El principio de menor privilegio, también conocido como POLP (Principle of Least Privilege), es una regla de seguridad informática que establece que cada usuario o grupo de usuarios debe tener solo los permisos necesarios para realizar sus tareas.
En otras palabras, cuanto menos poder tenga un usuario, menor será el riesgo de que cause daños a la empresa.
¿Por qué es importante?
El POLP es importante porque ayuda a proteger los sistemas y datos de la empresa de los ataques cibernéticos.
Cuando un usuario tiene demasiados permisos, tiene más posibilidades de cometer errores o ser víctima de un ataque. Por ejemplo, un usuario con acceso a los servidores podría instalar malware o robar información confidencial.
¿Cómo se aplica?
El POLP se puede aplicar a cualquier sistema informático, ya sea local o en la nube.
- Menor Privilegio en la Práctica
- Importancia Continua en un Mundo Cambiante
- Complejidades en la Implementación
- Cuentas Privilegiadas: Definición y Tipos
- Cuentas Privilegiadas en la Nube
- Vectores Comunes de Amenazas Privilegiadas
- Desafíos para Aplicar el Menor Privilegio
- Beneficios para la Seguridad y la Productividad
- Principio de Menor Privilegio y Buenas Prácticas
- Menor Privilegio y Confianza Cero
- Soluciones para la Implementación del Menor Privilegio
- Cómo Implementar el Menor Privilegio de Manera Efectiva
- Conclusión
Menor privilegio en la práctica
¿Qué pasa si un usuario necesita hacer algo que normalmente no puede hacer?
El principio de menor privilegio establece que cada usuario debe tener solo los permisos necesarios para realizar sus tareas. Esto ayuda a proteger los sistemas y datos de la empresa de los ataques cibernéticos.
Sin embargo, hay casos en los que un usuario puede necesitar eludir las restricciones de seguridad para realizar alguna actividad no planificada. Por ejemplo, un usuario puede necesitar crear registros de un nuevo cliente.
En estos casos, el administrador del sistema puede otorgarle al usuario acceso temporal a un rol con mayores privilegios.
¿Cómo se hace esto de manera segura?
Lo ideal sería que el administrador del sistema crease un trabajo que automáticamente agregue al usuario al rol y que después de un tiempo definido lo elimine del rol.
Por ejemplo, el administrador podría darle al usuario privilegios durante dos horas y luego, automáticamente, quitarle los privilegios después de ese tiempo.
Esto ayuda a garantizar que el usuario solo tenga acceso a los permisos necesarios durante el tiempo que los necesite.
¿Qué pasa con los grupos de usuarios?
En general, es más seguro otorgar permisos a grupos de usuarios que a usuarios individuales.
Esto se debe a que es más difícil que un atacante comprometa a un grupo completo de usuarios que a un solo usuario.
Por ejemplo, si Juan es contador, en lugar de otorgarle privilegios de crear plantillas a Juan, el administrador podría otorgarle esos privilegios al grupo de contadores.
¿Y los procesos o servicios?
El principio de menor privilegio también se aplica a los procesos y servicios.
Si un proceso o servicio funciona con una cuenta, esa cuenta debe tener la menor cantidad de privilegios posible.
Esto ayuda a reducir el daño que un atacante podría causar si compromete la cuenta.
Importancia Continua en un Mundo Cambiante
Un gran número de empresas, tras la pandemia del COVID aumentó considerablemente la cantidad de empleados que trabajan desde casa. Antes solo nos teníamos que preocupar de los ordenadores dentro de la empresa. Ahora, la seguridad de cada ordenador portátil o teléfono móvil que acceda a nuestra red puede ser una brecha de seguridad.
Para evitar desastres, debemos crear estándares de seguridad y capacitar al personal para evitar que entren a sitios prohibidos con los ordenadores de la empresa o las computadoras que acceden a nuestra empresa. Es por eso que se debe evitar dar privilegios de administrador y aplicar el PoLP en los usuarios en la medida que sea posible. Por eso se aplica la confianza 0, dando la menor cantidad de privilegios en lo posible. Si el usuario no se autentifica, no se le dan privilegios.
El personal de TI debe verificar la seguridad de las computadoras portátiles que lleva el usuario y ver la forma de evitar que lleguen ataques a los servidores empresariales o de la nube provenientes de nuestro personal que trabaja de manera remota.
Complejidades en la Implementación
Sin embargo, aplicar el mínimo privilegio de seguridad es hoy en día bastante complejo. Los usuarios con una cuenta acceden a infinidad de aplicaciones diferentes.
Posiblemente también tengan que acceder a aplicaciones web que residen en servidores Linux por lo cual hay que crear roles y privilegios en diversas aplicaciones. Es muy común que varias funcionalidades básicas no funcionen con los mínimos privilegios de ciberseguridad por lo que existe la tentación de conceder privilegios extra.
Dar privilegios mínimos a una sola aplicación ya es complicado. Otorgar PoLP a varios sistemas que interactúan entre sí, llega a ser mucho más complejo aún. Es necesario realizar controles de calidad de seguridad. Los ingenieros de TI deben hacer pruebas de seguridad y parchear los huecos de seguridad.
