{"id":1447289,"date":"2024-11-18T22:26:30","date_gmt":"2024-11-18T22:26:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-problema-de-los-permisos-y-las-identidades-no-humanas-por-que-corregir-las-credenciales-lleva-mas-tiempo-de-lo-que-cree-2\/"},"modified":"2024-11-18T22:26:34","modified_gmt":"2024-11-18T22:26:34","slug":"el-problema-de-los-permisos-y-las-identidades-no-humanas-por-que-corregir-las-credenciales-lleva-mas-tiempo-de-lo-que-cree-2","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-problema-de-los-permisos-y-las-identidades-no-humanas-por-que-corregir-las-credenciales-lleva-mas-tiempo-de-lo-que-cree-2\/","title":{"rendered":"El problema de los permisos y las identidades no humanas: por qu\u00e9 corregir las credenciales lleva m\u00e1s tiempo de lo que cree"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/El-problema-de-los-permisos-y-las-identidades-no-humanas.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Seg\u00fan una investigaci\u00f3n de GitGuardian y CyberArk, <a rel=\"noopener nofollow\" href=\"https:\/\/blog.gitguardian.com\/voice-of-practitioners-2024\/\" target=\"_blank\">El 79 % de los responsables de la toma de decisiones de TI informaron haber experimentado una filtraci\u00f3n de secretos.<\/a>frente al 75% del informe del a\u00f1o anterior. Al mismo tiempo, el n\u00famero de credenciales filtradas nunca ha sido mayor, con m\u00e1s de <a rel=\"noopener nofollow\" href=\"https:\/\/www.gitguardian.com\/state-of-secrets-sprawl-report-2024\" target=\"_blank\">12,7 millones de credenciales codificadas s\u00f3lo en repositorios p\u00fablicos de GitHub<\/a>. Uno de los aspectos m\u00e1s preocupantes de este informe es que m\u00e1s del 90% de los secretos v\u00e1lidos encontrados y reportados permanecieron v\u00e1lidos durante m\u00e1s de cinco d\u00edas. <\/p>\n<p>Seg\u00fan el mismo <a rel=\"noopener nofollow\" href=\"https:\/\/blog.gitguardian.com\/voice-of-practitioners-2024\/#:~:text=However%2C%20the%20average%20estimated%20time%20to%20remediate%20a%20leaked%20secret%20stands%20at%2027%20days\" target=\"_blank\">La investigaci\u00f3n, en promedio, lleva a las organizaciones 27 d\u00edas.<\/a> para remediar las credenciales filtradas. Combine eso con el hecho de que <a rel=\"noopener nofollow\" href=\"https:\/\/www.cyberark.com\/threat-landscape\/?prevItm=682892538&amp;prevCol=6824667&amp;ts=11085\" target=\"_blank\">Las identidades no humanas superan en n\u00famero a las identidades humanas en al menos 45:1.<\/a>y es f\u00e1cil ver por qu\u00e9 muchas organizaciones se est\u00e1n dando cuenta de que detener la expansi\u00f3n de los secretos significa encontrar una manera de abordar esta crisis de identidad de las m\u00e1quinas. Desafortunadamente, la investigaci\u00f3n tambi\u00e9n muestra que muchos equipos est\u00e1n confundidos acerca de qui\u00e9n es el propietario de la seguridad de estas identidades. Es una tormenta perfecta de riesgo. <\/p>\n<h2 style=\"text-align: left;\">\u00bfPor qu\u00e9 la rotaci\u00f3n tarda tanto?<\/h2>\n<p>Entonces, \u00bfpor qu\u00e9 tardamos tanto en rotar las credenciales si sabemos que son una de las rutas de ataque m\u00e1s f\u00e1ciles para los adversarios? Un factor importante que contribuye es la falta de claridad sobre c\u00f3mo se autorizan nuestras credenciales. Los permisos son los que autorizan qu\u00e9 cosas espec\u00edficas una entidad, como una carga de trabajo de Kubernetes o un microservicio, puede solicitar con \u00e9xito de otro servicio o fuente de datos. <\/p>\n<p>Recordemos lo que significa remediar un incidente de expansi\u00f3n descontrolada de secretos: es necesario reemplazar de forma segura un secreto sin romper nada ni otorgar permisos nuevos y demasiado amplios, lo que potencialmente introducir\u00eda m\u00e1s riesgos de seguridad para su empresa. Si ya tiene una visi\u00f3n completa del ciclo de vida de sus identidades no humanas y sus secretos asociados, este es un proceso bastante sencillo para reemplazarlos con nuevos secretos con los mismos permisos. Esto puede llevar un tiempo considerable si a\u00fan no tiene esa informaci\u00f3n, ya que debe esperar que el desarrollador que lo cre\u00f3 originalmente todav\u00eda est\u00e9 all\u00ed y haya documentado lo que se hizo. <\/p>\n<p>Veamos por qu\u00e9 la gesti\u00f3n de permisos es especialmente desafiante en entornos dominados por NHI, examinemos los desaf\u00edos que enfrentan los desarrolladores y los equipos de seguridad para equilibrar el control de acceso y la productividad, y analicemos c\u00f3mo un modelo de responsabilidad compartida podr\u00eda ayudar.