Por qué los usuarios con privilegios son un gran riesgo para la seguridad
Publicado el: 22 Nov 2021
Última modificación: 23 Sep 2025
Los usuarios con privilegios tienen acceso adicional a los recursos corporativos y a los sistemas informáticos; estas cuentas están abiertas a abusos, contratiempos y explotación, y son un tipo de amenaza interna.
Estos derechos de acceso adicionales han hecho que una reciente encuesta de Bitglass «Espías en la empresa» haya identificado a los usuarios privilegiados como la mayor fuente de riesgo dentro de una organización.
Un informe de Gurucul, coincide con esto, descubriendo que el 63% de las organizaciones creen que los usuarios privilegiados de TI presentan la mayor amenaza interna.
Estos dos informes no son los primeros en constatar que los usuarios privilegiados son una fuente de riesgo para la seguridad y, sin duda, no serán los últimos. Pero, ¿por qué este grupo de usuarios deja a una organización expuesta a amenazas de seguridad y qué se puede hacer para mitigar el riesgo de un usuario privilegiado?
El usuario privilegiado en la máquina
La pista sobre las amenazas a la seguridad que plantean los usuarios privilegiados está en el nombre: privilegiados.
El acceso privilegiado se concede a determinados tipos de funciones o grupos dentro de una organización. Las personas que disponen de acceso privilegiado, necesitan derechos de acceso adicionales a los de los usuarios estándar porque gestionan la infraestructura informática, o necesitan acceder a recursos corporativos sensibles, etc.
Pero, por desgracia, una vez asignado el acceso privilegiado, estos usuarios tienen las llaves de su reino corporativo.
El problema del privilegio es que crea un arma de doble filo. Por un lado, estos usuarios necesitan derechos adicionales para acceder a áreas seguras y sensibles, pero estos derechos tienen el potencial de ser abusados, mal utilizados o secuestrados.
Cómo cuadrar esta ronda es una de las áreas más difíciles con las que debe lidiar un departamento de TI. Algunos de los problemas que plantean los usuarios con acceso privilegiado son:
Los usuarios con acceso privilegiado son un objetivo para los ciberdelincuentes
Quienes tienen la llave de los datos son objetivos prioritarios. Los ciberdelincuentes se centrarán en determinadas funciones y grupos dentro de una organización para aprovecharse de sus derechos de acceso. Si un ciberdelincuente puede hacerse con esos derechos de acceso, puede moverse por una organización, entrando en áreas sensibles de una red, sin ser detectado.
Por ello, los usuarios privilegiados se convierten en objetivo de los ataques de spear-phishing. Los piratas informáticos que crean campañas de spear-phishing conocen bien a su objetivo. Dedican tiempo a entender quiénes son y a qué desencadenantes reaccionarán.
Departamentos como el de cuentas por pagar, por ejemplo, suelen ser víctimas de ataques de spear-phishing, ya que potencialmente pueden acceder a cuentas financieras y transferir dinero. Para poner esto en perspectiva, un informe de 2019 de Symantec descubrió que los correos electrónicos de spear-phishing fueron utilizados por el 65% de todos los grupos conocidos que llevan a cabo ciberataques dirigidos.
Gestión y control del cumplimiento
Los usuarios con privilegios suelen tener acceso a los permisos y controles de seguridad. Con el acceso viene el control. Si un usuario privilegiado, incluso inadvertidamente, realiza un cambio en un permiso o en un ajuste de seguridad, esto podría hacer que una organización dejara de cumplir con normativas como GDPR del Reino Unido, DPA2018, PCI, etc.
El privilegio cambia y evoluciona
Los usuarios con privilegios se desplazan a menudo por una organización. A medida que lo hacen, puede ser necesario cambiar sus derechos de acceso. Sin embargo, realizar este cambio puede resultar complicado si no se supervisa cuidadosamente.
Además, las personas que abandonan una empresa y disponen de acceso privilegiado pueden caer a menudo en la red de seguridad, abandonando una empresa y conservando al mismo tiempo los derechos de acceso privilegiado. Un informe de Hague Delta reveló que las personas que abandonan una empresa suponen la mayor amenaza interna de exposición de datos. Además, el informe descubrió que el 89% de los que abandonaban la empresa seguían teniendo acceso a los datos después de dejar la organización.
Formas de prevenir los abusos y percances de los usuarios con privilegios
Existen varias formas de reducir las amenazas internas asociadas a los usuarios privilegiados. He aquí algunas de las más eficaces:
Gestionar privilegios
Existe un principio conocido como «mínimo privilegio» que es un principio fundamental del control en una organización. Es más o menos así: conceda a sus empleados sólo los permisos necesarios para hacer su trabajo, y nada más.
Una forma de hacer que esto funcione es ser granular en la forma de establecer los permisos. Así, por ejemplo, solicite permisos por aplicación en lugar de globales y establezca los derechos de acceso en función de un usuario y no de todo un grupo de usuarios. Cuantos más derechos conceda a alguien, mayor será el riesgo.
Forme a los usuarios con privilegios sobre la ingeniería social
Dado que los usuarios privilegiados están en el punto de mira de los ciberdelincuentes, a menudo son objeto de ataques mediante ingeniería social. Los ciberdelincuentes suelen utilizar la recopilación de información y la vigilancia, apuntando a los usuarios privilegiados, para preparar un ataque o estafa o para informar una campaña de spear-phishing.
Eduque a sus usuarios privilegiados sobre el mayor riesgo asociado a sus derechos de acceso y sobre cómo detectar los signos reveladores de la ingeniería social utilizada para dirigirse a los usuarios privilegiados.
Eduque a los usuarios con privilegios sobre los trucos y tácticas del phishing
Las campañas de spear-phishing dirigidas a usuarios privilegiados pueden ser extremadamente difíciles de detectar. Sin embargo, si adapta las plantillas de simulación de phishing para que reflejen los signos más sutiles de un mensaje de spear-phishing, podrá proporcionar a sus usuarios privilegiados las herramientas que les ayuden a identificar los mensajes sospechosos.
Estas simulaciones de spear-phishing deben utilizarse en combinación con la formación de concienciación sobre ingeniería social.
Proceso y política
Cree políticas formales en torno a la emisión de cuentas de acceso privilegiado. Estas políticas deben estar diseñadas para imponer la responsabilidad. También deben reflejar el principio del menor privilegio y ofrecer orientación sobre cómo se determinan los controles de las cuentas privilegiadas, utilizando revisiones y aprobaciones formales a través de una jerarquía de partes interesadas.
Las políticas y procesos para gestionar, educar y controlar a los usuarios privilegiados, deben ser una parte fundamental de su estrategia de seguridad.
Credenciales sólidas
Aplique una política de autenticación robusta, multifactorial y basada en el riesgo, a su estrategia de seguridad global. Esto ayuda como parte de una estrategia global en la mitigación de las amenazas externas basadas en la toma de control de cuentas privilegiadas de información privilegiada.
Los usuarios con privilegios son un eslabón débil en una organización debido al acceso a datos sensibles y sistemas informáticos. Pero los usuarios privilegiados son necesarios para el buen funcionamiento de una organización. Aplicando las mejores prácticas a los usuarios privilegiados, incluyendo la educación, los procesos y la aplicación de políticas, una organización puede reducir el riesgo de este importante tipo de cuenta.
