Curso completo ciberseguridad gratis Controles CIS. Control 5.4

 Estimados amigos de Inseguros !!!

Seguimos con el capítulo 5 de los CIS (Account Management) y hoy toca el control 5.4: restringir el uso de privilegios en las cuentas de administración. Dicho en cristiano: deja de trabajar con la cuenta de admin como si fuera tu usuario de diario, porque es un problema enorme.

Esto es el clásico escenario de muchas empresas: “soy informático, soy admin del dominio, y mi usuario normal es el admin del dominio”. Y luego te ves al administrador navegando en Booking, Vueling, Ryanair, Microsoft Learn, mirando correos, descargando PDFs, instalando plugins… con permisos de administración. Eso es como ponerse los zapatos nuevos para ir en monopatín. Te vas a romper la cara, seguro.

La solución es básica y casi siempre duele por costumbre: necesitas cuentas separadas. Un usuario normal para el día a día (correo, Teams, navegar, documentación, trabajo de oficina) y un usuario administrador con privilegios para tareas administrativas. Y si el entorno es grande, incluso más: modelo tier, cuentas por nivel, y administración por salto controlado. Esto no es postureo, es evitar que una infección del endpoint te robe “la llave maestra” de la empresa.

En cloud pasa igual o peor. Si eres Global Admin de Entra/M365, esa cuenta no debería ser la misma con la que estás en el día a día. Lo sano es aislarla, que sea una cuenta “solo para eso”, con políticas férreas, sin sincronizar alegremente, y con accesos condicionados muy restringidos. Porque si te comprometen el usuario de productividad, lo normal es que te intenten pivotar a administración. Y si lo llevas todo mezclado, se lo pones en bandeja.

Y ahora viene la segunda parte del 5.4, que es la que mucha gente se salta: no basta con tener la cuenta admin separada, también hay que controlar desde dónde se usa. Si tus credenciales administrativas se usan desde el portátil con el que navegas y haces de todo, estás jugando a la ruleta. Para administración seria, lo correcto es un entorno dedicado: una estación de salto/bastión, un PAW (Privileged Access Workstation) o como lo quieras llamar, pero con una norma clara: ahí no se navega, ahí no se instala “lo que sea”, ahí no se hace productividad. Ahí se administra. Punto.

Y como este mundo es robable, aquí la autenticación importa de verdad. MFA obligatorio, sí, pero si puedes, sube el nivel con factores resistentes al phishing (por ejemplo, llaves FIDO2, certificados, o mecanismos que no dependan solo de “push” en el móvil). Porque el atacante sabe que si pilla la cuenta admin, gana la partida, así que tu objetivo es que esa cuenta sea difícil de usar, difícil de robar y difícil de abusar.

Este control es una de las bases de cualquier programa serio de ciberseguridad en empresas: gestión de identidades, hardening de Active Directory, gobierno de Entra ID y administración segura con modelo tier. Si estás trabajando controles CIS y quieres aplicarlos en un entorno Microsoft sin humo, esto es exactamente lo que marca la diferencia entre “cumplimos” y “estamos protegidos”.

Y si quieres aprender a implementar todo esto con ejemplos reales (cuentas separadas, modelo tier, bastión/PAW, MFA resistente al phishing y hardening en Active Directory y Entra ID), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!