¿Qué es PAM (gestión de acceso privilegiado)?
PAM (Privileged Access Management, o gestión de acceso privilegiado) es la estrategia y el conjunto de tecnologías que controlan, monitorean y protegen las cuentas de mayor poder de una empresa: administradores, cuentas de servicio y accesos de proveedor. En lugar de dejar esas credenciales sueltas, el PAM las guarda en una bóveda, da el acceso solo cuando hace falta y por el tiempo necesario, y registra todo lo que se hizo.
Cómo funciona el PAM
El PAM parte de un principio simple: cuanto más poder tiene una cuenta, más cerca debe estar de la bóveda. En lugar de repartir contraseñas de administrador entre personas y sistemas, centraliza el control.
Mapea las cuentas de mayor poder
Primero descubre dónde están los accesos privilegiados: administradores de servidor, cuentas de servicio, accesos de proveedor. Lo que nadie controla, nadie lo protege.
Guarda las credenciales en una bóveda
Las contraseñas administrativas quedan en una bóveda digital. La persona pide el acceso y entra sin ver nunca la contraseña, que se cambia de forma automática después de cada uso.
Da acceso solo cuando hace falta
El privilegio se libera para una tarea específica, por un tiempo limitado, y se retira al final (acceso just-in-time). Una cuenta poderosa abierta todo el tiempo es riesgo latente.
Registra y audita cada sesión
Cada acceso privilegiado se graba, desde el login hasta lo que se hizo. Queda el rastro de auditoría de quién hizo qué, cuándo y dónde.
Fuente: Cyber Encyclopedia de N-able (definición y componentes) y el principio de privilegio mínimo del NIST.
Por qué las cuentas privilegiadas son el blanco preferido
- Una cuenta de administrador abre muchas puertas a la vez. Con ella, el atacante instala programas, borra registros y llega a sistemas que una cuenta común nunca tocaría.
- Las credenciales privilegiadas suelen compartirse entre técnicos y anotarse en planillas. Cada copia es una llave más circulando fuera de control.
- Las cuentas de servicio y de proveedor rara vez tienen la contraseña cambiada o un dueño claro. Quedan años activas, olvidadas, con poder de sobra y sin nadie mirando.
- Cuando un técnico o socio deja la empresa, las contraseñas que conocía se van con él. Sin una bóveda central, es imposible tener la certeza de que todas se cambiaron.
Qué hace el PAM en la práctica
- Bóveda de credenciales Guarda las contraseñas de mayor poder en un solo lugar protegido, con cambio automático. La persona usa el acceso sin conocer la contraseña, así que no puede filtrarse por una anotación o un correo.
- Acceso just-in-time Libera el privilegio solo para la tarea y por el tiempo necesario, y lo retira después. Reduce la ventana en la que una cuenta poderosa queda expuesta.
- Grabación de sesión Registra lo que se hace durante el acceso privilegiado, creando el rastro de auditoría que la conformidad exige y que revela qué pasó si algo sale mal.
- Privilegio mínimo Da a cada persona y a cada sistema solo el acceso que necesitan, y nada más. El privilegio que sobra es una puerta abierta esperando ser usada.
Por qué la cuenta de administrador es lo que el atacante más quiere
El objetivo de casi todo ataque es llegar a una cuenta poderosa. Con un acceso de administrador, el atacante deja de ser un intruso atrapado en un rincón y pasa a comandar la red: apaga defensas, borra copias de seguridad y se mueve de sistema en sistema. Por eso la credencial robada es la vía de entrada número uno (22%, Verizon DBIR 2025) y el factor humano aparece en el 60% de las brechas (Verizon DBIR 2025): basta una contraseña de administrador anotada o reutilizada. Según N-able, las credenciales privilegiadas están involucradas en la mayoría de las brechas. El PAM no impide toda intrusión, pero le quita al atacante el premio mayor: guarda las contraseñas de mayor poder, limita el tiempo en que quedan activas y registra cada uso, mientras una brecha aún cuesta, en promedio, $ 4,44 millones (IBM 2025).
Cómo poner el acceso privilegiado bajo control
Controlar el acceso privilegiado es menos comprar una herramienta y más dejar de tener sueltas las llaves más poderosas. Algunos pasos separan el control real del riesgo silencioso:
- Sepa dónde están las llaves maestrasHaga el inventario de las cuentas de administrador, de servicio y de proveedor. No se puede proteger el acceso que nadie sabe que existe.
- Termine con la contraseña compartidaSaque las contraseñas administrativas de las planillas, los correos y la memoria de las personas. Una bóveda central con cambio automático elimina las copias que circulan sin control.
- Dé el acceso solo por el tiempo de la tareaPrefiera el acceso just-in-time al privilegio permanente. Una cuenta poderosa abierta todo el tiempo es una ventana que no necesitaba estar abierta.
- Sume el MFA a las cuentas de mayor poderEl acceso privilegiado siempre con una segunda verificación. Es en las cuentas de administrador donde una contraseña filtrada hace el mayor daño.
- Revoque en el momento justoCuando alguien sale o cambia de función, el acceso desaparece el mismo día. Con la bóveda central, eso es un clic, no una cacería de contraseñas dispersas.
En la práctica
Si el técnico que mejor conoce sus sistemas se fuera mañana, ¿tendría la certeza de que todas las contraseñas de administrador que usaba se cambiaron? Con una bóveda central, la respuesta es sí, en minutos.
Cómo trata Zamak el acceso privilegiado
Zamak Technologies coloca las cuentas de mayor poder en una bóveda gestionada, con cambio automático de contraseña, acceso dado por el tiempo de la tarea y registro de cada sesión, para que una credencial de administrador no circule suelta ni salga por la puerta cuando alguien deja la empresa. Sume a eso la segunda verificación de identidad en las cuentas críticas. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde el acceso todavía es demasiado amplio. Forma parte de la Ciberseguridad del Método Zamak.