Ir al contenido
Endpoint e Identidad

¿Qué es PAM (gestión de acceso privilegiado)?

PAM (Privileged Access Management, o gestión de acceso privilegiado) es la estrategia y el conjunto de tecnologías que controlan, monitorean y protegen las cuentas de mayor poder de una empresa: administradores, cuentas de servicio y accesos de proveedor. En lugar de dejar esas credenciales sueltas, el PAM las guarda en una bóveda, da el acceso solo cuando hace falta y por el tiempo necesario, y registra todo lo que se hizo.

Zamak TechnologiesActualizado el 11 de julio de 2026

Cómo funciona el PAM

El PAM parte de un principio simple: cuanto más poder tiene una cuenta, más cerca debe estar de la bóveda. En lugar de repartir contraseñas de administrador entre personas y sistemas, centraliza el control.

1

Mapea las cuentas de mayor poder

Primero descubre dónde están los accesos privilegiados: administradores de servidor, cuentas de servicio, accesos de proveedor. Lo que nadie controla, nadie lo protege.

2

Guarda las credenciales en una bóveda

Las contraseñas administrativas quedan en una bóveda digital. La persona pide el acceso y entra sin ver nunca la contraseña, que se cambia de forma automática después de cada uso.

3

Da acceso solo cuando hace falta

El privilegio se libera para una tarea específica, por un tiempo limitado, y se retira al final (acceso just-in-time). Una cuenta poderosa abierta todo el tiempo es riesgo latente.

4

Registra y audita cada sesión

Cada acceso privilegiado se graba, desde el login hasta lo que se hizo. Queda el rastro de auditoría de quién hizo qué, cuándo y dónde.

Fuente: Cyber Encyclopedia de N-able (definición y componentes) y el principio de privilegio mínimo del NIST.

Por qué las cuentas privilegiadas son el blanco preferido

  • Una cuenta de administrador abre muchas puertas a la vez. Con ella, el atacante instala programas, borra registros y llega a sistemas que una cuenta común nunca tocaría.
  • Las credenciales privilegiadas suelen compartirse entre técnicos y anotarse en planillas. Cada copia es una llave más circulando fuera de control.
  • Las cuentas de servicio y de proveedor rara vez tienen la contraseña cambiada o un dueño claro. Quedan años activas, olvidadas, con poder de sobra y sin nadie mirando.
  • Cuando un técnico o socio deja la empresa, las contraseñas que conocía se van con él. Sin una bóveda central, es imposible tener la certeza de que todas se cambiaron.

Qué hace el PAM en la práctica

  • Bóveda de credenciales Guarda las contraseñas de mayor poder en un solo lugar protegido, con cambio automático. La persona usa el acceso sin conocer la contraseña, así que no puede filtrarse por una anotación o un correo.
  • Acceso just-in-time Libera el privilegio solo para la tarea y por el tiempo necesario, y lo retira después. Reduce la ventana en la que una cuenta poderosa queda expuesta.
  • Grabación de sesión Registra lo que se hace durante el acceso privilegiado, creando el rastro de auditoría que la conformidad exige y que revela qué pasó si algo sale mal.
  • Privilegio mínimo Da a cada persona y a cada sistema solo el acceso que necesitan, y nada más. El privilegio que sobra es una puerta abierta esperando ser usada.

Por qué la cuenta de administrador es lo que el atacante más quiere

22%
de las brechas empiezan por una credencial robada, el vector de entrada nº 1 (Verizon DBIR 2025)
60%
de las brechas involucran el factor humano (Verizon DBIR 2025)
$ 4,44 M
es el costo promedio de una filtración de datos (IBM 2025)

El objetivo de casi todo ataque es llegar a una cuenta poderosa. Con un acceso de administrador, el atacante deja de ser un intruso atrapado en un rincón y pasa a comandar la red: apaga defensas, borra copias de seguridad y se mueve de sistema en sistema. Por eso la credencial robada es la vía de entrada número uno (22%, Verizon DBIR 2025) y el factor humano aparece en el 60% de las brechas (Verizon DBIR 2025): basta una contraseña de administrador anotada o reutilizada. Según N-able, las credenciales privilegiadas están involucradas en la mayoría de las brechas. El PAM no impide toda intrusión, pero le quita al atacante el premio mayor: guarda las contraseñas de mayor poder, limita el tiempo en que quedan activas y registra cada uso, mientras una brecha aún cuesta, en promedio, $ 4,44 millones (IBM 2025).

