Skip to content

¿Qué es el principio de privilegio mínimo, y cómo lo aplicarías en la práctica?

Respuesta breve

El privilegio mínimo significa que cada usuario, proceso o servicio obtiene solo el acceso mínimo necesario para su tarea, y nada más. Reduce el radio de impacto de cualquier compromiso o error. Se aplica con acceso basado en roles, elevación just-in-time, revisiones de acceso periódicas y la eliminación de derechos de administrador permanentes.

El principio de privilegio mínimo (PoLP) establece que cualquier identidad —humana o de máquina— debe poseer solo los permisos que realmente necesita, y solo mientras los necesite. Es uno de los controles de mayor apalancamiento en seguridad porque limita directamente lo que un atacante o un error pueden hacer.

Por qué importa: el radio de impacto

Cada credencial es un posible punto de apoyo. Si un usuario víctima de phishing o una cuenta de servicio comprometida tiene derechos amplios, el atacante hereda esos derechos. El privilegio mínimo garantiza que comprometer una identidad solo proporcione un conjunto reducido y contenido de capacidades, en lugar de las llaves del reino. La misma lógica protege frente a errores honestos: un script que solo puede tocar un bucket no puede borrar accidentalmente todo el patrimonio.

Aplicarlo en la práctica

  • Control de acceso basado en roles (RBAC): agrupa los permisos en roles ligados a funciones de trabajo en lugar de conceder derechos ad hoc a individuos.
  • Sin administrador permanente: elimina los privilegios administrativos permanentes; concédelos mediante elevación just-in-time que expira automáticamente.
  • Cuentas de servicio con alcance limitado: las identidades de máquina obtienen permisos estrechamente acotados por carga de trabajo, no súper-cuentas compartidas.
  • Revisiones de acceso periódicas: recertifica periódicamente quién tiene qué, porque los permisos se acumulan con el tiempo —la acumulación de privilegios— a medida que las personas cambian de rol.
  • Denegación por defecto: parte de cero acceso y añade de forma explícita, en lugar de partir abierto e ir recortando.

Una idea relacionada

La necesidad de saber es la prima del lado de los datos: aunque tengas el privilegio técnico, solo deberías acceder a la información relevante para tu tarea. El privilegio mínimo y la necesidad de saber se refuerzan mutuamente.

Qué buscan los entrevistadores

Enuncia la definición con claridad y luego conéctala con el radio de impacto. El diferenciador de nivel intermedio es nombrar mecanismos de aplicación concretos —RBAC, elevación JIT, revisiones de acceso— y reconocer la acumulación de privilegios como aquello que lo erosiona con el tiempo.

Posibles preguntas de seguimiento

  • ¿Qué es la acumulación de privilegios y cómo se detecta?
  • ¿Cómo respalda el acceso just-in-time el privilegio mínimo?
  • ¿En qué se diferencia el privilegio mínimo de la necesidad de saber?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.