Frente a un panorama de TI en rápida evolución, la mayoría de las organizaciones dependen en gran medida de los sistemas de TI para agilizar sus operaciones y seguir siendo competitivas. Aunque algunos de estos sistemas están gestionados y protegidos por equipos de TI y de seguridad, un número cada vez mayor no lo está, porque no cuentan con autorización oficial. A menudo hablamos de Shadow IT (o TI en la sombra), clouds en la sombra, VPN en la sombra y gestores de contraseñas en la sombra.
A esta lista deberíamos añadir a los administradores en la sombra: personas con funciones administrativas o con privilegios en sistemas de TI específicos, pero que no han sido autorizadas formalmente a tener estos privilegios. En este artículo se explica por qué los administradores en la sombra son tan peligrosos y qué puede hacer para protegerse.
¿Quiénes son los administradores en la sombra?
Los administradores de TI en la sombra suelen tener conocimientos técnicos o funcionales. Por tanto, pueden instalar, configurar o gestionar determinados servicios. Muy a menudo, estos administradores actúan por el deseo de satisfacer necesidades empresariales inmediatas. Sin embargo, rara vez cuentan con un plan de gestión a largo plazo. Además, no suelen tener en cuenta los requisitos de la empresa en materia de gobierno, gestión de riesgos y cumplimiento. Por lo tanto, sus acciones pueden crear riesgos importantes para la organización, sobre todo si no dominan las mejores prácticas de seguridad o las políticas de gobierno, gestión de riesgos y cumplimiento de la empresa. ¿Qué ocurre si gestionan sistemas que contienen datos sensibles o que están vinculados a procesos estratégicos?
¿Por qué hay administradores de TI en la sombra?
Los administradores en la sombra suelen surgir cuando las prioridades y procesos oficiales de adquisición y gestión de TI generan frustración. Estos son algunos problemas comunes:
- Tiempos de respuesta del departamento de TI demasiado largos. Los equipos funcionales de una organización pueden necesitar una solución de TI de inmediato, pero encontrarse con que el departamento de TI está atascado en largos procesos de aprobación o interminables colas de despliegue.
- Falta de recursos. Es posible que los departamentos de TI no dispongan del ancho de banda necesario para responder a todas las solicitudes, lo que puede llevar a los empleados o departamentos a tomar cartas en el asunto.
- Necesidades insatisfechas. Las unidades de negocio y los administradores en la sombra asociados suelen introducir servicios o sistemas que consideran más útiles que aquellos a los que pueden acceder a través de sistemas autorizados y soportados.
- Innovación y agilidad. En algunos casos, los administradores de TI en la sombra están motivados por el deseo de innovar. Pueden introducir nuevas herramientas o nuevas tecnologías que pueden hacer avanzar la empresa, pero lo hacen fuera de la estructura de TI oficial. Por tanto, asumen la administración de TI del sistema no autorizado.
Los riesgos asociados a los administradores de TI en la sombra
Aunque los administradores de TI en la sombra suelen tener buenas intenciones, pueden exponer inadvertidamente a la organización a diversos riesgos. Los ciberdelincuentes pueden explotar estas cuentas para llevar a cabo acciones para las que se requieren privilegios, como crear puertas traseras, alterar la configuración de seguridad, filtrar datos confidenciales o desmantelar sistemas. Los atacantes también pueden utilizar estas cuentas para ocultar sus actividades. Esto les permite evitar la detección, de modo que pueden mantener el control del sistema comprometido.
Los administradores en la sombra también crean riesgos asociados a Active Directory. Los ciberdelincuentes pueden utilizar cuentas de administrador en la sombra en Active Directory para tomar el control de los servicios de directorio, restablecer contraseñas y escalar privilegios. Es más, al identificar estas cuentas, los atacantes pueden elevar su nivel de acceso, y a menudo no necesitan ningún exploit adicional para hacerlo. Una de las razones por las que las cuentas de administrador en la sombra son tan peligrosas es que a menudo se detectan mucho después de haber sido explotadas.
El ataque a Microsoft por parte de Midnight Blizzard es un ejemplo reciente y destacado de un compromiso que implica Shadow IT y cuentas de administrador en la sombra.
Seis formas en que los administradores en la sombra ponen en peligro a las organizaciones
Los administradores en la sombra pueden influir en seis ámbitos.
1. Vulnerabilidades de seguridad
Los administradores de TI en la sombra a menudo se saltan procesos de seguridad críticos que han sido configurados por el departamento de TI. Esto puede dar lugar a una serie de riesgos de seguridad, como:
- Controles de acceso inadecuados. Los administradores de TI en la sombra pueden concederse a sí mismos o a otros permisos excesivos para aplicaciones o datos. Esto puede permitir el acceso no autorizado o crear puertas traseras a sistemas críticos. Este enfoque es problemático, no solo porque estos administradores en la sombra no cuentan con la supervisión adecuada, sino también porque a los ciberdelincuentes les encanta hacerse con el control de estas cuentas de usuario.
- Sistemas mal configurados. Cuando los administradores de TI en la sombra no utilizan las configuraciones de seguridad adecuadas, pueden crear sistemas mal configurados, lo que aumenta el riesgo de explotación por parte de los ciberdelincuentes.
2. Fuga y pérdida de datos
Muchos servicios no autorizados implican el tratamiento de datos sensibles, que pueden adoptar la forma de registros financieros, propiedad intelectual o información sobre clientes. Cuando los administradores de TI en la sombra gestionan estos datos sin la supervisión adecuada, aumentan los siguientes riesgos:
- Filtración de datos. Es posible que los sistemas o aplicaciones configurados por administradores de TI en la sombra no estén debidamente cifrados, no dispongan de controles de acceso adecuados o no estén suficientemente supervisados. Esto da lugar a filtraciones de datos o a que se comparta información confidencial de forma no autorizada.
