Microsoft blinda Microsoft 365: Adiós a los accesos con privilegios elevados

Cristian Do Carmo Rodríguez -

Microsoft ha anunciado una iniciativa para reforzar la seguridad de Microsoft 365, centrándose en la eliminación de los accesos con privilegios elevados (HPA, por sus siglas en inglés). ¿Qué significa esto? Básicamente, que están trabajando para que las aplicaciones y los usuarios tengan solo los permisos estrictamente necesarios para realizar sus funciones, minimizando así el riesgo en caso de brechas de seguridad.

Esta medida forma parte de la Secure Future Initiative (SFI), un proyecto ambicioso que abarca toda la compañía y que busca fortalecer la ciberseguridad en todos los niveles: infraestructura, productos y servicios. Dentro de esta iniciativa, la eliminación de los HPA es un pilar fundamental.

¿Qué son los accesos con privilegios elevados (HPA)?

Un HPA se produce cuando una aplicación o servicio tiene acceso amplio al contenido de un cliente, pudiendo incluso hacerse pasar por otros usuarios sin necesidad de justificar el contexto.

Imagina que la Aplicación A guarda tus datos y la Aplicación B necesita acceder a ellos. Si la Aplicación B puede acceder sin necesidad de tu permiso o contexto, eso es un HPA. El problema es que si alguien compromete la Aplicación B, podría hacerse pasar por ti y acceder a información sensible.

La estrategia de Microsoft: Asumir una brecha y aplicar el mínimo privilegio

Microsoft está adoptando una mentalidad de asumir la brecha, lo que significa que parten de la base de que en algún momento la seguridad puede verse comprometida. Por lo tanto, están aplicando protocolos de autenticación muy estrictos y asegurándose de que cada aplicación tenga el mínimo nivel de acceso posible.

Los pasos que han seguido son:

  • Revisar todas las aplicaciones de Microsoft 365 y sus interacciones con otros servicios.
  • Desactivar protocolos de autenticación antiguos que permitían los HPA.
  • Implementar nuevos protocolos de autenticación seguros.

En muchos casos, esto ha implicado rediseñar la arquitectura de la plataforma para garantizar que las aplicaciones puedan seguir funcionando, pero con accesos más limitados. Por ejemplo, si una aplicación necesita leer datos de un sitio específico de SharePoint, ahora se le concede permiso para acceder solo a ese sitio (Sites.Selected), en lugar de darle acceso a todos los sitios (Sites.Read.All).

¿Qué puedes hacer tú para mejorar la seguridad?

Microsoft recomienda a los usuarios de Microsoft 365 que sigan estas buenas prácticas para proteger sus datos:

  • Audita las aplicaciones que tienen acceso a tus datos: Revisa qué aplicaciones tienen acceso a tu información y revoca los permisos que no sean necesarios.
  • Utiliza el marco de consentimiento de Microsoft Entra ID: Obliga a que los usuarios den su consentimiento cuando una aplicación solicite acceso a su contenido.
  • Utiliza permisos delegados: En los casos en que una aplicación actúe en nombre de un usuario, utiliza permisos delegados para que solo pueda acceder a los recursos a los que el usuario tiene acceso.
  • Desarrolla aplicaciones con el principio de mínimo privilegio: Si eres desarrollador, asegúrate de que tus aplicaciones solo soliciten los permisos que realmente necesitan.
  • Implementa controles de auditoría estrictos: Revisa periódicamente todas las aplicaciones y asegúrate de que cumplen con el principio de mínimo privilegio.

En resumen, Microsoft está tomando medidas serias para mejorar la seguridad de Microsoft 365 y proteger los datos de sus usuarios. Siguiendo sus recomendaciones, puedes reforzar aún más la seguridad de tu propia organización.