Login Probar gratis
Gestión de accesos privilegiados (PAM): proteger las cuentas críticas

Gestión de accesos privilegiados (PAM): proteger las cuentas críticas

por MataSpam Seguridad Empresarial

Las cuentas con privilegios elevados son el objetivo número uno de cualquier atacante con dos dedos de frente. La gestión de accesos privilegiados (PAM) controla quién puede tocar las cuentas admin seguras de tu organización, cuándo, desde dónde y haciendo qué exactamente. Hablamos de credenciales que abren servidores, bases de datos, hipervisores, paneles cloud y sistemas SCADA. Si un usuario normal cae en un phishing, pierdes su buzón. Si cae un administrador con privileged access management mal implementado, pierdes la empresa. Esa es la diferencia. La gestión de accesos privilegiados no es un capricho de los auditores: es la línea entre un incidente molesto y un comunicado a la AEPD a las tres de la mañana.

Qué es exactamente PAM y por qué tu antivirus no lo sustituye

PAM (Privileged Access Management) es el conjunto de tecnologías y procesos que controla las cuentas con permisos elevados: administradores de dominio, root de Linux, cuentas de servicio, accesos a hipervisores VMware, paneles AWS/Azure/GCP, routers, firewalls y bases de datos.

El antivirus protege endpoints. El MFA protege logins. PAM protege el qué pasa después de que alguien con poder entra. Son capas distintas que se complementan, no se sustituyen.

Las funciones núcleo de cualquier solución PAM seria son cuatro:

  • Bóveda de credenciales: contraseñas y claves SSH cifradas, rotadas automáticamente, nunca conocidas por el humano que las usa.
  • Acceso just-in-time: el privilegio se concede para una tarea concreta, durante minutos u horas, no permanente.
  • Grabación de sesión: vídeo y log de comandos de cada sesión privilegiada, para auditoría y forense.
  • Análisis de comportamiento: detección de anomalías cuando un admin hace algo que no encaja con su patrón habitual.

Marcas de referencia en el mercado: CyberArk, BeyondTrust, Delinea (antes Thycotic), One Identity Safeguard y opciones open-source como HashiCorp Vault o Teleport. Para entornos pequeños, soluciones como Bitwarden Enterprise con políticas estrictas pueden cubrir parte del problema, aunque no son PAM completas.

Por qué las cuentas privilegiadas concentran el riesgo

El informe Verizon DBIR lleva años repitiendo lo mismo: el abuso de credenciales legítimas está en la base de la mayoría de brechas. Y no son credenciales cualquiera. Son las que tienen llaves del reino.

El patrón típico de un ataque ransomware moderno encadena tres pasos: acceso inicial (phishing, vulnerabilidad pública, credencial filtrada), escalada hacia una cuenta de administrador de dominio, y movimiento lateral cifrando todo a su paso. Si rompes el segundo eslabón con PAM, el ataque se queda en un endpoint comprometido en lugar de convertirse en un incidente de empresa.

Casos como SolarWinds (2020), Colonial Pipeline (2021) o las múltiples brechas vinculadas a credenciales filtradas en el dark web demuestran lo mismo: cuando una cuenta privilegiada cae sin controles adicionales, el daño escala rápidamente. Si quieres profundizar en cómo se monetizan estas filtraciones, te interesará el artículo sobre qué hacer si tus datos aparecen en una filtración masiva.

Una mención especial para las cuentas de servicio: ese usuario "svc_backup" que nadie sabe quién creó en 2014, con contraseña que no caduca y permisos de Domain Admin "por si acaso". Son el regalo de Reyes para cualquier atacante. PAM las descubre, las inventaría y las pone en una bóveda con rotación automática.

El principio de mínimo privilegio aplicado de verdad

El principio de mínimo privilegio (PoLP) dice que cada cuenta debe tener exactamente los permisos necesarios para hacer su trabajo. Ni uno más. Suena obvio. Casi nadie lo aplica.

