Área de gestión
La brecha de seguridad más común en empresas medianas no la causa un hacker. La causa un empleado con demasiados permisos.
Ciberseguridad

La brecha de seguridad más común en empresas medianas no la causa un hacker. La causa un empleado con demasiados permisos.

AP Interactive
03/06/2026
4 min de lectura
#ciberseguridad #accesos #iam #auditoria #minimo-privilegio

Cuando la gente imagina un incidente de seguridad, imagina a un atacante desde fuera. Un email de phishing. Un zero-day. Alguien muy listo, en algún sitio lejano, atravesando el perímetro.

La realidad, en el tipo de empresas que auditamos cada semana, es mucho más aburrida. La brecha más común la causa un usuario interno con más accesos de los que jamás necesitó.

El principio es sencillo. La práctica nunca lo es.

El mínimo privilegio dice una cosa: cada persona debe tener acceso únicamente a lo que necesita para hacer su trabajo. Ni más, ni menos.

Se repite en todos los marcos de seguridad. NIS2, ISO 27001, ENS, CIS Controls. Todo el mundo asiente. Casi nadie lo aplica.

Lo que de verdad nos encontramos auditando:

  • El comercial que puede consultar toda la base de datos de clientes — incluyendo facturas y contratos de clientes con los que jamás ha trabajado.
  • El técnico senior con acceso de administrador a producción "por si acaso" desde 2021.
  • El becario que usa las mismas credenciales compartidas que llevan rotando por el equipo desde 2019.
  • El exempleado cuya cuenta sigue activa meses después de su salida.
  • La cuenta de servicio con permisos completos de lectura y escritura sobre una base de datos que no se usa desde la última migración.

Nadie lo configuró así con mala intención. Tampoco lo revisó nadie.

No va de quién entra. Va de qué pasa una vez dentro.

Cuando ocurre un incidente — phishing, fuga de credenciales, portátil comprometido, rescate — la pregunta que determina el tamaño del impacto no es "¿cómo entraron?". Es "¿qué pudieron hacer una vez dentro?".

Un atacante que aterriza en un entorno bien segmentado choca contra una pared. Un atacante que aterriza en un entorno con exceso de permisos encuentra una autopista.

La misma credencial comprometida en dos empresas diferentes produce dos historias completamente distintas — y dos facturas de remediación completamente distintas — dependiendo de lo que ese usuario estaba autorizado a tocar.

La pregunta que deberías hacerte hoy

No lo pienses como un ejercicio teórico. Piénsalo como un simulacro de incendio.

¿Sabes exactamente qué puede hacer cada usuario dentro de tus sistemas?

Si la respuesta tarda más de unos segundos, ya tienes tu próxima auditoría pendiente.

Qué pinta tiene hacerlo bien

  • Accesos basados en rol mapeados a la función real — no "copia los permisos de X" cuando alguien se incorpora.
  • Revisiones trimestrales con firma explícita del propietario del dato, no solo de IT.
  • Bajas atadas a Recursos Humanos — la cuenta se desactiva el mismo día que termina el contrato, automáticamente.
  • Accesos privilegiados separados — los administradores usan una cuenta distinta para tareas de admin que para el email y Teams del día a día.
  • Cuentas de servicio tratadas como personas — con propietario, documentadas, rotadas.

Y aquí entramos nosotros

En AP Interactive auditamos la gestión de identidades y accesos como parte de nuestras revisiones de seguridad — cubriendo Active Directory, IAM cloud, permisos a nivel aplicación y cuentas de servicio. No te vendemos una herramienta: te decimos exactamente dónde están los huecos y cómo es el plan de limpieza.

Si nunca has hecho una auditoría de permisos, o si la última fue hace más de un año, escríbenos. El primer hallazgo suele sorprender. Los diez siguientes suelen ser obvios cuando los ves.

← Volver al blog Hablar con el equipo →