<\/p>\n<h2 style=\"text-align: left;\">\u00bfA qui\u00e9n pertenece realmente la expansi\u00f3n de los secretos?<\/h2>\n<p>La expansi\u00f3n de secretos generalmente se refiere a la proliferaci\u00f3n de claves de acceso, contrase\u00f1as y otras credenciales confidenciales en entornos de desarrollo, repositorios y servicios como Slack o Jira. El \u00faltimo informe Voice of the Practitioners de GitGuardian destaca que el 65% de los encuestados atribuyen la responsabilidad de la remediaci\u00f3n directamente a los equipos de seguridad de TI. <a rel=\"noopener nofollow\" href=\"https:\/\/blog.gitguardian.com\/voice-of-practitioners-2024\/#:~:text=Only%2044%25%20of%20developers%20are%20reported%20to%20follow%20security%20best%20practices\" target=\"_blank\">Al mismo tiempo, el 44 % de los l\u00edderes de TI informaron que los desarrolladores no siguen las mejores pr\u00e1cticas.<\/a> para la gesti\u00f3n de secretos. <\/p>\n<p>La expansi\u00f3n de los secretos y los problemas subyacentes de las credenciales de larga duraci\u00f3n con exceso de permisos seguir\u00e1n cayendo en esta brecha hasta que descubramos c\u00f3mo trabajar mejor juntos en un <a rel=\"noopener nofollow\" href=\"https:\/\/blog.gitguardian.com\/devsecops-and-the-appsec-shared-responsibility-model\/\" target=\"_blank\">modelo de responsabilidad compartida<\/a>.<\/p>\n<h3 style=\"text-align: left;\">La perspectiva del desarrollador sobre los permisos<\/h3>\n<p>Los desarrolladores enfrentan una enorme presi\u00f3n para crear e implementar funciones r\u00e1pidamente. Sin embargo, administrar los permisos cuidadosamente, con las mejores pr\u00e1cticas de seguridad, puede resultar laborioso. Cada proyecto o aplicaci\u00f3n a menudo tiene sus propios requisitos de acceso \u00fanicos, que requieren tiempo para investigarse y configurarse adecuadamente, casi como si fuera un trabajo de tiempo completo adem\u00e1s del trabajo de creaci\u00f3n e implementaci\u00f3n de sus aplicaciones. Con demasiada frecuencia, las mejores pr\u00e1cticas para crear y administrar permisos no se aplican de manera uniforme en todos los equipos, rara vez se documentan adecuadamente o se olvidan por completo una vez que el desarrollador hace que la aplicaci\u00f3n funcione. <\/p>\n<p>Para agravar el problema, en demasiados casos los desarrolladores simplemente otorgan permisos demasiado amplios a estas identidades de m\u00e1quinas. <a rel=\"noopener nofollow\" href=\"https:\/\/www.csoonline.com\/article\/2132294\/what-are-non-human-identities-and-why-do-they-matter.html\" target=\"_blank\">Un informe encontr\u00f3 que s\u00f3lo el 2% de los permisos concedidos se utilizan realmente.<\/a>. Si observamos m\u00e1s de cerca a qu\u00e9 se enfrentan, es f\u00e1cil ver por qu\u00e9.<\/p>\n<p>Por ejemplo, piense en administrar permisos dentro de Amazon Web Services. Las pol\u00edticas de administraci\u00f3n de acceso e identidad (IAM) de AWS son conocidas por su flexibilidad, pero tambi\u00e9n son complejas y confusas de navegar. IAM admite varios tipos de pol\u00edticas (basadas en identidad, basadas en recursos y l\u00edmites de permisos), todas las cuales requieren configuraciones precisas. AWS tambi\u00e9n ofrece m\u00faltiples rutas de acceso para credenciales, incluidas funciones de IAM y concesiones de KMS (servicio de administraci\u00f3n de claves), cada una de las cuales viene con sus propias configuraciones de acceso \u00fanicas. Aprender este sistema no es tarea f\u00e1cil.