La empresa de ciberseguridad Compass Security ha publicado un informe que pone al descubierto los fallos de configuración más comunes en la gestión de identidades privilegiadas (PIM) de Microsoft Entra ID. Aunque el PIM fue diseñado para limitar los privilegios mediante el acceso «justo a tiempo» (JIT), muchas organizaciones lo han implementado de forma tan deficiente que ha quedado reducido a una falsa sensación de seguridad.
Christian Feuchter, experto en seguridad de Compass Security, señala en el informe que, a pesar de contar con licencias Entra ID P2, algunas empresas ni siquiera utilizan las funciones de PIM. Esto provoca que permisos críticos, como el de administrador global, se asignen de forma permanente. En consecuencia, si un atacante logra comprometer una cuenta mediante técnicas como el phishing, obtiene control total sobre todo el inquilino de forma inmediata.
Fallos en la protección de privilegios
Más allá de no utilizar el PIM, muchas organizaciones optan por una estrategia de «protección selectiva». El informe revela que las empresas suelen restringir solo unos pocos roles conocidos, como el de administrador global, ignorando otras cuentas que también poseen privilegios elevados. Esta protección incompleta deja la puerta abierta a los atacantes.
Asimismo, la fragilidad de los métodos de autenticación supone un riesgo importante. Muchas empresas siguen dependiendo únicamente de la autenticación multifactor (MFA) integrada de Azure. Los expertos advierten que, si un atacante logra robar un token ya autenticado por MFA, podría activar roles privilegiados sin necesidad de una segunda verificación. Aún más grave es el caso de los tokens de actualización: si estos son sustraídos tras la activación de un rol, el atacante puede utilizarlos para mantener y elevar su acceso de forma persistente.
El informe también subraya los peligros de las «asignaciones permanentes». Cuando una empresa permite que los usuarios mantengan privilegios elevados de forma indefinida, la ventana de exposición se amplía peligrosamente. Además, la falta de notificaciones de activación impide que los equipos de seguridad detecten a tiempo cualquier cambio sospechoso en los permisos.
Compass Security recomienda que las empresas aseguren que todos los roles de alto nivel estén bajo la protección del PIM y consideren implementar estrategias más avanzadas, como el uso de contextos de autenticación. Depender exclusivamente de la configuración básica del PIM ya no es suficiente para hacer frente a las sofisticadas tácticas de ataque actuales.