¿Qué es la gestión de accesos privilegiados (PAM) y qué problema resuelve?
Respuesta breve
PAM controla y monitoriza las cuentas que pueden causar más daño: administradores de dominio, root, cuentas de servicio. Custodia y rota sus credenciales para que ningún secreto se comparta ni quede embebido, intermedia las sesiones para que los administradores nunca vean la contraseña en claro, graba lo que hacen los usuarios privilegiados, y concede idealmente la elevación justo a tiempo en vez de acceso permanente. El objetivo es reducir el radio de impacto de las cuentas que más codician los atacantes.
Las cuentas privilegiadas —administradores de dominio, root, administradores de organización en la nube, cuentas de servicio— son las llaves del reino. Comprometer una y un atacante a menudo posee el entorno. La gestión de accesos privilegiados (PAM) es la disciplina y el utillaje para mantener esas cuentas bajo control estricto.
Qué hace realmente PAM
- Bóveda y rotación de credenciales. Las contraseñas y claves privilegiadas viven en una bóveda, no en scripts, hojas de cálculo ni en la cabeza de los administradores. Se rotan automáticamente y tras cada uso, de modo que un secreto filtrado tiene una vida corta.
- Intermediación de sesiones. Cuando un administrador necesita acceso, la herramienta PAM inyecta la credencial en la sesión sin revelarla. El humano nunca conoce la contraseña real, así que no puede reutilizarse ni extraérsele por phishing.
- Grabación y monitorización de sesiones. Las sesiones privilegiadas se registran y a menudo se graban en vídeo, dando un rastro auditable de quién hizo qué, inestimable durante la respuesta a incidentes y para el cumplimiento.
- Elevación justo a tiempo. En lugar de derechos de administración permanentes, los usuarios solicitan la elevación por una ventana con aprobación, y el privilegio expira automáticamente.
Por qué el privilegio permanente es el problema central
El mayor riesgo no son los administradores malintencionados, sino que cada cuenta con alto privilegio permanente es un objetivo permanente. El phishing, el robo de tokens o un endpoint comprometido convierten a un administrador de confianza en un punto de apoyo para un atacante. PAM ataca esto minimizando cuántos privilegios existen, por cuánto tiempo y cuán recuperables son los secretos subyacentes.
PAM vs. gestión de secretos
Un gestor de secretos almacena secretos máquina a máquina (claves de API, contraseñas de BD) para las aplicaciones. PAM se solapa pero se centra en el acceso privilegiado humano: sesiones interactivas, aprobaciones y grabación, aunque las plataformas modernas difuminan la línea.
Lo que buscan los entrevistadores: conectas PAM con reducir el radio de impacto y el privilegio permanente, y mencionas la bóveda, la intermediación/grabación de sesiones y el JIT, no solo «es una bóveda de contraseñas para administradores».
Posibles preguntas de seguimiento
- ¿Por qué los privilegios de administración permanentes son peligrosos incluso para personal de confianza?
- ¿Cómo ayuda la grabación de sesiones durante la respuesta a incidentes?
- ¿Cuál es la diferencia entre PAM y un gestor de secretos?