IAM Empresarial: Gestión de Identidades y Accesos
IGA, provisioning, PAM, Active Directory y trazabilidad de accesos a escala corporativa
El Ciclo de Vida de la Identidad
IAM (Identity & Access Management) gestiona quién tiene acceso a qué recursos y bajo qué condiciones, a lo largo de todo el ciclo de vida del empleado (o contratista, sistema, aplicación).
Joiners
Alta en el sistema al incorporarse. Provisioning automático de cuentas y accesos según su rol (RBAC).
Movers
Cambio de puesto/departamento. Modificar accesos: añadir los nuevos, revocar los del rol anterior.
Leavers
Baja de la organización. Depro-visioning inmediato de TODAS las cuentas y accesos. Crítico.
Riesgo principal: Leavers sin deprovision
Las cuentas de exempleados activas son uno de los vectores más comunes de acceso no autorizado. El 30% de las brechas involucran credenciales de usuarios que ya no deberían tener acceso.
IGA: Identity Governance & Administration
IGA amplía IAM añadiendo gobernanza: visibilidad de todos los accesos, certificaciones periódicas, y capacidad de demostrar compliance.
Role Management (RBAC)
Definir roles de negocio con los accesos necesarios. Al asignar un rol, se provisionan automáticamente las cuentas. Ej: rol "Analista Financiero" → SAP/finance + PowerBI.
Access Certification (Revisiones)
Periódicamente, los managers revisan y certifican los accesos de sus empleados. "¿Sigue necesitando Juan acceso a esta aplicación?" SOX/PCI-DSS los exige.
SoD Enforcement
El IGA detecta automáticamente cuando una asignación de roles crea una violación de SoD (ej: misma persona puede crear y aprobar facturas).
Provisioning Automático
Integración con RRHH (SAP HR, Workday) via SCIM o connectors. Alta del empleado en RRHH → IGA crea automáticamente las cuentas necesarias.
Herramientas IGA: SailPoint IdentityNow, Saviynt, Microsoft Entra ID Governance, IBM Security Verify.
PAM: Privileged Access Management
PAM gestiona y protege las cuentas con privilegios elevados: administradores de sistemas, DBAs, cuentas de servicio. Las cuentas privilegiadas son el objetivo más valioso para un atacante.
Capacidades Core de un PAM
Vault de credenciales
Las contraseñas de cuentas privilegiadas se almacenan cifradas en el vault. Los usuarios no conocen la contraseña: el PAM la rota automáticamente.
JIT Access (Just-in-Time)
Los accesos privilegiados se conceden solo cuando se necesitan, por tiempo limitado. Al expirar, se revocan automáticamente.
Session Recording
Grabación de video de todas las sesiones privilegiadas (SSH, RDP). Auditoría y forensia de qué hizo un administrador.
Dual Approval
Accesos a sistemas críticos requieren aprobación de un segundo administrador antes de concederse.
Herramientas PAM líderes:
Active Directory y LDAP
Active Directory (AD) es el directorio de identidades corporativas más usado del mundo. Gestiona usuarios, equipos, grupos y políticas en entornos Windows.
# Estructura jerárquica de AD
Forest → Domain → Organizational Units (OU) → Objects
# Conceptos clave de seguridad AD
- Domain Admins: grupo más privilegiado — tratar como crown jewels
- Kerberos: protocolo de autenticación de AD (tickets TGT + TGS)
- NTLM: protocolo legacy, vulnerable a relay attacks
- GPO (Group Policy Object): políticas de seguridad distribuidas
# Consulta LDAP para listar usuarios de un grupo
ldapsearch -H ldap://dc.empresa.local -b "DC=empresa,DC=local" \
"(memberOf=CN=Admins,OU=Groups,DC=empresa,DC=local)" cn mail
Tiering Model para AD:
Tier 0: Domain Controllers, schema admins — solo accesibles desde estaciones Tier 0 dedicadas
Tier 1: Servidores de producción — administrados desde estaciones Tier 1
Tier 2: Workstations de usuarios — helpdesk accede desde estaciones Tier 2
Auditoría y Trazabilidad de Accesos
Inicio de sesión exitoso. Registra usuario, origen, tipo de logon (interactivo, red, remoto).
Inicio de sesión fallido. Acumular para detectar brute force.
Logon con credenciales explícitas (runas). Posible movimiento lateral.
Creación de proceso. Auditar procesos sospechosos lanzados desde Word, Outlook, etc.
Creación de usuario / Adición a grupo de seguridad. Alertar en grupos privilegiados.
Pre-autenticación Kerberos fallida. Posible AS-REP Roasting.
Buenas Prácticas
Principio de mínimo privilegio: asignar solo los accesos necesarios para el rol, nada más.
Revisar y certificar accesos trimestralmente — los accesos se acumulan si no se revisan.
Cuentas de servicio con mínimos privilegios y contraseñas largas rotadas automáticamente (PAM).
Eliminar cuentas genéricas compartidas (admin/admin, sa): toda acción debe ser trazable a una persona.
MFA obligatorio para todos los accesos, especialmente para administradores y acceso remoto.
Integrar el IGA con el sistema de RRHH para automatizar el deprovisioning el mismo día de baja.
¡Has completado Seguridad Empresarial!
Has explorado los 10 conceptos clave de seguridad empresarial. Vuelve al índice para descubrir más categorías.
Volver al Índice de la Wiki →