<\/p>\n<p>Otro ejemplo com\u00fan de un servicio donde los permisos pueden resultar dif\u00edciles de gestionar es GitHub. Las claves API pueden otorgar permisos a repositorios en varias organizaciones, lo que dificulta garantizar l\u00edmites de acceso adecuados. Una \u00fanica clave puede proporcionar involuntariamente un acceso excesivo entre entornos cuando los desarrolladores son miembros de varias organizaciones. Hay presi\u00f3n para hacerlo bien, mientras el tiempo siempre corre y el trabajo atrasado sigue aumentando. <\/p>\n<h3 style=\"text-align: left;\">Por qu\u00e9 los equipos de seguridad por s\u00ed solos no pueden solucionar este problema<\/h3>\n<p>Puede parecer l\u00f3gico asignar a los equipos de seguridad la responsabilidad de monitorear y rotar los secretos; despu\u00e9s de todo, se trata de un problema de seguridad. La realidad es que estos equipos a menudo carecen del conocimiento granular a nivel de proyecto necesario para realizar cambios de forma segura. Los equipos de seguridad no siempre tienen el contexto para comprender qu\u00e9 permisos espec\u00edficos son esenciales para mantener las aplicaciones en ejecuci\u00f3n. Por ejemplo, un cambio de permiso aparentemente menor podr\u00eda interrumpir un proceso de CI\/CD, alterar la producci\u00f3n o incluso provocar una crisis en toda la empresa. <a rel=\"noopener nofollow\" href=\"https:\/\/www.infoq.com\/presentations\/cascading-failure-risk\/#:~:text=DynamoDB%2C%20Amazon%20Web%20Services%20service\" target=\"_blank\">falla en cascada si el servicio incorrecto desaparece<\/a>.<\/p>\n<p>La naturaleza dispersa de la gesti\u00f3n de secretos entre equipos y entornos tambi\u00e9n aumenta la superficie de ataque. Sin nadie realmente a cargo, resulta mucho m\u00e1s dif\u00edcil mantener la coherencia en los controles de acceso y las pistas de auditor\u00eda. Esta fragmentaci\u00f3n a menudo da como resultado que las credenciales excesivas u obsoletas y sus permisos asociados permanezcan activos durante demasiado tiempo, posiblemente para siempre. Puede dificultar saber qui\u00e9n tiene acceso leg\u00edtimo o ileg\u00edtimo a qu\u00e9 secretos en un momento dado.<\/p>\n<h2 style=\"text-align: left;\">Un modelo de responsabilidad compartida para una rotaci\u00f3n m\u00e1s r\u00e1pida<\/h2>\n<p>Los desarrolladores y los equipos de seguridad podr\u00edan ayudar a abordar estos problemas reuni\u00e9ndose en el medio y construyendo un modelo de responsabilidad compartida. En tal modelo, los desarrolladores son m\u00e1s responsables de administrar consistentemente sus permisos a trav\u00e9s de herramientas adecuadas, como <a rel=\"noopener nofollow\" href=\"https:\/\/www.cyberark.com\/products\/secrets-manager-enterprise\/\" target=\"_blank\">Administrador de secretos de Conjur de CyberArk<\/a> o <a rel=\"noopener nofollow\" href=\"https:\/\/www.vaultproject.io\/\" target=\"_blank\">B\u00f3veda de HashiCorp<\/a>al mismo tiempo que documenta mejor los permisos y el alcance de los permisos necesarios a nivel de proyecto. Los equipos de seguridad deber\u00edan ayudar a los desarrolladores trabajando para automatizar la rotaci\u00f3n de secretos, invirtiendo en herramientas de observabilidad adecuadas para obtener claridad sobre el estado de los secretos y trabajando con TI para eliminar por completo las credenciales de larga duraci\u00f3n. <\/p>\n<p>Si los desarrolladores documentan claramente qu\u00e9 permisos son necesarios en sus requisitos, podr\u00eda ayudar a los equipos de seguridad a realizar auditor\u00edas m\u00e1s r\u00e1pidas y precisas y acelerar la remediaci\u00f3n. Si los equipos de seguridad trabajan para garantizar que el camino general m\u00e1s f\u00e1cil y r\u00e1pido hacia la implementaci\u00f3n de un nuevo secreto de identidad no humana sea tambi\u00e9n el m\u00e1s seguro y escalable, entonces habr\u00e1 muchos menos incidentes que requieran una rotaci\u00f3n de emergencia y todos ganar\u00e1n. <\/p>\n<p>El objetivo de los desarrolladores debe ser garantizar que el equipo de seguridad pueda rotar o actualizar las credenciales en sus aplicaciones con confianza, por s\u00ed solos, sabiendo que no est\u00e1n poniendo en peligro la producci\u00f3n.<\/p>\n<h3 style=\"text-align: left;\">Preguntas clave a abordar sobre permisos<\/h3>\n<p>Al pensar en lo que se debe documentar, aqu\u00ed hay algunos puntos de datos espec\u00edficos para ayudar a que este esfuerzo entre equipos fluya mejor: <\/p>\n<ol style=\"text-align: left;\">\n<li><b>\u00bfQui\u00e9n cre\u00f3 la credencial?<\/b> &#8211; A muchas organizaciones les resulta dif\u00edcil realizar un seguimiento de la propiedad de las credenciales, especialmente cuando una clave se comparte o rota. Este conocimiento es esencial para comprender qui\u00e9n es responsable de rotar o revocar las credenciales.