Una auditoría encuentra decenas de cuentas de servicio sin usar y con permisos excesivos. ¿Qué hace?
Respuesta breve
Las cuentas de servicio sin usar y con permisos excesivos son objetivos preferentes y una gran superficie de ataque. Inventaríelas, desactive o elimine las no usadas (vigilando roturas), ajuste las supervivientes al mínimo privilegio y dé a cada una un propietario y una revisión recurrente. Dejarlas es un riesgo permanente, darles acceso admin general maximiza el radio de impacto, y consolidar todo en una sola cuenta compartida destruye el mínimo privilegio y la rendición de cuentas.
Decenas de cuentas de servicio sin usar y con permisos excesivos son una responsabilidad silenciosa pero seria. Cada una es una credencial que puede robarse o abusarse, a menudo con amplios derechos y sin un humano vigilándola — exactamente lo que buscan los atacantes para moverse lateralmente y escalar privilegios. La respuesta correcta es una limpieza disciplinada del ciclo de vida de las identidades.
El enfoque correcto
- Inventaríe cada cuenta de servicio: qué es, qué puede hacer, cuándo se usó por última vez y qué sistema depende de ella. No se puede asegurar lo que no se ha enumerado.
- Desactive o elimine las no usadas. Prefiera desactivar primero (reversible) a una eliminación inmediata, para detectar lo que se rompa silenciosamente, y luego elimine cuando esté seguro.
- Reduzca las supervivientes al mínimo privilegio — recorte los permisos permanentes a exactamente lo que cada carga de trabajo necesita, y rote sus credenciales.
- Asigne un propietario a cada cuenta restante y establezca una revisión de acceso recurrente, para que los derechos se vuelvan a justificar y la proliferación no regrese en silencio.
Por qué las demás respuestas son peligrosas
- «Dejarlas — podrían hacer falta algún día» es un riesgo permanente sin contrapartida. Las identidades inactivas y poderosas son pura superficie de ataque; el «algún día» rara vez llega, y la cuenta queda explotable mientras tanto.
- «Darles a todas acceso admin para la consistencia» maximiza el radio de impacto: ahora cada una de esas cuentas comprometibles se convierte en una vía hacia el control total. La consistencia no es virtud cuando el estado consistente es «con permisos excesivos».
- «Consolidar en una sola cuenta compartida» destruye de golpe el mínimo privilegio y la rendición de cuentas: esa cuenta única necesita la unión de todos los permisos, su credencial está en todas partes, y se pierde la capacidad de atribuir acciones o revocar el acceso de forma acotada.
Qué sondea el entrevistador
Quiere ver que trata las identidades como un ciclo de vida gestionado — enumerar, desactivar con seguridad, reducir el alcance, asignar propiedad, revisar — y que minimiza por instinto tanto el privilegio permanente como el radio de impacto en lugar de optimizar para la comodidad.
Posibles preguntas de seguimiento
- ¿Cómo desactivaría de forma segura una cuenta que sospecha que no se usa sin provocar una caída?
- ¿Qué señales (último uso, registros de acceso) indican que una cuenta está realmente inactiva?
- ¿Cómo evitar que la proliferación de cuentas de servicio reaparezca tras esta limpieza?