PAM Privileged Access Management.

PAM es el subconjunto de IAM centrado en cuentas privilegiadas: administradores, root, cuentas de servicio y break-glass. Almacena credenciales en bóveda, intermedia sesiones y registra la actividad. Es el primer objetivo del atacante tras el acceso inicial, y el control que los auditores examinan con mayor rigor bajo NIS 2 y DORA.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La perspectiva de Cyber Academy

PAM es el subconjunto de IAM centrado en cuentas privilegiadas: administradores, root, cuentas de servicio y break-glass. Almacena credenciales en bóveda, intermedia sesiones y registra la actividad. Es el primer objetivo del atacante tras el acceso inicial, y el control que los auditores examinan con mayor rigor bajo NIS 2 y DORA.

Por qué las cuentas privilegiadas son un problema aparte

Todo programa de identidad comienza con los usuarios ordinarios: quiénes son, qué pueden abrir, cómo lo demuestran. La gestión de accesos privilegiados (PAM) se ocupa de las cuentas que se sitúan por encima de esa capa. Administradores de dominio, cuentas root y de administrador local, propietarios de bases de datos, consolas de hipervisor, identidades root en la nube, cuentas de servicio que se ejecutan sin supervisión y las cuentas de emergencia reservadas para situaciones críticas.

Estas identidades pueden cambiar la configuración, leer o destruir datos, deshabilitar el registro y crear nuevas cuentas. El radio de impacto de una sola credencial de administrador comprometida es todo el entorno, razón por la cual el PAM se trata como una disciplina propia y no como una funcionalidad del IAM general.

El gesto definitorio del PAM consiste en dejar de tratar las credenciales privilegiadas como algo que una persona simplemente conoce. En su lugar, el secreto reside en una bóveda, el acceso se solicita y se aprueba, la sesión se canaliza a través de una pasarela controlada y todo lo que hace el usuario privilegiado queda registrado. El humano a menudo nunca llega a ver la contraseña. Esa separación entre el operador y el secreto es lo que hace que la actividad privilegiada sea auditable y revocable.

Qué controla realmente un programa de PAM

En la práctica, una implementación de PAM madura combina varios mecanismos que se corresponden directamente con lo que los auditores esperan ver:

  • Almacenamiento en bóveda de credenciales: las contraseñas privilegiadas, las claves SSH y los secretos de API se almacenan de forma centralizada, se rotan automáticamente y nunca se incrustan en scripts ni en archivos de configuración.
  • Intermediación y grabación de sesiones: los administradores se conectan a través de un proxy que inyecta la credencial, de modo que la sesión puede supervisarse, grabarse y terminarse sin que el operador llegue a poseer el secreto.
  • Elevación justo a tiempo: los derechos se conceden para una tarea definida y una ventana definida, y luego se revocan, en lugar de dejarlos asignados a la cuenta de forma permanente.
  • Procedimientos de emergencia (break-glass): las cuentas de emergencia están selladas, con alarma y se revisan después de cada uso, de modo que existen para interrupciones genuinas sin convertirse en una puerta trasera silenciosa.
  • Descubrimiento y rendición de cuentas: la herramienta detecta cuentas privilegiadas y de servicio en todo el parque y vincula cada acción privilegiada a un humano identificado por su nombre.
El PAM en comparación con el IAM general
DimensiónIAM generalPAM
AlcanceTodas las identidades y accesosSolo cuentas privilegiadas (admin, root, servicio, break-glass)
Pregunta central¿Debería esta persona tener acceso?¿Cómo se almacena en bóveda, se intermedia y se registra este acceso elevado?
Gestión de credencialesEl usuario se autentica con su propia credencialEl secreto se almacena en bóveda y se inyecta; el operador puede no verlo nunca
Postura por defectoDerechos persistentes gestionados a lo largo del tiempoJusto a tiempo, limitado en el tiempo, revocado tras su uso
Foco de la auditoríaRevisiones de acceso y proceso de alta-traslado-bajaGrabación de sesiones, rotación, revisión de cuentas de emergencia

