Los usuarios huérfanos representan uno de los mayores riesgos de seguridad para las empresas, especialmente para las pequeñas y medianas empresas (PYMES) que suelen tener menos controles internos.
Se les conoce como "huérfanos" porque son cuentas activas de empleados o administradores que ya no forman parte de la organización.
Aunque estos usuarios han salido de la empresa, sus accesos no siempre son dados de baja de forma correcta en todos los sistemas, incluyendo las VPN y servicios críticos.
Carlos Leonardo, director del Centro Nacional de Seguridad y líder del equipo nacional de respuesta a incidentes cibernéticos, advirtió que muchas empresas no cuentan con políticas claras de control de acceso ni con procedimientos eficaces de baja de usuarios.
Señaló que es "indispensable" implementar políticas de monitoreo continuo, alta y baja automatizada y auditoría frecuente sobre los permisos activos.
Los hackers no irrumpen, sino que ingresan en la red
Los atacantes pueden aprovechar estas cuentas para acceder a la red de una empresa y luego instalar ransomware.
Un hacker que detecta una cuenta huérfana no necesita vulnerar sistemas con técnicas avanzadas; le basta con acceder usando métodos como la ingeniería social, ataques de fuerza bruta o credenciales filtradas disponibles en la dark web.
Al tratarse de una cuenta sin dueño activo ni monitoreo constante, cualquier movimiento dentro del sistema puede pasar desapercibido, permitiéndole al atacante actuar con total libertad, sin levantar alertas.
Un error común
Víctor Mejía, vicepresidente de Ciberseguridad en iQtek y country manager en México, consideró que la falta de control sobre los usuarios huérfanos es un error común.
Criticó el uso compartido de credenciales administrativas, indicando que algunos equipos de TI permiten que hasta 50 administradores utilicen la misma cuenta.
También advirtió que muchas empresas no desactivan cuentas tras la salida del personal, ni revocan accesos remotos, lo que amplía la superficie de ataque.
Asimismo, Niurka Hernández, gerente del SOC-CSIRT de iQtek, resaltó la importancia de contar con una política robusta de gestión de identidades.
Explica que existen herramientas inteligentes que permiten rastrear automáticamente los sistemas en los que un usuario estaba activo, facilitando su baja completa.
Sugirió que el proceso ideal inicia cuando el departamento de Recursos Humanos notifica a TI sobre la salida de un empleado, y TI identifica y revoca todos sus accesos de forma inmediata.
La falta de coordinación entre áreas internas y la ausencia de sistemas automatizados siguen dejando puertas abiertas para posibles ciberataques internos o externos.
Noticias relacionadas
Compartir esta nota