan.  Los datos se transfieren de SwiftPOS a Power BI a trav\u00e9s de una cuenta no humana.<\/p>\n<h2 style=\"text-align: left;\">El desaf\u00edo de proteger cuentas no humanas<\/h2>\n<p>Administrar y proteger cuentas no humanas no es tan simple como parece.  Para empezar, cada aplicaci\u00f3n tiene su propio enfoque para administrar este tipo de cuentas de usuario.  Algunas aplicaciones, por ejemplo, desconectan una integraci\u00f3n de OAuth cuando el usuario que la autoriz\u00f3 es dado de baja de la aplicaci\u00f3n, mientras que otras mantienen la conexi\u00f3n.<\/p>\n<p>Las aplicaciones SaaS tambi\u00e9n adoptan diferentes enfoques para administrar estas cuentas.  Algunos incluyen cuentas no humanas en sus <a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/features\/user-inventory?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_humanvnon_1\" target=\"_blank\">inventario de usuarios<\/a>mientras que otros almacenan y muestran los datos en una secci\u00f3n diferente de la aplicaci\u00f3n, lo que hace que sea f\u00e1cil pasarlos por alto.<\/p>\n<p>Las cuentas humanas se pueden autenticar mediante MFA o SSO.  Las cuentas no humanas, por el contrario, se autentican una vez y se olvidan a menos que haya un problema con la integraci\u00f3n.  Los humanos tambi\u00e9n tienen patrones de comportamiento t\u00edpicos, como iniciar sesi\u00f3n en aplicaciones durante el horario laboral.  Las cuentas no humanas suelen acceder a las aplicaciones durante las horas de menor actividad para reducir el tr\u00e1fico y la presi\u00f3n de la red.  Cuando un humano inicia sesi\u00f3n en su SaaS a las 3 a.m., puede desencadenar una investigaci\u00f3n;  cuando un no humano ingresa a la red a las 3 a. m., todo sigue igual.<\/p>\n<p>En un esfuerzo por simplificar la gesti\u00f3n de cuentas no humanas, muchas organizaciones utilizan la misma clave API para todas las integraciones.  Para facilitar esto, otorgan amplios conjuntos de permisos a la clave API para cubrir todas las necesidades potenciales de la organizaci\u00f3n.  Otras veces, un desarrollador utilizar\u00e1 su propia clave API de alto permiso para otorgar acceso a la cuenta no humana, permiti\u00e9ndole acceder a cualquier cosa dentro de la aplicaci\u00f3n.  Estas claves API funcionan como pases de acceso total utilizados por m\u00faltiples integraciones, lo que las hace incre\u00edblemente dif\u00edciles de controlar.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Identidad-humana-versus-no-humana-en-SaaS.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Identidad-humana-versus-no-humana-en-SaaS.png\" alt=\"\" border=\"0\" data-original-height=\"1120\" data-original-width=\"1320\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 2: Una aplicaci\u00f3n OAuth maliciosa detectada a trav\u00e9s del SSPM de Adaptive Shield<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-security?source=below\" target=\"_blank\">Reg\u00edstrese para el pr\u00f3ximo seminario web de THN: Verificaci\u00f3n de la realidad: seguridad de identidad para identidades humanas y no humanas<\/a><\/p>\n<h2 style=\"text-align: left;\">El riesgo que las cuentas no humanas a\u00f1aden a la pila SaaS<\/h2>\n<p>Las cuentas no humanas no est\u00e1n en gran medida supervisadas y tienen amplios alcances de permisos.  Esto los convierte en un objetivo atractivo para los actores de amenazas.  Al comprometer cualquiera de estas cuentas, los actores de amenazas pueden ingresar a la aplicaci\u00f3n sin ser detectados, lo que genera infracciones, modificaciones no autorizadas o interrupciones en el servicio.<\/p>\n<h2 style=\"text-align: left;\">Tomar medidas para proteger las cuentas no humanas<\/h2>\n<p>Al utilizar una plataforma SaaS Security Posture Management (SSPM) junto con soluciones de detecci\u00f3n y respuesta a amenazas de identidad (ITDR), las organizaciones pueden administrar eficazmente sus cuentas no humanas y detectar cu\u00e1ndo se comportan de manera an\u00f3mala.<\/p>\n<p>Las cuentas no humanas requieren la misma visibilidad por parte de los equipos de seguridad que las cuentas humanas y deben administrarse en el mismo inventario de usuarios que sus contrapartes humanas.  Al unificar la gesti\u00f3n de identidades, es mucho m\u00e1s f\u00e1cil ver el acceso y los permisos y actualizar las cuentas independientemente de qui\u00e9n sea el propietario.  Tambi\u00e9n garantiza un enfoque unificado para la gesti\u00f3n de cuentas.  Las pol\u00edticas organizacionales, como la prohibici\u00f3n de compartir cuentas, deben aplicarse en todos los \u00e1mbitos.  Las cuentas no humanas deben limitarse a direcciones IP espec\u00edficas que est\u00e9n aprobadas previamente en una lista de permitidos y no se les debe otorgar acceso a trav\u00e9s de las pantallas de inicio de sesi\u00f3n est\u00e1ndar (inicio de sesi\u00f3n de UI).  Adem\u00e1s, los permisos deben adaptarse para satisfacer sus necesidades espec\u00edficas como aplicaciones, y no ser amplios ni coincidir con sus hom\u00f3logos humanos. <\/p>\n<p>El ITDR tambi\u00e9n desempe\u00f1a un papel importante.  Las cuentas no humanas pueden acceder a aplicaciones SaaS a todas horas de la noche, pero suelen ser bastante consistentes en sus interacciones.  ITDR puede detectar anomal\u00edas en el comportamiento, ya sean cambios en la programaci\u00f3n, el tipo de datos que se agregan a la aplicaci\u00f3n o las actividades realizadas por la cuenta no humana.<\/p>\n<p>La visibilidad proporcionada por SSPM en las cuentas y ITDR en el comportamiento de identidad no humana es esencial para gestionar riesgos e identificar amenazas.  Esta es una actividad esencial para mantener aplicaciones SaaS seguras.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/features\/third-party-app-access-inventory?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_humanvnon_2\" target=\"_blank\">Lea m\u00e1s sobre la protecci\u00f3n contra identidades no humanas<\/a><\/p>\n<p><noscript><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Identidad-humana-versus-no-humana-en-SaaS.gif\" alt=\"\" height=\"1\" style=\"display:none;\" width=\"1\"\/><br \/>\n<\/noscript><\/p>\n<p><img height=\"1\" style=\"display:none\" width=\"1\" alt=\"Las noticias de los piratas inform\u00e1ticos\"\/><br \/>\n<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/03\/human-vs-non-human-identity-in-saas.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En el entorno SaaS actual en r\u00e1pida evoluci\u00f3n, la atenci\u00f3n se centra en los usuarios humanos. Esta es<\/p>\n","protected":false},"author":1,"featured_media":1220827,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,4662,34814,2923,4668,201033,4654,201031,4659,4653,4655,23105,4666,4665,201032,4660],"class_list":["post-1220826","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-filtracion-de-datos","tag-humana","tag-identidad","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-saas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1220826","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1220826"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1220826\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1220827"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1220826"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1220826"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1220826"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}