Curso completo ciberseguridad gratis Controles CIS. Control 5.5

 Estimados amigos de Inseguros !!!

Seguimos con el capítulo 5 de los CIS, y hoy toca el control 5.5: establecer y mantener un inventario de cuentas de servicio. Y si te soy sincero, este control es donde empiezan muchos desastres silenciosos en empresas.

Porque las cuentas de usuario “normales” suelen estar más o menos controladas. Altas y bajas, HR, accesos, etc. Pero las cuentas de servicio… esas viven en la sombra. Se crean para “que funcione algo”, se les dan permisos, se ponen en un script, se meten en un scheduled task, y nadie vuelve a mirarlas. Hasta que un día te roban una credencial y descubres que esa cuenta tenía más permisos que el CEO.

Qué es una cuenta de servicio de verdad

Es una identidad que usan servicios, aplicaciones, tareas programadas, integraciones, y automatizaciones. No es una persona. No debería loguearse de forma interactiva. Y debería tener un propósito claro: “esta cuenta es para este servicio y solo para esto”.

El control 5.5 te pide algo muy concreto: que sepas cuáles existen, dónde se usan, quién las ha pedido, quién es el dueño, y qué permisos tienen. Es inventario, pero inventario con contexto. Si no hay contexto, es lista muerta.

Lo típico que me encuentro en auditorías

Cuentas con nombres raros, sin descripción.
Cuentas sin owner.
Cuentas con contraseña que no se rota desde hace años.
Cuentas con permisos de más “por si acaso”.
Cuentas que están hardcodeadas en scripts o en ficheros de configuración.
Cuentas que se usan en varios sitios a la vez (esto es veneno).
Y la mejor: cuentas que nadie sabe si todavía se usan, pero “no las borres, que igual se cae algo”.

Eso, amigos, es un riesgo acumulado.

Qué debería tener el inventario de cuentas de servicio

Nombre claro.
Propósito.
Aplicación o sistema donde se usa.
Owner responsable (una persona real, aunque la cuenta no sea de persona).
Permisos mínimos necesarios.
Método de autenticación (contraseña, certificado, managed identity, etc.).
Frecuencia de rotación si aplica.
Y una fecha de revisión.

Si esto no existe, estás administrando a ciegas.

Y ahora lo importante: cómo se reduce el riesgo

Primero, deja de reutilizar cuentas de servicio para todo. Una cuenta por servicio. Si comprometen una, no te comprometen media empresa.

Segundo, evita contraseñas donde puedas. Si estás en cloud, usa identidades gestionadas (managed identities) o service principals con certificados. En on-prem, valora gMSA (Group Managed Service Accounts) en Active Directory, que ya te quita el drama de rotación manual y reduce mucho el riesgo.

Tercero, bloquea el logon interactivo. Una cuenta de servicio no tiene por qué entrar por RDP, ni por consola, ni por VPN. Si puede, es una puerta extra.

Cuarto, monitoriza. Porque aunque tengas inventario, si nadie mira actividad rara, te enteras tarde. Una cuenta de servicio que de repente inicia sesión desde un equipo de usuario, o desde un país raro, o fuera de horario, debería saltarte como una alarma.

Y quinto, proceso. Esto no es “hoy hago un Excel y ya”. Esto es: creación controlada, revisión periódica, rotación, y baja cuando no se use. Y sí, cuesta. Pero cuesta menos que un ransomware.

Si estás aplicando controles CIS en una empresa y quieres hacerlo bien de verdad, el 5.5 es obligatorio. Y si quieres aprender a aterrizar esto con ejemplos reales en Active Directory, Entra ID y entornos híbridos (gMSA, managed identities, hardening de privilegios y detección de abuso de credenciales), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!