> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/es/guias-de-remediacion-de-vulnerabilidades/cloud-scan/amazon-web-services-aws.md).

# Servicios web de Amazon (AWS)

## Cuenta raíz sin MFA

**Severidad: Crítica**

### Qué significa

La AWS **cuenta raíz** tiene acceso sin restricciones a todo en tu cuenta de AWS: facturación, todos los servicios, todos los datos. Es la credencial más poderosa de todo tu entorno en la nube. Sin MFA, una contraseña de root comprometida significa una toma de control total.

### Cómo solucionarlo

1. Inicia sesión en la [Consola de AWS](https://console.aws.amazon.com/) como root.
2. Ve a `IAM` > `Panel` > `Activa MFA en tu cuenta raíz`.
3. Haz clic en `Administrar MFA` > `Activar MFA`.
4. Elige `Dispositivo MFA virtual` (recomendado: usa una clave de hardware como YubiKey para máxima seguridad).
5. Escanea el código QR con tu aplicación autenticadora.
6. Introduce dos códigos consecutivos y haz clic en `Asignar MFA`.

Después de habilitar MFA, sigue las mejores prácticas de AWS:

* **Nunca uses la cuenta raíz para tareas diarias.** Crea usuarios IAM o usa IAM Identity Center en su lugar.
* Guarda las credenciales de la cuenta raíz en un lugar seguro y fuera de línea (caja fuerte, gestor de contraseñas).

## Cuenta raíz usada recientemente

**Severidad: Alta**

### Qué significa

La cuenta raíz se ha usado para iniciar sesión en los últimos 90 días. Al igual que el Administrador integrado en Active Directory, la cuenta raíz debe reservarse solo para emergencias (por ejemplo, recuperación de la cuenta, cambios de facturación). El trabajo diario debe realizarse con usuarios o roles IAM con los permisos adecuados.

### Cómo solucionarlo

1. Crea **usuarios IAM** o usa **IAM Identity Center (SSO)** para la administración diaria.
2. Asigna solo los permisos que necesita cada persona (principio de mínimo privilegio).
3. Deja de usar la cuenta raíz para tareas rutinarias.
4. La alerta desaparecerá después de 90 días de inactividad de la cuenta raíz.

## Usuarios IAM sin MFA

**Severidad: Media**

### Qué significa

Uno o más usuarios IAM pueden iniciar sesión en la Consola de AWS sin MFA. Si su contraseña se ve comprometida, el atacante obtiene acceso total a todo lo que ese usuario puede hacer en AWS.

### Cómo solucionarlo

1. Ve a `IAM` > `Usuarios` > selecciona al usuario.
2. Ve al `Credenciales de seguridad` .
3. En `Autenticación multifactor (MFA)`, haz clic en `Administrar`.
4. Asigna un dispositivo MFA.

Para exigir MFA a todos los usuarios, crea una política de IAM que deniegue todas las acciones a menos que MFA esté presente:

1. Ve a `IAM` > `Directivas` > `Crear política`.
2. Use la [Política de aplicación de MFA de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.html) plantilla.
3. Adjúntala a todos los grupos de usuarios.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/es/guias-de-remediacion-de-vulnerabilidades/cloud-scan/amazon-web-services-aws.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