La realidad de muchas pymes españolas: el informático tiene una cuenta de Domain Admin que usa también para leer su correo y navegar por internet. Un solo phishing y se acabó. Aquí entra la separación de cuentas administrativas, una práctica básica que PAM facilita y obliga a cumplir.

Tres modelos prácticos para implementar mínimo privilegio:

  1. Cuentas tier-0, tier-1, tier-2: el modelo de Microsoft Active Directory que separa controladores de dominio (tier-0), servidores (tier-1) y workstations (tier-2). Una cuenta nunca cruza tiers.
  2. Just-in-time elevation: el admin pide privilegio cuando lo necesita, justifica por qué, y lo recibe durante 1-4 horas. Después vuelve a ser usuario normal.
  3. Just-enough-administration (JEA): en PowerShell, defines qué cmdlets puede ejecutar cada admin. Restringes la superficie de ataque incluso cuando el privilegio está activo.

Implementar PAM sin morir en el intento: la hoja de ruta

Comprar una herramienta de privileged access management y desplegarla sin estrategia es la forma más cara de no resolver el problema. La fase previa, el descubrimiento, suele tardar más que la implementación técnica.

FaseDuración aproximadaObjetivo
1. Descubrimiento2-4 semanasInventariar todas las cuentas privilegiadas (humanas y de servicio)
2. Bóveda inicial2-3 semanasMigrar credenciales críticas a vault con rotación
3. Acceso controlado4-6 semanasForzar que toda sesión privilegiada pase por PAM
4. JIT y grabación4-8 semanasEliminar privilegios permanentes, activar session recording
5. Mejora continuaPermanenteReducir cuentas, ajustar políticas, integrar con SIEM

Errores comunes que se ven en consultorías reales:

  • Desplegar PAM solo para Windows y olvidarse de Linux, redes y cloud.
  • No incluir cuentas de servicio en el alcance inicial.
  • Permitir excepciones "temporales" que nunca caducan.
  • No integrar PAM con el SIEM (Splunk, Sentinel, Elastic), perdiendo el valor analítico.
  • Saltarse la formación de los administradores, que terminan saboteando el sistema porque les ralentiza.

Si vuestra organización está construyendo o renovando infraestructura digital, integrar PAM desde el diseño sale infinitamente más barato que parchearlo después. En proyectos de implantación de IA en empresas o desarrollo de plataformas a medida, definir la gestión de accesos privilegiados desde el primer sprint evita rehacer la arquitectura más tarde.

Normativas que ya te obligan (aunque no lo sepas)

El marco regulatorio europeo lleva años apretando en esta dirección. Implementar PAM no es solo buena práctica, es requisito explícito o implícito de varias normativas vigentes.

  • NIS2 (Directiva UE 2022/2555): de aplicación europea desde octubre de 2024, con transposición española aprobada en 2025. Obliga a entidades esenciales e importantes a implementar controles de acceso, gestión de identidades y registro de actividad. PAM cubre estos tres puntos directamente.
  • RGPD (Reglamento UE 2016/679): el artículo 32 exige medidas técnicas apropiadas para proteger datos personales. La trazabilidad de quién accedió a qué datos es exigible en una inspección de la AEPD.
  • ENS (Esquema Nacional de Seguridad, RD 311/2022): para administraciones públicas y proveedores. Niveles medio y alto requieren controles que en la práctica solo cubre una solución PAM.
  • DORA (Reglamento UE 2022/2554): aplicable desde el 17 de enero de 2025 al sector financiero. Exige gestión estricta de accesos privilegiados a sistemas críticos.
  • ISO 27001:2022: el control A.5.18 (rights of access) y A.8.2 (privileged access rights) están directamente alineados con PAM.

El BOE recoge desarrollos nacionales de varias de estas normativas. La AEPD ha sancionado en los últimos años a empresas precisamente por no poder demostrar quién accedió a datos personales y cuándo, algo que PAM resuelve con grabación de sesión y logs inmutables.