<\/li>\n<li><b>\u00bfA qu\u00e9 recursos accede?<\/b> &#8211; Las claves API a menudo pueden acceder a una variedad de servicios, desde bases de datos hasta integraciones de terceros, por lo que es esencial limitar los permisos al m\u00ednimo necesario.<\/li>\n<li><b>\u00bfQu\u00e9 permisos otorga? <\/b>&#8211; Los permisos var\u00edan ampliamente seg\u00fan los roles, las pol\u00edticas basadas en recursos y las condiciones de las pol\u00edticas. Por ejemplo, en Jenkins, un usuario con permiso &#8220;General\/Lectura&#8221; puede ver informaci\u00f3n general, mientras que &#8220;General\/Administrar&#8221; otorga control total sobre el sistema.<\/li>\n<li><b>\u00bfC\u00f3mo lo revocamos o rotamos?<\/b> &#8211; La facilidad de revocaci\u00f3n var\u00eda seg\u00fan la plataforma y, en muchos casos, los equipos deben rastrear manualmente las claves y los permisos en todos los sistemas, lo que complica la remediaci\u00f3n y prolonga la exposici\u00f3n a las amenazas.<\/li>\n<li><b>\u00bfEst\u00e1 activa la credencial?<\/b> &#8211; Es fundamental saber si una credencial todav\u00eda est\u00e1 en uso. Cuando los NHI utilizan claves API de larga duraci\u00f3n, estas credenciales pueden permanecer activas indefinidamente a menos que se administren adecuadamente, lo que crea riesgos de acceso persistentes.<\/li>\n<\/ol>\n<h2 style=\"text-align: left;\">Los permisos son desafiantes, pero podemos administrarlos juntos como un solo equipo<\/h2>\n<p>Seg\u00fan el informe de GitGuardian, si bien el 75% de los encuestados expresaron confianza en sus capacidades de gesti\u00f3n de secretos, la realidad suele ser muy diferente. El tiempo promedio de remediaci\u00f3n de 27 d\u00edas refleja esta brecha entre confianza y pr\u00e1ctica. Es hora de repensar c\u00f3mo implementamos y comunicamos secretos y sus permisos como organizaci\u00f3n.<\/p>\n<p>Si bien los desarrolladores trabajan diligentemente para equilibrar la seguridad y la funcionalidad, la falta de procesos de permisos optimizados y rutas de documentaci\u00f3n no centralizadas o no estandarizadas solo amplifican los riesgos. Los equipos de seguridad por s\u00ed solos no pueden resolver estos problemas de forma eficaz debido a su conocimiento limitado de las necesidades espec\u00edficas del proyecto. Necesitan trabajar mano a mano con los desarrolladores en cada paso del camino. <\/p>\n<p>GitGuardian est\u00e1 creando la pr\u00f3xima generaci\u00f3n de herramientas de seguridad de secretos, ayudando a los equipos de seguridad y de TI a controlar la expansi\u00f3n de los secretos. Saber qu\u00e9 credenciales de texto sin formato y de larga duraci\u00f3n est\u00e1n expuestas en su c\u00f3digo y en otros entornos es un primer paso necesario para eliminar esta amenaza. <a rel=\"noopener nofollow\" href=\"https:\/\/www.gitguardian.com\/book-a-demo\" target=\"_blank\">Comience hoy con GitGuardian<\/a><em>.<\/em><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/11\/the-problem-of-permissions-and-non-human-identities.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seg\u00fan una investigaci\u00f3n de GitGuardian y CyberArk, El 79 % de los responsables de la toma de decisiones<\/p>\n","protected":false},"author":1,"featured_media":1446716,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,25504,42020,5684,47267,17265,246,201033,3830,36,16,4654,201031,4659,4653,4655,24144,231,2349,387,246983,255454,246984,201032,448,246982,4660],"class_list":["post-1447289","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-corregir","tag-credenciales","tag-cree","tag-humanas","tag-identidades","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-lleva","tag-los","tag-mas","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-permisos","tag-por","tag-problema","tag-que","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-tiempo","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1447289","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1447289"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1447289\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1446716"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1447289"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1447289"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1447289"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}