Acceso
🔐 Seguridad de Acceso: Autenticación y Autorización
📅 2 enero 2025 · 9 min lectura·👤 Equipo CiberSeguroMX
¿Qué es el Control de Acceso?
El control de acceso es el proceso de determinar quién puede acceder a qué recursos dentro de un sistema. Incluye tanto el aspecto físico (quién entra a un edificio) como el lógico (quién puede ver o modificar datos en un sistema informático).
Principio fundamental: El control de acceso sigue el principio de "mínimo privilegio": cada usuario o sistema debe tener acceso solo a los recursos que necesita para realizar su función.
Las tres fases del control de acceso
- Identificación: El usuario presenta quién dice ser (nombre de usuario, tarjeta, huella)
- Autenticación: El sistema verifica que realmente es quien dice ser (contraseña, PIN, biométrico)
- Autorización: El sistema determina qué puede hacer ese usuario verificado
Factores de autenticación
| Factor | Tipo | Ejemplos |
|---|
| Algo que sabes | Conocimiento | Contraseña, PIN, pregunta secreta |
| Algo que tienes | Posesión | Tarjeta RFID, token OTP, smartphone |
| Algo que eres | Inherencia | Huella dactilar, iris, reconocimiento facial |
| Dónde estás | Ubicación | Geolocalización, IP de red |
Autenticación Multifactor (MFA)
La autenticación multifactor combina dos o más factores distintos. Aunque la contraseña sea robada, el atacante no puede acceder sin el segundo factor.
- TOTP (Time-based OTP): Códigos que cambian cada 30 segundos. Apps: Google Authenticator, Authy
- SMS/Email OTP: Más conveniente pero menos seguro (vulnerable a SIM swapping)
- Llaves físicas (FIDO2/WebAuthn): El método más seguro. Dispositivos: YubiKey, Google Titan
- Push notifications: Aprobar acceso desde la app del teléfono
Modelos de control de acceso
DAC — Control de Acceso Discrecional
- El propietario del recurso decide quién puede acceder
- Flexible pero puede ser inseguro si el usuario comete errores
- Común en sistemas operativos como Linux y Windows
MAC — Control de Acceso Obligatorio
- El sistema aplica políticas de seguridad independientemente del usuario
- Basado en etiquetas de clasificación (secreto, confidencial, público)
- Usado en entornos militares y gubernamentales
RBAC — Control de Acceso Basado en Roles
- Los permisos se asignan a roles, no a usuarios individuales
- El modelo más usado en empresas modernas
- Fácil de gestionar y auditar
Zero Trust: el modelo moderno
El modelo Zero Trust ("nunca confíes, siempre verifica") asume que ningún usuario o dispositivo es de confianza por defecto, incluso si está dentro de la red corporativa. Requiere verificación continua para cada acceso.
- Verificación explícita de identidad en cada solicitud
- Acceso de mínimo privilegio siempre
- Monitoreo continuo del comportamiento
- Microsegmentación de la red
AccesoCiberseguridad2025
Artículos relacionados