- Pérdida de datos. Si los administradores en la sombra no realizan correctamente las copias de seguridad de los sistemas o almacenan los datos en entornos inseguros, como los servicios personales en la nube, la organización corre el riesgo de perder datos críticos en caso de fallo del sistema o de ciberataque, por ejemplo mediante ransomware.
3. Incumplimiento de normativas
Para las organizaciones que necesitan cumplir normas reglamentarias como RGPD, HIPAA o SOC 2, los administradores de TI en la sombra pueden crear importantes problemas de cumplimiento. Dado que los sistemas y cuentas en la sombra no suelen someterse a los mismos controles y auditorías rigurosos que los sistemas de TI oficiales, es posible que no cumplan los requisitos de seguridad o confidencialidad necesarios para cumplir las normativas. Esto puede tener las siguientes consecuencias:
- Sanciones legales y económicas. Cuando las empresas incumplen las normativas, tendrán que hacer frente a multas, problemas legales y daños a su reputación.
- Falta de pistas de auditoría. Es posible que los sistemas en la sombra (Shadow IT) dispongan de los procesos de registro o supervisión necesarios. Esto dificulta el seguimiento de los movimientos y modificaciones de datos, lo que puede resultar problemático durante una auditoría o investigación forense.
4. Ineficacia operativa
Las cuentas de administrador en la sombra pueden resolver problemas inmediatos. Sin embargo, su existencia continuada puede provocar ineficiencias operativas a largo plazo:
- Silos de datos. Los administradores de TI en la sombra suelen introducir sistemas que no se integran bien con la infraestructura de TI central. Como resultado, el almacenamiento de datos está fragmentado y el uso de datos entre departamentos no es sencillo.
- Procesos incoherentes. Cuando varios equipos utilizan herramientas distintas y no homologadas, los flujos de trabajo suelen ser incoherentes. Esto hace que a la organización le resulte más difícil racionalizar los procesos u obtener una visión unificada de las operaciones empresariales.
5. Dificultades para responder a los incidentes
En caso de ciberataque o de fugas de datos, el departamento de TI puede tardar mucho más en responder si tienen que intervenir administradores de TI en la sombra. Como los servicios y cuentas en la sombra no suelen estar documentados ni supervisados, es posible que el equipo de TI no conozca todos los sistemas afectados ni quién debe participar en cualquier intervención. Esta falta de visibilidad puede retrasar enormemente los esfuerzos de respuesta y contención de incidentes, lo que aumenta los daños causados por los incidentes de seguridad.
6. Aumento de la carga de trabajo de TI
Cuando se identifican sistemas no autorizados (Shadow IT) y administradores en la sombra asociados, los equipos de TI tienen que pasar por un proceso de integración que lleva mucho tiempo: auditorías, seguridad e integración de estos sistemas en los sistemas y procesos de TI oficiales, etc. Estas tareas no planificadas aumentan la carga de trabajo del equipo de TI. Además, consumen recursos valiosos que podrían haberse destinado a proyectos más estratégicos y aumentan los costes operativos.
Sacar de su escondite a los administradores en la sombra
Para reducir los riesgos asociados a los administradores de TI en la sombra, existen varias estrategias proactivas a disposición de los equipos de TI y seguridad:
- Mejora de la visibilidad y la supervisión. Utilice herramientas como la gestión del nivel de seguridad de las aplicaciones SaaS (SSPM), la prevención de pérdida de datos (DLP) y las soluciones de detección y respuesta a amenazas para la identidad (ITDR) para obtener visibilidad de los servicios no autorizados y los administradores en la sombra.
- Aplique controles de acceso. Implemente la administración de acceso con privilegios (PAM) y servicios de autenticación centralizada junto con la autenticación multifactor (MFA) y el inicio de sesión único (servicios ofrecidos por proveedores de identidad) para garantizar que solo las personas autorizadas puedan asumir la función de administrador de TI.
- Defina políticas de TI claras. Desarrolle y comunique políticas claras que definan qué servicios y sistemas de TI están autorizados. A continuación, asegúrese de que todos los empleados comprenden los riesgos asociados a los Shadow IT. Asegúrese también de que disponen de una forma sencilla de escalar las prioridades clave de TI para que no sientan que tienen que recurrir a los Shadow IT en el futuro. Pero sea realista y piense que los Shadow IT y los administradores en la sombra no van a desaparecer a corto plazo.
Conclusión
Aunque los administradores de TI en la sombra piensen que actúan en interés de su empresa, pueden crear riesgos importantes que pongan en peligro su seguridad, su cumplimiento y sus operaciones. Las organizaciones pueden reforzar su protección si toman medidas proactivas para gestionar y reducir estos riesgos.
En Proofpoint, invertimos constantemente en nuestros productos y servicios para ayudar a nuestros clientes a identificar y neutralizar los sistemas no autorizados (Shadow IT) y los administradores en la sombra antes de que afecten negativamente a sus empresas. Estas son de nuestras soluciones:
- Proofpoint Account Takeover Protection detecta y corrige el uso de aplicaciones de terceros no autorizadas y maliciosas como parte de la detección y neutralización de la usurpación de cuentas.
- Proofpoint Identity Threat Defense es nuestra solución ITDR. Identifica y guía la neutralización de cuentas de administrador en la sombra en Active Directory y con varios proveedores de identidad en la nube como parte de su funcionalidad global.
Proofpoint prevé nuevos avances en este ámbito en 2025. Para obtener más información sobre nuestras soluciones de seguridad para la identidad, visite esta página web.