Mínimo privilegio.

El mínimo privilegio es el principio según el cual cada identidad (humana o de máquina) recibe los permisos mínimos necesarios para su función, y ninguno más. Parece obvio; rara vez se aplica. La mayoría de los incidentes de exfiltración de datos comienzan con una cuenta de servicio con permisos excesivos que nadie sabía justificar cuando se preguntaba. Combinar con revisiones periódicas de accesos.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La perspectiva de Cyber Academy

El mínimo privilegio es el principio según el cual cada identidad (humana o de máquina) recibe los permisos mínimos necesarios para su función, y ninguno más. Parece obvio; rara vez se aplica. La mayoría de los incidentes de exfiltración de datos comienzan con una cuenta de servicio con permisos excesivos que nadie sabía justificar cuando se preguntaba. Combinar con revisiones periódicas de accesos.

El principio, y por qué sigue fallando en la práctica

El privilegio mínimo es fácil de enunciar y difícil de vivir. Cada identidad, ya sea una persona, una cuenta de servicio, un script de automatización o una clave de API, debería poseer exactamente los permisos que su tarea requiere y nada más. El fallo rara vez es una decisión deliberada de otorgar permisos en exceso. Es acumulación. Alguien necesita derechos de administrador para una migración puntual y la concesión nunca se retira.

Una cuenta de servicio se crea con ámbitos amplios porque restringirlos exigiría una tarde de pruebas que nadie tiene tiempo de hacer. A un equipo se le asigna un rol diseñado para otro equipo porque era lo más parecido disponible. Con los meses, las identidades acumulan permisos como un escritorio acumula papeles, y nadie sabe explicar por qué cualquiera de ellos está ahí.

Esa acumulación es la superficie de ataque. Cuando una cuenta con permisos excesivos es objeto de phishing, se filtra o se abusa de ella de forma silenciosa, el radio de impacto es todo aquello que esa cuenta podía tocar, que suele ser mucho más que su trabajo real. La disciplina del privilegio mínimo no está en la concesión inicial, que es la parte fácil. Está en el trabajo continuo de retirar lo que ya no se necesita y de poder justificar lo que permanece.

Cómo lo implementan realmente los profesionales

El privilegio mínimo es un hábito operativo respaldado por herramientas, no una configuración puntual. El trabajo se agrupa en torno a unas pocas actividades recurrentes:

  • Diseño de roles y permisos: construir los roles en torno a las funciones del puesto, de modo que conceder acceso sea una correspondencia deliberada y no una copia de lo que tenía la persona anterior.
  • Acceso justo a tiempo y justo lo suficiente: conceder derechos elevados durante la ventana en que se necesitan y retirarlos automáticamente después, en lugar de dejar establecidos permisos de administración permanentes.
  • Revisiones de acceso: reexaminar periódicamente quién posee qué y exigir que un responsable confirme que cada concesión sigue estando justificada. Todo lo que nadie quiera avalar se revoca.
  • Separación de funciones: dividir las acciones sensibles de modo que ninguna identidad pueda a la vez iniciar y aprobar una operación de alto riesgo, lo que equivale a aplicar el privilegio mínimo a los flujos de trabajo en lugar de a los datos.
  • Identidades de máquina: tratar las cuentas de servicio, los tokens y las credenciales de pipeline con el mismo rigor que a los usuarios humanos, porque suelen ser las que más permisos acumulan y las menos revisadas.

Dónde se sitúa entre el zero trust, el IAM y el PAM

El privilegio mínimo es un principio. Los términos vecinos son la maquinaria que lo materializa. La gestión de identidades y accesos (IAM) es el sistema que define las identidades y lo que pueden hacer, de modo que el privilegio mínimo es la regla que el IAM debe hacer cumplir. La gestión de accesos privilegiados (PAM) es la disciplina más estricta aplicada a las cuentas de mayor riesgo, donde el privilegio mínimo importa más y donde suele residir la elevación justo a tiempo.

El zero trust es la arquitectura más amplia que asume que ninguna identidad es de confianza por defecto y verifica cada solicitud; el privilegio mínimo es uno de sus mecanismos centrales, porque verificar una solicitud solo ayuda si el acceso que se concede ya es mínimo. Se puede sostener el principio sin las herramientas, pero a cualquier escala real el principio sin IAM, PAM y revisiones periódicas se degrada silenciosamente de nuevo en sobreaprovisionamiento.

La idea está entretejida en las normas incluso donde la frase exacta varía. El Anexo A de la ISO/IEC 27001 aborda el control de acceso, los derechos de acceso privilegiado y la revisión periódica de los derechos de acceso de los usuarios. La familia de control de acceso del NIST se construye en torno al privilegio mínimo y la separación de funciones como principios nombrados. Los CIS Controls exigen un uso controlado de los privilegios administrativos y la gestión de cuentas. Los auditores no solo quieren ver que el acceso se concedió correctamente una vez. Esperan evidencia de un ciclo de revisión continuo, y una cuenta de administración permanente que nadie revisa se trata como un hallazgo, no como una comodidad.

Frequently asked questions

01¿Cuál es la diferencia entre privilegio mínimo y zero trust?

El privilegio mínimo es el principio según el cual cada identidad obtiene los permisos mínimos que necesita. El zero trust es la arquitectura más amplia que no confía en ninguna identidad por defecto y verifica cada solicitud. El privilegio mínimo es uno de los mecanismos centrales que dan sentido al zero trust, porque la verificación continua solo ayuda si el acceso ofrecido ya es mínimo.

02¿En qué se diferencia el privilegio mínimo del IAM y el PAM?

El privilegio mínimo es la regla. El IAM es el sistema que define las identidades y sus permisos y que debe hacer cumplir esa regla. El PAM es la disciplina más estricta aplicada a las cuentas privilegiadas de mayor riesgo, donde el privilegio mínimo y la elevación justo a tiempo importan más.

03¿Se aplica el privilegio mínimo a las cuentas de servicio y las máquinas?

Sí, y es ahí donde más importa. Las identidades de máquina, como las cuentas de servicio, los tokens de API y las credenciales de pipeline, suelen ser las que más permisos acumulan y las menos revisadas, razón por la cual las cuentas de servicio con permisos excesivos aparecen en tantos incidentes de exfiltración de datos.

04¿Con qué frecuencia debe revisarse el acceso?

Según un ciclo regular y definido, en lugar de hacerlo de forma puntual. La cuestión es que un responsable reconfirme periódicamente que cada concesión sigue estando justificada y revoque todo lo que nadie quiera avalar. Lo que los auditores señalan es el acceso privilegiado permanente que nunca se revisa.

05¿Exigen el privilegio mínimo normas como la ISO 27001?

Está integrado en ellas. El Anexo A de la ISO/IEC 27001 cubre el control de acceso, los derechos de acceso privilegiado y las revisiones periódicas de acceso, la familia de control de acceso del NIST nombra el privilegio mínimo y la separación de funciones, y los CIS Controls exigen un uso controlado de los privilegios administrativos.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.