IG1 IG2 IG3

Usar Contraseñas Únicas

Grupo de Control: 5. Gestión de Cuentas

Tipo de Activo: Usuarios

Función de Seguridad: Proteger

Descripción

Usar contraseñas únicas para todos los activos empresariales. La implementación de mejores prácticas incluye, como mínimo, una contraseña de 8 caracteres para cuentas que usan MFA y una contraseña de 14 caracteres para cuentas que no usan MFA.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

6

Identificar los sistemas que requieren autenticación multifactor

7

Seleccionar e implementar la solución MFA

8

Inscribir a los usuarios y distribuir los factores de autenticación

9

Probar MFA en todos los sistemas identificados

Herramientas Recomendadas

CyberArk Privileged Access Manager Gartner MQ Leader, PAM 2024

Plataforma de gestión de acceso privilegiado para asegurar, gestionar y auditar credenciales y sesiones privilegiadas

CyberArk · Suscripción por usuario

BeyondTrust Privilege Management Gartner MQ Leader, PAM 2024

Gestión de acceso privilegiado con gestión de privilegios de endpoint, acceso remoto seguro y bóveda de contraseñas

BeyondTrust · Suscripción por usuario

Delinea Secret Server Gartner MQ Leader, PAM 2024

Gestión de acceso privilegiado con bóveda de contraseñas, grabación de sesiones y elevación de privilegios justo a tiempo

Delinea · Suscripción por usuario

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Ataques de Relleno de Credenciales Usando Contraseñas Filtradas

Confidencialidad

Los atacantes usan credenciales filtradas de brechas de terceros para acceder a cuentas empresariales donde los empleados reutilizaron la misma contraseña en sistemas personales y laborales.

Rociado de Contraseñas con Contraseñas Débiles Comunes

Confidencialidad

Los atacantes realizan ataques de rociado de contraseñas usando contraseñas comunes como 'Spring2026!' que cumplen reglas de complejidad básicas pero son predecibles, comprometiendo múltiples cuentas simultáneamente.

Descifrado de Contraseñas Fuera de Línea de Hashes Robados

Confidencialidad

Los atacantes que obtienen hashes de contraseñas descifran contraseñas cortas o simples rápidamente usando fuerza bruta acelerada por GPU o tablas rainbow, obteniendo acceso a cuentas con contraseñas débiles.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Contraseñas Débiles o Reutilizadas en Cuentas Empresariales

Sin requisitos de contraseñas únicas y aplicación de longitud mínima, los usuarios eligen contraseñas débiles, predecibles o previamente comprometidas que son fácilmente adivinadas o descifradas.

Sin Mecanismo de Aplicación de Política de Contraseñas

Sin controles técnicos que apliquen requisitos de longitud y unicidad de contraseñas, los usuarios optan por las contraseñas más cortas, simples y memorables posibles.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Técnico	Estado de inscripción de MFA y configuración de aplicación	Revisado mensualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Cuentas y Credenciales

Control 5, Control 6

Salvaguardas Relacionadas en el Control 5

5.1 Establecer y Mantener un Inventario de Cuentas

5.3 Deshabilitar Cuentas Inactivas

5.4 Restringir Privilegios de Administrador a Cuentas de Administrador Dedicadas

5.5 Establecer y Mantener un Inventario de Cuentas de Servicio

5.6 Centralizar la Gestión de Cuentas