El acceso privilegiado desde el navegador: el vacío de seguridad que muchas soluciones PAM siguen ignorando

Piensa en cómo trabaja hoy tu equipo. Los administradores configuran infraestructuras desde consolas cloud, los equipos DevOps despliegan servicios a través de paneles web de CI/CD, el departamento financiero accede a sistemas ERP desde el navegado, los equipos de IT gestionan endpoints, identidades y dispositivos de red mediante aplicaciones web, etc.

El navegador se ha convertido, casi sin hacer ruido, en una de las herramientas más críticas dentro de cualquier organización. Y, en muchos casos, también en una de las menos protegidas.

Por qué el acceso privilegiado desde el navegador supone un riesgo de seguridad

Existe una idea bastante extendida en ciberseguridad: que las interacciones de mayor riesgo ocurren a nivel de infraestructura. Un acceso SSH a un servidor, una sesión RDP en una estación de trabajo o el acceso directo a una base de datos son los escenarios que normalmente se monitorizan, registran y gobiernan mediante soluciones gestión de accesos privilegiados.

Pero esa visión del privilegio se ha quedado atrás. Hoy, una gran parte de las operaciones sensibles ocurre directamente en el navegador. Acceder a una consola de AWS, reconfigurar un firewall desde su interfaz web, consultar un panel SCADA de supervisión o administrar identidades desde un portal de administración son acciones privilegiadas. Y comparten exactamente los mismos riesgos que el acceso tradicional a infraestructuras: robo de credenciales, secuestro de sesiones, exfiltración de datos o movimientos laterales dentro del entorno.

Sin embargo, en muchas organizaciones estas sesiones siguen sin supervisión, sin gobierno y completamente fuera del alcance de los controles de acceso existentes.

El navegador es un vector de ataque, y los atacantes lo saben

El navegador está en medio de todo: entre el usuario, su dispositivo y las aplicaciones a las que accede. Por eso se ha convertido en un objetivo especialmente atractivo.
Según un estudio del sector realizado en 2025, el 95% de las organizaciones sufrió al menos un ataque originado desde el navegador durante el último año, y el 94% registró incidentes de phishing, lo que convierte al navegador en la superficie más explotada dentro de la empresa. Los métodos de ataque son variados: redirecciones maliciosas, descargas invisibles, robo de credenciales, secuestro de tokens de sesión y mucho más.

Y el riesgo aumenta todavía más en los entornos de trabajo actuales:

• Proveedores externos y contratistas acceden con frecuencia a aplicaciones internas desde dispositivos no gestionados, saltándose por completo los controles del endpoint.
• Los empleados en remoto se conectan desde redes domésticas con niveles de seguridad desconocidos.
• La adopción masiva de SaaS implica que los datos sensibles residen en aplicaciones web que nunca fueron diseñadas pensando en la gobernanza de acceso empresarial.
• Las políticas BYOD difuminan la frontera entre navegación personal y profesional en un mismo dispositivo.

Cada uno de estos escenarios representa una sesión web fuera de control; y cada una puede convertirse en una brecha de seguridad.

El vacío que las soluciones PAM tradicionales no cubren

La gestión del acceso privilegiado lleva años siendo el estándar para controlar quién puede acceder a sistemas e infraestructuras críticas. Supervisa sesiones SSH, conexiones RDP y accesos a bases de datos, es decir, las rutas tradicionales del acceso privilegiado.

Pero la mayoría de las implementaciones PAM se detienen en el navegador. El acceso web a consolas cloud, paneles de administración y herramientas SaaS suele quedar fuera del perímetro de control. Puede que exista autenticación, pero no gobierno real. Además, no hay grabación de sesiones, ni supervisión en tiempo real, ni control granular sobre lo que un usuario puede hacer una vez dentro de la aplicación.

Y el problema se agrava por la falta de visibilidad. El mismo estudio de 2025 reveló que el 64% del tráfico web cifrado no se inspecciona en la mayoría de las organizaciones. Es decir, aunque existan controles perimetrales, gran parte de lo que ocurre dentro del navegador permanece invisible para los equipos de seguridad. El panorama de amenazas ha cambiado y las estrategias de seguridad tienen que evolucionar al mismo ritmo.

Cómo es realmente proteger las sesiones web

Proteger el acceso basado en navegador no consiste en añadir fricción. El objetivo es integrar las sesiones web dentro del mismo marco de gobierno y control que ya se aplica al acceso a infraestructuras, sin alterar la forma de trabajar de los usuarios.

En la práctica, esto implica:

• Aislamiento de sesiones: la navegación web se ejecuta en un entorno remoto seguro, evitando que código malicioso, malware o credenciales lleguen al dispositivo local del usuario.
• Trazabilidad completa: cada sesión queda registrada y grabada (vídeo, metadatos y acciones del usuario) igual que ocurre con una sesión privilegiada sobre servidores.
• Controles de acceso granulares: definir qué usuarios pueden acceder a qué aplicaciones, durante cuánto tiempo y con qué permisos, incluyendo portapapeles, transferencia de archivos o impresión.
• Despliegue sin agentes: sin plugins ni instalaciones en los dispositivos de usuario, lo que facilita una adopción rápida incluso en entornos de terceros o dispositivos no gestionados.

El resultado es claro: las sesiones web pasan a ser tan visibles y controladas como cualquier otra interacción privilegiada, sin obligar a los usuarios a cambiar su forma habitual de trabajar.

La pregunta que merece la pena hacerse

Si un usuario privilegiado accediera a un servidor crítico sin ningún tipo de supervisión o control de acceso, cualquier organización lo consideraría una brecha grave de seguridad.
Pero cuando ese mismo usuario accede a la interfaz web de administración del servidor desde una sesión de navegador sin control, en la mayoría de las empresas no salta ninguna alarma.
Y mientras tanto, la presión sigue aumentando: las organizaciones sufrieron una media de 1.984 ciberataques semanales durante el segundo trimestre de 2025, un 21% más que el año anterior, según Check Point Research.
Cada sesión web sin supervisión es una oportunidad más para un atacante.

El navegador ya se ha convertido en un espacio de trabajo privilegiado. La cuestión es si tu estrategia de seguridad refleja realmente esa realidad.

¿Quieres saber cómo cómo proteger el acceso privilegiado desde el navegador dentro de una estrategia PAM más comprensiva? [Lee nuestro análisis sobre WSM y PAM →]