{"id":690907,"date":"2023-04-03T18:33:40","date_gmt":"2023-04-03T18:33:40","guid":{"rendered":"https:\/\/teknomers.com\/es\/son-las-cuentas-de-servicio-estupido-por-que-las-implementaciones-de-pam-tardan-casi-una-eternidad-en-completarse\/"},"modified":"2023-04-03T18:33:43","modified_gmt":"2023-04-03T18:33:43","slug":"son-las-cuentas-de-servicio-estupido-por-que-las-implementaciones-de-pam-tardan-casi-una-eternidad-en-completarse","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/son-las-cuentas-de-servicio-estupido-por-que-las-implementaciones-de-pam-tardan-casi-una-eternidad-en-completarse\/","title":{"rendered":"&quot;Son las cuentas de servicio, est\u00fapido&quot;: \u00bfPor qu\u00e9 las implementaciones de PAM tardan (casi) una eternidad en completarse?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Las soluciones de gesti\u00f3n de acceso privilegiado (PAM) se consideran la pr\u00e1ctica com\u00fan para evitar amenazas de identidad a las cuentas administrativas.  En teor\u00eda, el concepto de PAM tiene mucho sentido: coloque las credenciales de administrador en una b\u00f3veda, rote sus contrase\u00f1as y supervise de cerca sus sesiones.  Sin embargo, la dura realidad es que la gran mayor\u00eda de los proyectos PAM se convierten en proyectos de a\u00f1os o incluso se detienen por completo, lo que les impide entregar el valor de seguridad prometido.<\/p>\n<p>En este art\u00edculo, exploramos lo que hace <strong>las cuentas de servicio son un obst\u00e1culo clave en la incorporaci\u00f3n de PAM<\/strong>.  Aprenderemos por qu\u00e9 el almacenamiento y la rotaci\u00f3n de contrase\u00f1as de las cuentas de servicio son una tarea casi imposible, lo que las deja expuestas a compromisos.  Luego, concluiremos con la presentaci\u00f3n de c\u00f3mo Silverfort permite a los equipos de identidad, por primera vez, superar estos desaf\u00edos con el descubrimiento, el monitoreo y la protecci\u00f3n automatizados de las cuentas de servicio, y agilizar el proceso de incorporaci\u00f3n de PAM en solo unas semanas.<\/p>\n<h2>La promesa PAM: protecci\u00f3n para todos los usuarios administrativos<\/h2>\n<p>El concepto de PAM es extremadamente simple.  Dado que los adversarios buscan comprometer las credenciales de administrador para emplearlas para el acceso malicioso, lo m\u00e1s natural es poner obst\u00e1culos en sus intentos de lograr este compromiso.  PAM proporciona una capa de seguridad adicional que incluye tanto el monitoreo cercano de las conexiones de administrador a trav\u00e9s de la grabaci\u00f3n de la sesi\u00f3n como, lo que es m\u00e1s importante, una capa de prevenci\u00f3n proactiva en forma de b\u00f3veda de credenciales de administrador y sujetarlas a una rotaci\u00f3n peri\u00f3dica de contrase\u00f1as.  Esto reduce en gran medida el riesgo de un ataque exitoso, porque incluso si un adversario logra comprometer las credenciales de administrador, la rotaci\u00f3n de contrase\u00f1as las invalidar\u00eda cuando intente usarlas para acceder a los recursos espec\u00edficos. <\/p>\n<p>As\u00ed que en teor\u00eda, todo est\u00e1 bien.<\/p>\n<div class=\"article-board\" style=\"text-align: left\">\n<p>Crear pol\u00edticas de MFA de f\u00e1cil implementaci\u00f3n para todas sus cuentas privilegiadas es la \u00fanica forma de garantizar que no se vean comprometidas.  Sin necesidad de personalizaciones o dependencias de segmentaci\u00f3n de red, puede estar en funcionamiento en cuesti\u00f3n de minutos con Silverfort. <a rel=\"nofollow noopener\" data-saferedirecturl=\"https:\/\/www.google.com\/url?q=https:\/\/www.silverfort.com\/request-a-demo\/?utm_source%3DTHN%26utm_medium%3Darticle%26utm_campaign%3Dpammarch&amp;source=gmail&amp;ust=1680601833937000&amp;usg=AOvVaw1yElcmKK9-wIitE17Ts-W0\" href=\"https:\/\/www.silverfort.com\/request-a-demo\/?utm_source=THN&amp;utm_medium=article&amp;utm_campaign=pammarch\" target=\"_blank\"><b>Descubra c\u00f3mo proteger sus cuentas privilegiadas<\/b><\/a>  de compromisos de forma r\u00e1pida y sin inconvenientes con pol\u00edticas de acceso adaptables que imponen la protecci\u00f3n MFA en todos los recursos locales y en la nube en la actualidad.