Saltar al contenido principal
Volver a Splashtop
Foxpass
Acceder免费测试
联系我们Acceder免费测试
A black exclamation mark inside a black-outlined yellow triangle, symbolizing a warning or caution, on a solid yellow background.

El peligro de las cuentas de rol

Foxpass Team
Se lee en 5 minutos
Actualizado
Empieza con Foxpass
Protege tu Wi-Fi y tus redes con autenticación basada en identidad y certificados
免费测试

¿Qué son las cuentas de rol?

Las cuentas de rol son cuentas vinculadas a una función concreta dentro de tu organización (es decir, a un grupo de empleados o a un sistema automatizado) en lugar de a una persona. Suelen usarse para automatizar tareas y optimizar los flujos de datos.

Por ejemplo, si tu sistema de RR. HH. necesita comunicarse con el sistema de nóminas, podrías configurar un usuario “hr” para automatizar la gestión de credenciales. Luego, puedes revisar los registros para ver cuándo la cuenta de rol ”hr” accede al sistema de nóminas, lo que te da mayor visibilidad de los patrones de acceso. Además, sabes que el tráfico causado por “hr” no es tráfico de un usuario individual, así que puedes filtrarlo al buscar comportamientos de inicio de sesión irregulares. Esto puede ahorrarte tiempo en tus flujos de trabajo y mejorar la seguridad.

Sin embargo, hay algunas desventajas. Los problemas surgen cuando empiezas a usar indebidamente cuentas de rol con sistemas que requieren una identidad. Compartir una cuenta de función entre varios empleados como inicio de sesión multiuso para un proveedor (p. ej., vendor-name@mystartup.com), usar el usuario “ubuntu” en un host Linux alojado en la nube, o usar la cuenta “Administrator” en nuestros servidores Windows, serían ejemplos de uso de cuentas de rol que no siguen las mejores prácticas. Todos estos son sistemas en los que usar una identidad única es importante y compartir una cuenta de rol compromete la seguridad.

Algunos ejemplos de cuentas de función

Cuando usas una cuenta de función en estos sistemas, pierdes la capacidad de separar el tráfico. Como resultado, los registros de acceso se vuelven confusos y poco transparentes.

Como ejemplo:

Tus registros muestran que el usuario “ubuntu” inició sesión a las 04:32:15 y ejecutó el comando rm -rf */command. Sin embargo, no tienes visibilidad sobre cuál de tus ingenieros ejecutó realmente el comando, porque estaban usando una cuenta de rol compartida.

Otro ejemplo:

Todos tus representantes de cuenta inician sesión en tu CRM alojado (gestor de relaciones con clientes) como “vendor-name@mystartup.com” porque es mucho más barato tener solo una cuenta y permite una mayor transparencia entre el equipo. Sin embargo, no puedes ver quién hizo qué, solo que se hizo.

Estos son solo posibles problemas administrativos y de rendición de cuentas. El verdadero peligro del uso indebido de las cuentas de rol proviene del debilitamiento de la seguridad.

Cuando usas estos tipos de cuentas compartidas por rol, las credenciales deben rotarse cada vez que alguien deja el equipo, y esas nuevas credenciales deben redistribuirse a todas las personas que necesitan acceso. Este es un proceso laborioso y manual, propenso a errores.

Errores comunes

Aunque puedes mitigar los problemas de las cuentas compartidas por rol aplicando buenas prácticas y utilizando activos únicos para acceder a la cuenta de rol, en última instancia sigues ocultando las identidades. Configurar las cuentas “ec2-user” y “Administrator” para usar claves o certificados únicos que concedan acceso individual a las cuentas de rol es mejor, pero sigue siendo solo una solución parcial.

Confiar en tus empleados y compañeros de trabajo es una parte importante de cualquier sistema de seguridad. Sin embargo, cada vez que incorporas a alguien al equipo, añades múltiples vectores de ataque a los recursos a los que esa persona tiene acceso. Cuando usas cuentas de rol, todos esos vectores se concentran en un único objetivo, así que ahora un atacante tiene varias formas de atacar el mismo conjunto de credenciales.

