Skip to content

¿Qué es el acceso justo a tiempo (JIT) y cómo encajan las cuentas de emergencia (break-glass)?

Respuesta breve

El acceso justo a tiempo concede privilegios elevados solo cuando se necesitan, por un tiempo limitado, normalmente con aprobación; luego expiran automáticamente, de modo que no hay privilegio permanente que robar. Las cuentas de emergencia (break-glass) son la excepción deliberada: cuentas de emergencia muy privilegiadas, normalmente inactivas, bloqueadas tras controles estrictos y fuertes alertas, usadas solo cuando fallan las vías de acceso normales. El JIT reduce la superficie de ataque cotidiana; el break-glass garantiza que aún puedes entrar durante una crisis.

El privilegio más barato de robar es el que siempre está ahí. El acceso justo a tiempo (JIT) ataca eso haciendo temporal la elevación, y las cuentas break-glass manejan el caso límite en el que la propia automatización falla.

El acceso justo a tiempo

En lugar de mantener derechos de administrador de forma permanente, un usuario solicita la elevación cuando la necesita. La solicitud se aprueba (por una persona o una política), se concede por una ventana acotada, y luego se revoca automáticamente al expirar el plazo. El privilegio también suele limitarse a un rol o recurso específico.

La ganancia es la eliminación del privilegio permanente. Si las cuentas solo tienen derechos elevados durante los minutos en que realmente se usan, entonces una sesión víctima de phishing o un token robado suele caer en una cuenta sin nada extra que sustraer. También crea un rastro de auditoría limpio: cada elevación es un evento registrado, justificado y aprobado.

Las cuentas break-glass

El JIT y el acceso impulsado por SSO/IdP pueden fallar ellos mismos: el IdP está caído, la herramienta PAM no está disponible, una mala configuración deja a todos fuera. Las cuentas break-glass son la salida de emergencia deliberada: un pequeño número de cuentas de emergencia muy privilegiadas que eluden la maquinaria de acceso normal.

Como son tan poderosas, deben envolverse en controles estrictos:

  • Almacenadas sin conexión / en una bóveda sellada, con credenciales únicas muy largas e idealmente MFA resistente al phishing.
  • Excluidas de las políticas de acceso condicional que podrían bloquearlas (ese es el punto), pero fuertemente compensadas con monitorización.
  • Alertas de gravedad alta ante cualquier uso: cada inicio de sesión debería avisar a alguien de inmediato y disparar una revisión.
  • Probadas con regularidad para saber que funcionan antes de la emergencia real.

Cómo encajan

El JIT minimiza el privilegio cotidiano; el break-glass garantiza la recuperabilidad cuando el propio sistema que concede el JIT no está disponible. Uno reduce el riesgo rutinario, el otro previene un bloqueo autoinfligido.

Lo que buscan los entrevistadores: planteas el JIT como acabar con el privilegio permanente mediante una elevación temporal y aprobada, y describes el break-glass como una excepción de emergencia muy controlada y con fuertes alertas, no solo «un inicio de sesión de administrador de respaldo».

Posibles preguntas de seguimiento

  • ¿Por qué el privilegio permanente es más arriesgado que la elevación temporal?
  • ¿Qué controles deberían envolver una cuenta break-glass?
  • ¿Cómo te aseguras de que el uso de un break-glass nunca pase desapercibido?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.