PAM, MFA y Zero Trust: un trío que se necesita

PAM por sí solo no basta. Encaja dentro de una arquitectura Zero Trust donde no se confía en nada por defecto, ni siquiera dentro de la red corporativa.

El stack mínimo recomendable:

  1. MFA fuerte (mejor con FIDO2/WebAuthn que SMS) para acceder al PAM.
  2. PAM como punto único de acceso a recursos privilegiados.
  3. EDR/XDR en endpoints administrativos (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint).
  4. SIEM ingiriendo logs de PAM para correlación.
  5. PAW (Privileged Access Workstations): equipos dedicados solo a tareas administrativas, sin email ni navegación general.

El MFA merece atención especial. Los atacantes ya saben saltárselo cuando está mal implementado, como explica nuestro análisis sobre cómo los atacantes roban tus códigos de verificación. Por eso las cuentas privilegiadas deben usar factores resistentes a phishing: llaves físicas YubiKey, Feitian o equivalentes con FIDO2.

Y ojo con las puertas traseras que pueden saltarse todo este andamiaje. Un sistema comprometido con un backdoor previamente instalado permite al atacante acceder al margen de PAM. La higiene del endpoint sigue siendo crítica.

Preguntas frecuentes

¿Una pyme de 20 empleados necesita PAM?

Sí, aunque no necesariamente una solución enterprise. Una bóveda de contraseñas con MFA obligatorio, separación de cuentas administrativas y rotación de credenciales cubre el 80% del riesgo. Bitwarden, 1Password Business o Passbolt son puntos de partida razonables antes de saltar a CyberArk o Delinea.

¿Cuánto cuesta implementar PAM?

Las soluciones enterprise rondan, según estimaciones 2025-2026, entre 80 y 250 euros por usuario privilegiado al año, sin contar implementación. Alternativas open-source como HashiCorp Vault o Teleport eliminan la licencia pero requieren más trabajo interno. El coste real está en las horas de consultoría y en el cambio de procesos.

¿PAM rompe la productividad de los administradores?

Si está bien implementado, no. Si está mal implementado, los admins encontrarán formas creativas de saltárselo. La clave es involucrarlos desde el diseño, automatizar lo que se pueda y medir tiempos de acceso para que el flujo no dure más de 30 segundos.

¿Qué diferencia hay entre PAM e IAM?

IAM (Identity and Access Management) gestiona todas las identidades de la organización: empleados, clientes, partners. PAM es un subconjunto especializado en cuentas con privilegios elevados, con controles mucho más estrictos. Son complementarias: IAM define quién es alguien, PAM controla qué puede hacer cuando tiene poderes especiales.

¿Las cuentas de servicio también entran en PAM?

Sí, y son frecuentemente las más peligrosas. Suelen tener contraseñas eternas, permisos excesivos y nadie recuerda quién las creó. Cualquier despliegue de PAM debe inventariarlas, rotarlas y, cuando sea posible, sustituirlas por managed service accounts (gMSA en Active Directory) o identidades managed en cloud.

El siguiente paso

Abre una hoja de cálculo, lista todas las cuentas con permisos de administrador en tu organización (dominio, servidores, cloud, bases de datos, routers) y marca cuáles tienen contraseña que no se ha cambiado en el último año. Esa lista es tu punto de partida real para PAM, y probablemente te quitará el sueño esta noche.

pam accesos privilegiados gestión accesos privileged access management cuentas admin seguras
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

SIEM: detección de amenazas en tiempo real para empresas
Seguridad Empresarial

SIEM: detección de amenazas en tiempo real para empresas

Segmentación de red: cómo limitar el impacto de un ciberataque
Seguridad Empresarial

Segmentación de red: cómo limitar el impacto de un ciberataque

Auditoría de ciberseguridad: qué es, tipos y cómo prepararse
Seguridad Empresarial

Auditoría de ciberseguridad: qué es, tipos y cómo prepararse

← Volver al blog