Privileged User Monitoring (PUM): Definición, Tools, Mejores Prácticas
PUM trackea continuamente lo que cuentas privilegiadas (admins, root, service accounts) hacen, session recording, auditing comandos, detección anomalías.
¿Qué es Privileged User Monitoring (PUM)?
Privileged User Monitoring (PUM) es el tracking y recording continuo de actividades realizadas por cuentas con derechos elevados, system admins, database administrators, root accounts, service accounts y contractors third-party con acceso privilegiado. La meta: un audit trail de cada acción high-impact, detección anomalías y accountability.
PUM es un control crítico para cualquier organización manejando datos sensibles.
Por qué importa PUM
- Cuentas privilegiadas = high blast radius.
- Detección insider threat.
- Requirements compliance.
- Forensics.
- Accountability.
- Vendor/contractor oversight.
Qué monitorea PUM
| Actividad | Por qué importa |
|---|---|
| Login/logout a cuentas privilegiadas | Patterns autenticación |
| Comandos ejecutados | Detectar comandos destructivos |
| Archivos accedidos/modificados | Acceso archivo unusual |
| Queries database | Exports bulk |
| Calls API cloud/IAM | Cambios permission |
| Cambios configuración | Modificaciones security control |
| Video sesión / keystroke | Audit completo para highest-risk |
| Uso sudo/su | Eventos privilege escalation |
PUM vs PAM
| Aspecto | PUM | PAM |
|---|---|---|
| Focus | Watcheando qué hacen usuarios privilegiados | Controlando quién obtiene acceso privilegiado |
| Tools | SIEM, session recording, UEBA | Vault, JIT access, rotación passwords |
| Meta | Detectar + audit | Limitar + prevenir |
| Relación | PUM es función dentro de PAM | PAM es la disciplina umbrella |
Tools PUM / PAM mayores
| Tool | Notas |
|---|---|
| CyberArk | Líder enterprise |
| BeyondTrust | Privileged Remote Access + PUM |
| Delinea (Thycotic) | PAM mid-market |
| HashiCorp Vault | Open-source secrets + audit |
| Teleport | SSH/K8s + session recording |
| StrongDM | Audit moderno proxy-based |
| AWS CloudTrail | Log audit API AWS |
| Splunk / Datadog SIEM | Audit agregado |
Técnicas PUM
Session recording
Captura video/keystroke de cada acción.
Logging comandos
Cada comando CLI logueado.
JIT access
Privilegios otorgados solo para ventana tiempo específica.
UEBA
Baseline ML comportamiento normal; alertas en anomalías.
Bastion / jump host
Todo acceso privilegiado a través de gateway.
Aprobación multi-persona (4 ojos)
Acciones críticas requieren second-admin approval.
Mejores prácticas PUM
- Inventariar todas las cuentas privilegiadas.
- Eliminar privilegios standing.
- Vaultear todas credenciales privilegiadas.
- MFA en cuentas privilegiadas.
- Session recording para high-risk.
- Alertar en anomalías.
- Auditar + revisar mensualmente.
- Separar cuentas admin y personales.
- Logs tamper-proof.
- Retener logs por compliance.
- Testear el monitoring.
Pitfalls PUM comunes
- Logs que admins pueden editar.
- Service accounts no monitoreadas.
- Session recording sin review.
- Blind spots monitoring.
- Theater compliance.
- Sin baseline.
- Sprawl privilegiado.
FAQ: Privileged User Monitoring
¿Es PUM lo mismo que PAM?
PUM = monitoring. PAM = disciplina umbrella.
¿Necesito session recording?
Para highest-risk: sí.
¿Cuánto retener logs PUM?
Compliance-driven. Default 1+ año.
¿Qué cuestan los tools PUM?
Enterprise: $50-200/usuario privilegiado/mes.
¿Puede PUM monitorear cloud?
Sí.
¿Son notificados los admins de que están siendo monitoreados?
Sí, usualmente mandatorio.
¿Cómo encaja UEBA?
UEBA = la capa analytics.
Testea seguridad API + admin endpoint con LoadFocus
LoadFocus corre scripts JMeter y k6 que ejercitan endpoints admin. Regístrate en loadfocus.com/signup.
Herramientas LoadFocus relacionadas
Lleva este concepto a la práctica con LoadFocus, la misma plataforma que potencia todo lo que acabas de leer.