Privileged User Monitoring (PUM): Definición, Tools, Mejores Prácticas
PUM trackea continuamente lo que cuentas privilegiadas (admins, root, service accounts) hacen — session recording, auditing comandos, detección anomalías.
¿Qué es Privileged User Monitoring (PUM)?
Privileged User Monitoring (PUM) es el tracking y recording continuo de actividades realizadas por cuentas con derechos elevados — system admins, database administrators, root accounts, service accounts y contractors third-party con acceso privilegiado. La meta: un audit trail de cada acción high-impact, detección anomalías y accountability.
PUM es un control crítico para cualquier organización manejando datos sensibles.
Por qué importa PUM
- Cuentas privilegiadas = high blast radius.
- Detección insider threat.
- Requirements compliance.
- Forensics.
- Accountability.
- Vendor/contractor oversight.
Qué monitorea PUM
| Actividad | Por qué importa |
|---|---|
| Login/logout a cuentas privilegiadas | Patterns autenticación |
| Comandos ejecutados | Detectar comandos destructivos |
| Archivos accedidos/modificados | Acceso archivo unusual |
| Queries database | Exports bulk |
| Calls API cloud/IAM | Cambios permission |
| Cambios configuración | Modificaciones security control |
| Video sesión / keystroke | Audit completo para highest-risk |
| Uso sudo/su | Eventos privilege escalation |
PUM vs PAM
| Aspecto | PUM | PAM |
|---|---|---|
| Focus | Watcheando qué hacen usuarios privilegiados | Controlando quién obtiene acceso privilegiado |
| Tools | SIEM, session recording, UEBA | Vault, JIT access, rotación passwords |
| Meta | Detectar + audit | Limitar + prevenir |
| Relación | PUM es función dentro de PAM | PAM es la disciplina umbrella |
Tools PUM / PAM mayores
| Tool | Notas |
|---|---|
| CyberArk | Líder enterprise |
| BeyondTrust | Privileged Remote Access + PUM |
| Delinea (Thycotic) | PAM mid-market |
| HashiCorp Vault | Open-source secrets + audit |
| Teleport | SSH/K8s + session recording |
| StrongDM | Audit moderno proxy-based |
| AWS CloudTrail | Log audit API AWS |
| Splunk / Datadog SIEM | Audit agregado |
Técnicas PUM
Session recording
Captura video/keystroke de cada acción.
Logging comandos
Cada comando CLI logueado.
JIT access
Privilegios otorgados solo para ventana tiempo específica.
UEBA
Baseline ML comportamiento normal; alertas en anomalías.
Bastion / jump host
Todo acceso privilegiado a través de gateway.
Aprobación multi-persona (4 ojos)
Acciones críticas requieren second-admin approval.
Mejores prácticas PUM
- Inventariar todas las cuentas privilegiadas.
- Eliminar privilegios standing.
- Vaultear todas credenciales privilegiadas.
- MFA en cuentas privilegiadas.
- Session recording para high-risk.
- Alertar en anomalías.
- Auditar + revisar mensualmente.
- Separar cuentas admin y personales.
- Logs tamper-proof.
- Retener logs por compliance.
- Testear el monitoring.
Pitfalls PUM comunes
- Logs que admins pueden editar.
- Service accounts no monitoreadas.
- Session recording sin review.
- Blind spots monitoring.
- Theater compliance.
- Sin baseline.
- Sprawl privilegiado.
FAQ: Privileged User Monitoring
¿Es PUM lo mismo que PAM?
PUM = monitoring. PAM = disciplina umbrella.
¿Necesito session recording?
Para highest-risk: sí.
¿Cuánto retener logs PUM?
Compliance-driven. Default 1+ año.
¿Qué cuestan los tools PUM?
Enterprise: $50-200/usuario privilegiado/mes.
¿Puede PUM monitorear cloud?
Sí.
¿Son notificados los admins de que están siendo monitoreados?
Sí — usualmente mandatorio.
¿Cómo encaja UEBA?
UEBA = la capa analytics.
Testea seguridad API + admin endpoint con LoadFocus
LoadFocus corre scripts JMeter y k6 que ejercitan endpoints admin. Regístrate en loadfocus.com/signup.
Herramientas LoadFocus relacionadas
Lleva este concepto a la práctica con LoadFocus — la misma plataforma que potencia todo lo que acabas de leer.