Además, esto limita tus opciones de remediación cuando un ataque tiene éxito. No puedes simplemente cerrar la cuenta de rol, ya que estarías cortando el acceso de todo el equipo.

Otro problema surge cuando miembros del equipo dejan tu organización. Cuando tu becario de ventas termina su periodo y aún tiene acceso a todo tu CRM, no es solo que se lleve su agenda de contactos: es que se lleva la agenda de contactos de todo el mundo. Si tu ingeniero principal deja el equipo, seguirá teniendo la clave privada de tu cuenta de rol de usuario “ubuntu” en su portátil personal. Si ese ex empleado se va a trabajar para un competidor, puede mantener acceso continuo a tu infraestructura sin ser detectado.

El camino correcto hacia adelante

Por suerte, todos estos problemas se pueden resolver asignando identidades específicas a cada persona que accede a tus herramientas. Tus registros serán más claros y quedará bien definido quién tiene acceso a los sistemas y quién no.

Conceder y revocar privilegios se convierte en una tarea sencilla y es fácil de auditar. Además, tu CEO y tu equipo de seguridad podrán dormir mejor por la noche sabiendo que nadie ajeno a la empresa está causando estragos en tus sistemas.

Tradicionalmente, necesitabas una identidad única en cada sistema que quisieras usar para evitar el uso de cuentas de rol. Así, cada host en el que quisieras iniciar sesión y cada proveedor al que quisieras acceder necesitarían cuentas únicas para cada empleado. Sin embargo, esto solo añade más pasos al flujo de incorporación y desvinculación, y puede olvidarse fácilmente.

Aquí es donde las soluciones de gestión de identidades vienen al rescate. Al tener una fuente de identidad central con la que pueden integrarse todos los demás sistemas, otorgas o revocas permisos con un solo clic. Con protocolos como OAuth y SAML combinados con herramientas como LDAP y AD, puedes obtener una identidad integral en múltiples plataformas. Puedes crearlo tú mismo o usar soluciones proporcionadas por proveedores y dejar que las personas de tu equipo destaquen dándole a cada una su propia identidad.

En Foxpass, te ayudamos a mantener la seguridad y las mejores prácticas operativas facilitando el mantenimiento de cuentas de usuario separadas. Incluso automatizamos la creación y eliminación de cuentas sincronizándolas con tu proveedor de identidad (como Google, Office365, Okta, OneLogin o Bitium). También ofrecemos funciones de acceso temporal que revocan automáticamente el acceso después de un periodo de tiempo determinado. Además, nuestros servidores alojados en la nube te liberan de tener que lidiar con un servidor LDAP o RADIUS montado por tu cuenta.

¿Quieres experimentar por ti mismo la facilidad y eficiencia de Foxpass? ¿A qué esperas? Comienza hoy una prueba gratuita de 30 días:

免费测试


Comparte esto
Canal RSSSuscríbete

Contenido relacionado

Illustration of cloud computing security: a cloud with a shield and check mark, a locked server, and connected devices (phones, laptop, tablets) with check marks, symbolizing secure data and network protection.
RADIUS en la nube y autenticación de red

Extendiendo Zero Trust a Wi‑Fi y VPN con control de acceso basado en la postura del dispositivo

了解更多
A glowing blue padlock with circuit patterns represents digital security, with 802.1X written below, set against a dark background with abstract technology elements.
RADIUS en la nube y autenticación de red

¿Qué es la autenticación Wi‑Fi® IEEE 802.1X?

了解更多
Two businesswomen collaborating on a laptop during an IT risk assessment meeting in a modern office.
RADIUS en la nube y autenticación de red

El problema de que los empleados compartan contraseñas

了解更多
Computer screen showing code
RADIUS en la nube y autenticación de red

La peor filtración de datos de la historia de EE. UU. podría haberse evitado

了解更多
Ver todos los blogs
  • 累积
  • 隐私政策
  • 使用条件
Copyright ©2026 Splashtop Inc. Todos los derechos reservados. Todos los precios en dólares son USD, salvo que se especifique lo contrario.