<\/p>\n<\/div>\n<h2>La realidad de PAM: proceso de incorporaci\u00f3n largo y complejo que puede tardar a\u00f1os en completarse<\/h2>\n<p>Sin embargo, lo que los equipos de identidad y seguridad encuentran en la pr\u00e1ctica es que <strong>La implementaci\u00f3n de soluciones PAM es uno de los procesos que m\u00e1s recursos consume. <\/strong>El hecho es que muy pocos proyectos PAM llegan al m\u00e1ximo para lograr el objetivo de proteger todas las cuentas administrativas dentro del medio ambiente.  Lo que suele suceder en cambio es que los desaf\u00edos ocurren tarde o temprano, sin una soluci\u00f3n f\u00e1cil.  En el mejor de los casos, estos desaf\u00edos solo ralentizan el proceso de incorporaci\u00f3n y lo prolongan durante meses o incluso a\u00f1os.  En el peor de los casos, detienen todo el proyecto.  De esa manera o de la otra las implicaciones son graves.  Adem\u00e1s de las grandes inversiones de tiempo y esfuerzo, no se logra el objetivo principal de PAM y las cuentas de administrador no obtienen la protecci\u00f3n que necesitan. <\/p>\n<p><strong>Si bien existen varias razones para las dificultades que presenta la implementaci\u00f3n de PAM, la m\u00e1s destacada se refiere a la protecci\u00f3n de las cuentas de servicio.<\/strong>. <\/p>\n<h2>Resumen de cuentas de servicio: cuentas privilegiadas para conexi\u00f3n de m\u00e1quina a m\u00e1quina<\/h2>\n<p>Las cuentas de servicio son cuentas de usuario que se crean para la comunicaci\u00f3n de m\u00e1quina a m\u00e1quina.  Se crean de dos maneras principales.  El primero, es el personal de TI que los crea para automatizar tareas repetitivas de monitoreo, higiene y mantenimiento en lugar de realizarlas manualmente.  La segunda forma es como parte de la implementaci\u00f3n de un producto de software en el entorno empresarial.  Por ejemplo, la implementaci\u00f3n de un servidor de Outlook Exchange implica la creaci\u00f3n de varias cuentas que realizan an\u00e1lisis, actualizaci\u00f3n de software y otras tareas que involucran una conexi\u00f3n entre el servidor de Exchange y otras m\u00e1quinas en el entorno. <\/p>\n<p>De esa manera o de la otra, <strong>una cuenta de servicio t\u00edpica debe tener muchos privilegios para poder establecer la conexi\u00f3n de m\u00e1quina a m\u00e1quina para la que se cre\u00f3<\/strong>.  Esto significa que no es diferente a cualquier cuenta de administrador humano en la protecci\u00f3n que requiere. <strong>Desafortunadamente, incorporar una cuenta de servicio a una soluci\u00f3n PAM es una tarea casi imposible<\/strong>lo que los convierte en el mayor obst\u00e1culo para la implementaci\u00f3n exitosa de PAM. <\/p>\n<h2>La brecha de visibilidad: no existe una manera f\u00e1cil de descubrir cuentas de servicio o mapear sus actividades<\/h2>\n<p><strong>Sucede que no hay una manera f\u00e1cil de obtener visibilidad del inventario de las cuentas de servicio.<\/strong> De hecho, en la mayor\u00eda de los entornos no se puede saber el n\u00famero total de cuentas de servicio a menos que se haya practicado un estricto control y documentaci\u00f3n de la creaci\u00f3n, asignaci\u00f3n y eliminaci\u00f3n de cuentas de servicio a lo largo de los a\u00f1os, lo que dif\u00edcilmente es una pr\u00e1ctica com\u00fan.  