Cómo poner el acceso privilegiado bajo control

Controlar el acceso privilegiado es menos comprar una herramienta y más dejar de tener sueltas las llaves más poderosas. Algunos pasos separan el control real del riesgo silencioso:

  1. Sepa dónde están las llaves maestrasHaga el inventario de las cuentas de administrador, de servicio y de proveedor. No se puede proteger el acceso que nadie sabe que existe.
  2. Termine con la contraseña compartidaSaque las contraseñas administrativas de las planillas, los correos y la memoria de las personas. Una bóveda central con cambio automático elimina las copias que circulan sin control.
  3. Dé el acceso solo por el tiempo de la tareaPrefiera el acceso just-in-time al privilegio permanente. Una cuenta poderosa abierta todo el tiempo es una ventana que no necesitaba estar abierta.
  4. Sume el MFA a las cuentas de mayor poderEl acceso privilegiado siempre con una segunda verificación. Es en las cuentas de administrador donde una contraseña filtrada hace el mayor daño.
  5. Revoque en el momento justoCuando alguien sale o cambia de función, el acceso desaparece el mismo día. Con la bóveda central, eso es un clic, no una cacería de contraseñas dispersas.

En la práctica

Si el técnico que mejor conoce sus sistemas se fuera mañana, ¿tendría la certeza de que todas las contraseñas de administrador que usaba se cambiaron? Con una bóveda central, la respuesta es sí, en minutos.

Cómo trata Zamak el acceso privilegiado

Zamak Technologies coloca las cuentas de mayor poder en una bóveda gestionada, con cambio automático de contraseña, acceso dado por el tiempo de la tarea y registro de cada sesión, para que una credencial de administrador no circule suelta ni salga por la puerta cuando alguien deja la empresa. Sume a eso la segunda verificación de identidad en las cuentas críticas. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde el acceso todavía es demasiado amplio. Forma parte de la Ciberseguridad del Método Zamak.

Preguntas frecuentes sobre PAM

¿Cuál es la diferencia entre PAM y gestión de identidad (IAM)?
La gestión de identidad (IAM) se ocupa de quién tiene acceso a qué, para todos los usuarios. El PAM es la capa especializada en las cuentas de mayor poder, los administradores y servicios cuyo acceso, si es robado, causa el mayor daño. El PAM es parte de la estrategia de identidad, enfocada en lo más sensible.
¿PAM es lo mismo que un gestor de contraseñas?
No. Un gestor de contraseñas guarda las contraseñas del día a día de una persona. El PAM controla las cuentas de mayor poder de una empresa: guarda las credenciales en una bóveda, da acceso por tiempo limitado, graba la sesión y revoca al instante. Es gestión de contraseñas con control, auditoría y privilegio mínimo por encima.
¿Qué es el acceso just-in-time?
Es liberar el privilegio solo cuando hace falta y retirarlo al terminar la tarea, en lugar de dejar la cuenta poderosa abierta todo el tiempo. Reduce la ventana en la que un acceso de administrador puede ser abusado.
¿El PAM ayuda con la conformidad?
Sí. Normas como la ISO 27001 y la PCI DSS, y las leyes de protección de datos, exigen control y registro de quién accede a datos sensibles. La grabación de sesión y el rastro de auditoría del PAM entregan la prueba de quién hizo qué que el auditor pide.
¿Una empresa pequeña necesita PAM?
Sí, y muchas veces más: en las empresas menores, pocas personas concentran todos los accesos de administrador, y las contraseñas suelen estar en anotaciones. Entregado como servicio gestionado, el PAM pone esas llaves en una bóveda sin exigir un equipo de seguridad grande.
¿El PAM reemplaza al MFA?
No, los dos trabajan juntos. El MFA asegura que es la persona correcta; el PAM controla qué puede hacer esa persona con el acceso de mayor poder y por cuánto tiempo. Identidad fuerte más privilegio mínimo es el estándar recomendado.