Dónde se sitúa el PAM dentro del IAM y el panorama regulatorio

El PAM es un subconjunto de la gestión de identidades y accesos, acotado a las cuentas que conllevan mayor riesgo, y es la punta de lanza del principio de mínimo privilegio. El IAM general se pregunta si una persona debería tener acceso siquiera. El PAM da por sentado que el acceso es legítimo, pero insiste en que sea temporal, intermediado, registrado y reversible. Los atacantes comprenden esta jerarquía: tras una primera intrusión mediante phishing o un servicio expuesto, el siguiente objetivo es escalar hacia una cuenta privilegiada, porque eso es lo que convierte un único host en el control del dominio.

Los supervisores también lo saben. En virtud de la Directiva NIS 2, el control de acceso y la gestión de las cuentas privilegiadas se enmarcan de lleno en las medidas de gestión de riesgos de ciberseguridad que las entidades esenciales e importantes deben aplicar. El Reglamento de Resiliencia Operativa Digital (DORA) establece expectativas comparables para el sector financiero, donde la autenticación robusta y el control estricto de los accesos privilegiados forman parte del marco de gestión del riesgo de TIC.

El Anexo A de la norma ISO/IEC 27001 aborda los derechos de acceso privilegiado y la gestión de la información secreta de autenticación como controles nombrados. En una auditoría, el acceso privilegiado es de forma sistemática una de las áreas examinadas con mayor dureza, porque un control débil en este punto socava todas las demás salvaguardas.

Modos de fallo habituales

Los programas de PAM fracasan de maneras predecibles. Cuentas de servicio con contraseñas sin caducidad codificadas directamente en la automatización. Cuentas de administrador compartidas en las que nadie puede decir quién actuó. Derechos de administrador local permanentes en cada estación de trabajo. Una adopción de la bóveda que cubre a los administradores interactivos pero deja intactas las identidades de máquina. La disciplina solo vale lo que su cobertura, por lo que el trabajo práctico es el descubrimiento continuo y la eliminación constante del privilegio permanente, y no un único despliegue.

Frequently asked questions

01¿Es el PAM lo mismo que el IAM?

No. El PAM es un subconjunto del IAM centrado únicamente en las cuentas privilegiadas, como las de administrador, root, las cuentas de servicio y las identidades de emergencia. El IAM gobierna todos los accesos; el PAM aplica un almacenamiento en bóveda, una intermediación y una grabación más estrictos a las cuentas con el mayor radio de impacto.

02¿Qué es una cuenta de emergencia (break-glass)?

Es una cuenta privilegiada de emergencia que se mantiene sellada para situaciones en las que fallan las vías de acceso normales, como una caída del proveedor de identidad. Sus credenciales se almacenan en bóveda y con alarma, y cada uso desencadena una revisión para que la cuenta no se convierta en una puerta trasera silenciosa.

03¿Por qué los atacantes apuntan primero al acceso privilegiado?

Tras una primera intrusión, una sola credencial privilegiada puede otorgar el control de todo el entorno: cambiar la configuración, deshabilitar el registro y crear nuevas cuentas. Escalar hacia el privilegio es lo que convierte un host comprometido en una brecha que abarca todo el dominio.

04¿Exigen NIS 2 o DORA el uso de PAM?

Ninguno nombra un producto, pero ambos exigen el control del acceso privilegiado. NIS 2 incluye el control de acceso entre sus medidas de gestión de riesgos, y DORA espera una autenticación robusta y una gestión estricta del acceso privilegiado dentro del marco de gestión del riesgo de TIC. El PAM es la manera en que las organizaciones evidencian esas obligaciones.

05¿Qué es el acceso privilegiado justo a tiempo?

Significa conceder derechos elevados para una tarea específica y una ventana de tiempo limitada, y luego revocarlos automáticamente, en lugar de dejar los privilegios asignados a la cuenta de forma permanente. Reduce la ventana en la que una credencial comprometida resulta útil.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.