Esto significa que el descubrimiento completo de todas las cuentas de servicio en un entorno solo se puede lograr con un esfuerzo de descubrimiento manual significativo, que est\u00e1 fuera del alcance de la mayor\u00eda de los equipos de identidad. <\/p>\n<p>Adem\u00e1s, incluso si se resuelve el desaf\u00edo del descubrimiento, a\u00fan queda <strong>un desaf\u00edo m\u00e1s grave que sigue sin abordarse, que es mapear el prop\u00f3sito de cada cuenta y sus dependencias resultantes<\/strong>, es decir, los procesos o aplicaciones que admite y administra esta cuenta.  Esto resulta ser un importante bloqueador de PAM.  Entendamos por qu\u00e9 es eso. <\/p>\n<h2>La implicaci\u00f3n de PAM: la rotaci\u00f3n de la contrase\u00f1a de la cuenta de servicio sin visibilidad de su actividad puede interrumpir los procesos que administra<\/h2>\n<p>La forma t\u00edpica en que las cuentas de servicio se conectan a diferentes m\u00e1quinas para realizar su tarea es con un script que contiene los nombres de las m\u00e1quinas a las que conectarse, los comandos reales para ejecutar en estas m\u00e1quinas y, lo que es m\u00e1s importante, el nombre de usuario y la contrase\u00f1a de la cuenta de servicio que se utilizan para autenticarse en estas m\u00e1quinas.  El conflicto con la incorporaci\u00f3n de PAM ocurre porque mientras PAM rota la contrase\u00f1a de la cuenta de servicio dentro de la b\u00f3veda, no hay forma de actualizar autom\u00e1ticamente la contrase\u00f1a codificada en el script para que coincida con la nueva que ha generado PAM.  Por lo tanto, la primera vez que se ejecute el script despu\u00e9s de la rotaci\u00f3n, la cuenta de servicio intentar\u00e1 autenticarse con la contrase\u00f1a anterior, que ya no es v\u00e1lida.  La autenticaci\u00f3n fallar\u00e1 y la tarea que se supon\u00eda que deb\u00eda realizar la cuenta de servicio nunca suceder\u00e1, lo que interrumpir\u00e1 tambi\u00e9n cualquier otro proceso o aplicaci\u00f3n que dependa de esta tarea.  El efecto domin\u00f3 y el da\u00f1o potencial son claros. <\/p>\n<h2>La trampa de las cuentas de servicio PAM: atrapadas en el medio con preocupaciones operativas y de seguridad <\/h2>\n<p>De hecho, la mayor\u00eda de los equipos de identidad, teniendo en cuenta este riesgo, evitar\u00e1n por completo las cuentas de servicio de b\u00f3veda.  Y ese es exactamente el callej\u00f3n sin salida: <strong>almacenar cuentas de servicio crea un riesgo operativo, mientras que no almacenarlas crea un riesgo de seguridad no menor<\/strong>.  Lamentablemente, hasta ahora no ha habido una respuesta f\u00e1cil a este dilema.  Esta es la raz\u00f3n por la cual las cuentas de servicio son un inhibidor tan grande para la incorporaci\u00f3n de PAM.  La \u00fanica forma de satisfacer los requisitos operativos y de seguridad es realizar un esfuerzo manual meticuloso para descubrir todas las cuentas de servicio, los scripts que las utilizan y las tareas y aplicaciones que realizan.  Esta es una misi\u00f3n gigantesca y la raz\u00f3n principal de los meses e incluso a\u00f1os de duraci\u00f3n del proceso de incorporaci\u00f3n de PAM. <\/p>\n<h2>Superar el desaf\u00edo con el descubrimiento y el mapeo de actividades de cuentas de servicio automatizado <\/h2>\n<p>La ra\u00edz del problema es la falta tradicional de una utilidad que pueda filtrar f\u00e1cilmente todas las cuentas de servicio y producir un resultado de sus actividades.  Este es el desaf\u00edo que Silverfort pretende simplificar y resolver.<\/p>\n<p>Silverfort es pionera en la primera plataforma de protecci\u00f3n de identidad unificada que se integra de forma nativa con Active Directory para monitorear, analizar y aplicar una pol\u00edtica de acceso activa en todas las cuentas de usuario y recursos en el entorno de AD.  