Estimados amigos de Inseguros !!!
Seguimos con el capítulo 5 de los CIS y hoy toca el control 5.3: deshabilitar cuentas inactivas. Este control es de los que parecen “higiene”, pero en realidad es seguridad pura. Porque una cuenta que nadie usa… es una puerta que nadie vigila.
Y aquí viene la frase que siempre se cumple: los atacantes no crean puertas nuevas, buscan puertas viejas. Cuentas de ex-empleados, cuentas de proveedor que ya no trabaja contigo, cuentas de pruebas, cuentas “por si acaso”, cuentas que se crearon para un proyecto y se olvidaron. Eso es oro.
El 5.3 te dice básicamente: define un criterio de inactividad, y cuando se cumple, deshabilita. No borrar, deshabilitar. Porque a veces necesitas conservar evidencia, permisos, historiales, o simplemente no quieres romper algo sin entenderlo. Pero deshabilitar es cortar el acceso.
Aquí hay un matiz importante: no todas las cuentas “sin login” están inactivas. Las cuentas de servicio, por ejemplo, pueden no tener logon interactivo y aun así estar vivas. Por eso este control obliga a hacer inventario (5.1) y a clasificar: cuentas humanas, cuentas de servicio, cuentas de aplicación, cuentas de proveedor. Si mezclas todo, la lías.
Cómo se aterriza esto en el mundo real
En Active Directory puedes tirar de atributos y de eventos. LastLogonTimestamp, logs de autenticación, y controles periódicos. En Entra ID tienes los sign-in logs y puedes cruzar actividad. En ambos casos, lo que buscas es: “esta cuenta no se ha autenticado en X días”. Y X lo defines tú según tu operación. 30, 60, 90… depende del negocio, pero tiene que estar escrito.
Y lo más importante: esto no puede ser manual. Si lo haces manual, dura dos meses y se abandona. Lo suyo es automatizarlo: revisiones periódicas, reportes, y un proceso de aprobación para deshabilitar. Y si estás fino, hasta un flujo que avisa al responsable: “esta cuenta lleva 80 días sin uso, en 10 días se deshabilita si no justificas”.
El caso que más veo: cuentas de proveedores
Aquí, cuidado. Muchas empresas tienen accesos “temporales” que luego se quedan para siempre. Y cuando pasa un incidente, nadie sabe si esa cuenta debía existir o no. Por eso, para proveedores lo ideal es que sean cuentas nominales, con fecha de caducidad, y con revisión. Si el proveedor vuelve dentro de 6 meses, se crea otra cuenta y punto. Lo que no puede ser es “la cuenta del proveedor de 2019” viva en 2026.
Y otra trampa habitual: cuentas sin MFA
Si tú tienes cuentas inactivas y encima sin MFA, ya tienes la combinación perfecta para que un día te entren por ahí. Porque muchas veces esas cuentas están fuera del radar de los controles modernos. Nadie las mira, nadie las usa, nadie las revisa. Hasta que un atacante las encuentra.
El 5.3 es, literalmente, quitarle munición al atacante.
Y si quieres aprender a gestionar identidad en serio, con enfoque de empresa (AD, Entra ID, políticas, automatización, y controles CIS aplicados a entornos reales), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad para profesionales que tenemos en la academia.
Gracias por leerme !!!