Cuentas Privilegiadas: Definición y Tipos
Las cuentas privilegiadas o super cuentas son esas cuentas que tienen acceso a todo.
Estas cuentas tienen privilegios de administrador. Las cuentas son usadas generalmente por gerentes o por las personas de mayor rango jerárquico del equipo de TI.
Se debe tener mucho cuidado con dichas cuentas. Si un hacker o un Malware logra acceder a estas contraseñas, es posible destruir todo el sistema operativo o toda la base de datos.
La cantidad de usuarios con acceso a estas cuentas debe ser mínima. Normalmente solo el gerente de IT tendrá cuentas de super usuario con todos los privilegios y la alta gerencia tendrá amplios privilegios, pero en ningún caso privilegios totales.
En los sistemas operativos Linux y Mac por ejemplo el superusuario se denomina root. En el sistema Windows se le llama Administrador.
Por ejemplo, nuestra cuenta de Windows por defecto no corre con todos los privilegios. Si deseamos ejecutar un archivo con cuentas de administrador, debemos presionar el botón derecho sobre el archivo ejecutable y seleccionar la opción Ejecutar como Administrador.
Este privilegio de ejecutar como administrador solo se usa en casos especiales de instalación y no se debe usar en todo momento.
Para evitar que un hacker o una persona malintencionada acceda a estos usuarios se recomienda cumplir estas medidas de seguridad:
- Utiliza una contraseña compleja larga que mezcle mayúsculas, minúsculas, números y caracteres especiales.
- También trata de cambiar la contraseña de estos usuarios con regularidad. Por ejemplo, cambiar la contraseña cada mes o cada dos meses.
- No está de más utilizar un buen anti-virus para detectar y prevenir algún ataque y también poner un cortafuegos (firewall en inglés) para evitar ataques de desconocidos.
- Evita siempre abrir correos y archivos adjuntos de desconocidos o entrar a páginas web de dudosa confiabilidad. Estos ataques pueden vulnerar las cuentas. En lo posible, nunca navegar con supercuentas de usuario ni usar estas cuentas a menos de que sea necesario.
Cuentas Privilegiadas en la Nube
Hoy en día, gran cantidad de información se maneja en la nube. Cubriremos el manejo de cuentas en las principales plataformas como ser AWS, Azure de Microsoft y Google Cloud.
En AWS se utiliza el tipo de autenticación IAM (Identity and Access Management) que permite crear y administrar usuarios. También soporta la autenticación multifactor (MFA) que exige 2 formas para validar al usuario y así ingresar aumentando así la seguridad.
En AWS existe un usuario root que es un super usuario con todos los privilegios. Con este usuario debemos crear otros usuarios y protegerlo usándolo lo menos posible.
Google Cloud también proporciona un sistema IAM y también el KMS (Servicio de manejo de claves) que permite administrar y manejar las claves.
Dependiendo de la aplicación en la nube existen super usuarios administradores de las bases de datos, sistemas análisis, sitios web, IA y otros recursos.
Si por ejemplo, yo soy un usuario que solo necesito ver reportes de tablas de una base de datos, no necesito tener acceso a actualizar o insertar datos nuevos. Todos estos privilegios deben ser cuidadosamente planificados por el departamento de TI de seguridad.
Vectores Comunes de Amenazas Privilegiadas
Si no se aplica el PoLP, si un hacker entra al sistema podría acceder a información muy sensible a la empresa al poder conseguir la contraseña de un usuario. En muchos casos estos hackers roban la información y piden dinero de rescate.
En otras situaciones, usuarios dentro de la empresa malintencionados podrían vender información valiosa de la empresa. Si aplicamos el PoLP, estos riesgos se pueden reducir considerablemente.
Desafíos para Aplicar el Menor Privilegio
No es nada fácil aplicar el PoLP en las empresas. Especialmente si les hemos dado privilegios de administrador inicialmente y ahora que hemos aprendido los riesgos queremos quitarle los privilegios. Debemos hacerle entender al usuario que es por el bien de la empresa para proteger nuestra información y que un gran poder conlleva una gran responsabilidad. Que si sucede algún ataque a la empresa, los mismos empleados quedan mal junto con la empresa. Explicarle que la seguridad depende de todos.
Muchas veces damos privilegios excesivos por pereza de dar solo el mínimo privilegio de ciberseguridad. Es apremiante investigar, optimizar y reducir los privilegios para aumentar la seguridad.
Otro problema común es que al tener privilegios restringidos, se reduce la productividad del usuario que termina siendo dependiente de su superior por falta de privilegios. Esto puede causar frustración en los usuarios e ineficiencia en la empresa. Debemos ver cómo lograr un equilibrio en cuanto a eficiencia sin afectar la seguridad.
Beneficios para la Seguridad y la Productividad
Al aplicar el principio de otorgar acceso restringido, reducimos la superficie de ataque. También se reducen las posibilidades de recibir un ataque de Malware y se pierde menos tiempo tratando de recuperar los datos después de un ataque.