Con esta integraci\u00f3n en su lugar, AD reenv\u00eda todos los intentos de acceso entrantes a Silverfort para el an\u00e1lisis de riesgos y espera su veredicto sobre si concede o deniega el acceso. <\/p>\n<p>Aprovechando esta visibilidad y an\u00e1lisis de todas las autenticaciones, Silverfort puede detectar f\u00e1cilmente todas las cuentas que presentan el comportamiento repetitivo y determinista que caracteriza a las cuentas de servicio. <strong>Silverfort produce una lista detallada de todas las cuentas de servicio dentro del entorno, incluido su nivel de privilegio, fuentes, destinos y volumen de actividad.<\/strong>. <\/p>\n<p>Con esa informaci\u00f3n disponible, los equipos de identidad pueden identificar f\u00e1cilmente las dependencias y aplicaciones de cada cuenta de servicio, ubicar los scripts que la ejecutan y tomar una decisi\u00f3n informada con respecto a las cuentas de servicio y elegir una de las siguientes: <\/p>\n<ul>\n<li><strong>Colocar en la b\u00f3veda y rotar contrase\u00f1as<\/strong>: en ese caso, la visibilidad reci\u00e9n ganada facilita la realizaci\u00f3n de los ajustes necesarios en los scripts respectivos para garantizar que las contrase\u00f1as que contienen se actualicen de acuerdo con la rotaci\u00f3n de contrase\u00f1as de la b\u00f3veda. <\/li>\n<li><strong>Colocar en b\u00f3veda sin rotaci\u00f3n y proteger con una p\u00f3liza de Silverfort<\/strong>: a veces, el volumen de uso de una cuenta de servicio har\u00eda que la actualizaci\u00f3n continua fuera demasiado dif\u00edcil de mantener.  En ese caso, se evitar\u00eda la rotaci\u00f3n de contrase\u00f1as.  El equipo de identidad utilizar\u00e1 en su lugar una pol\u00edtica generada autom\u00e1ticamente por Silverfort para proteger la cuenta de servicio, alertando o bloqueando su acceso cuando se detecta una desviaci\u00f3n de su comportamiento normal. <\/li>\n<\/ul>\n<p>De esa manera, Silverfort reduce el proceso de incorporaci\u00f3n de PAM a solo semanas, lo que lo convierte en una tarea factible incluso para un entorno con cientos de cuentas de servicio.<\/p>\n<p>\u00bfTiene dificultades para poner en marcha sus proyectos PAM?  Obtenga m\u00e1s informaci\u00f3n sobre c\u00f3mo Silverfort puede ayudar a acelerar los proyectos PAM <a rel=\"nofollow noopener\" href=\"https:\/\/www.silverfort.com\/resources\/solution-brief\/accelerate-your-privileged-access-management-pam-journey\/?utm_source=THN&amp;utm_medium=article&amp;utm_campaign=pammarch\" target=\"_blank\">aqu\u00ed<\/a>. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/its-service-accounts-stupid-why-do-pam.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Las soluciones de gesti\u00f3n de acceso privilegiado (PAM) se consideran la pr\u00e1ctica com\u00fan para evitar amenazas de identidad<\/p>\n","protected":false},"author":1,"featured_media":690908,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,2432,4664,61606,5017,154803,49796,4662,154804,4668,246,4667,4654,4658,4659,4653,4655,108938,231,4663,387,5906,4666,4665,4204,38305,158,4660],"class_list":["post-690907","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-casi","tag-como-hackear","tag-completarse","tag-cuentas","tag-estupidoquot","tag-eternidad","tag-filtracion-de-datos","tag-implementaciones","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-pam","tag-por","tag-programa-malicioso-ransomware","tag-que","tag-quotson","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servicio","tag-tardan","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/690907","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=690907"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/690907\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/690908"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=690907"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=690907"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=690907"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}