Por ejemplo Equifax, una empresa de crédito fue víctima de un Ransomware en 2017. Este ataque afectó a 143 millones de clientes. Equifax tuvo que pagar 700 millones de dólares en multas y reparaciones. También tuvo que pagar indemnizaciones a los usuarios.
Los principales beneficios para la empresa son:
- Reduce el riesgo de ataques cibernéticos.
- Protege los datos confidenciales.
- Reduce el impacto de los ataques.
Principio de Menor Privilegio y Buenas Prácticas
Para poder cumplir con los estándares es recomendable hacer una auditoría y verificar los privilegios de los usuarios y seguridad en general. Se puede hacer una verificación interna o una auditoría externa.
Puedes realizar pruebas de seguridad para ver si tu empresa cumple esos estándares. A continuación muestro alguno de los estándares más conocidos:
- CIS es un Centro para la seguridad de la información. Contiene recomendaciones y buenas prácticas para proteger sistemas y datos a nivel mundial.
- NIST Cybersecurity Framework proporciona un marco de seguridad del Instituto Nacional de Estándares y Tecnología.
- SOC 2 proporciona un informe de evaluación de los controles de seguridad de una empresa u organización.
Menor Privilegio y Confianza Cero
Separar los privilegios es dar a los usuarios o cuentas solamente los privilegios que necesitan para reducir el riesgo. Las políticas de seguridad Just-In-Time (JIT) reducen los riesgos al eliminar excesivos privilegios, automatizar los procesos de seguridad y administrar a los usuarios privilegiados.
JIT significa dar privilegios solamente cuando se los necesita. Es decir, que sean temporales. Por ejemplo si un usuario necesita acceder a una base de datos solamente por 2 horas, podemos crear un script que le asigne privilegios durante este tiempo y luego se le remuevan dichos privilegios.
Para implementar el JIT se debe:
- Crear un plan con las políticas de seguridad.
- Implementar el plan aplicando el PoLP y el JIT con controles que pueden incluir el acceso multifactor y un control de acceso con roles.
- Es importante capacitar a los empleados sobre seguridad y explicar estos conceptos para que entiendan no solo cómo aplicarlos sino el porqué aplicarlos.
- Y finalmente es importante aplicar auditorías. De este tema ya se habló en el punto 10.
Conviene también hacer un monitoreo de permisos para ver quienes tienen privilegios de más y también vemos a qué recursos se acceden para ver si se necesitan realizar ajustes en los mismos.
Soluciones para la Implementación del Menor Privilegio
Como mencionamos anteriormente, para incrementar la seguridad, hay que segmentar la red para reducir daños si nuestra seguridad se vulnera. Segmentar la red es dividir la red en pequeñas subredes.
También se debe monitorear los privilegios otorgados a los usuarios.
Finalmente se debe integrar las políticas de seguridad con las tecnologías para crear un plan administrativo de acuerdo al software que se tenga.
Cómo Implementar el Menor Privilegio de Manera Efectiva
Para implementar el principio de otorgar accesos, se debe implementar el sistema propuesto en servidores de prueba. Se debe pedir al personal que por un tiempo haga pruebas de trabajos reales en el sistema.
Una vez que se corrijan los errores o se solucionen las quejas de los usuarios, corresponde llevar el sistema a producción con los mínimos privilegios. Se recomienda un período de pruebas de por lo menos un mes donde los usuarios prueben el sistema y tengan a la mano el sistema antiguo.
En la mayoría de las ocasiones conviven el sistema antiguo y el nuevo por meses hasta que se aprueba el sistema con nuevo con la seguridad de menor privilegio implementada.
Conclusión
El principio de menor privilegio: una medida simple pero efectiva para la seguridad informática.
En un mundo cada vez más digital, la seguridad informática es fundamental para las empresas de todos los tamaños. Los ataques cibernéticos son cada vez más frecuentes y sofisticados, y pueden causar daños importantes a las empresas.
Una de las medidas más importantes que pueden tomar las empresas para proteger sus sistemas y datos de los ataques cibernéticos es aplicar el principio de menor privilegio. Este principio establece que cada usuario o grupo de usuarios debe tener solo los permisos necesarios para realizar sus tareas.
Aplicar el principio de menor privilegio es una medida simple pero efectiva. Al otorgar a los usuarios solo los permisos necesarios, las empresas reducen el riesgo de que un atacante comprometa los sistemas y datos sensibles.
Consejos para aplicar el principio de menor privilegio:
- Identifica los permisos necesarios para cada tarea.
- Otorga permisos a grupos de usuarios en lugar de a usuarios individuales.
- Reduce los privilegios de las cuentas de procesos y servicios.
- Revisa los permisos de los usuarios de forma regular.
Daniel Calbimonte es un escritor experto en tecnologías. Conferencista, consultor, Blogger. Es un apasionado en software y tecnología. Escribe sobre temas de TI, Seguridad, programación, AI, BI.
