RBAC (Role-Based Access Control): usuarios asignados a roles con permisos predefinidos. Simple pero inflexible: si roles no reflejan responsabilidades reales, causa caos o permisos excesivos.
Qué es la autorización
La autorización es el proceso de determinar qué acciones puede realizar un usuario, aplicación o dispositivo autenticado. Es distinto a autenticación (quién eres) pero complementario: define permisos granulares (qué datos ves, qué sistemas modificas, qué operaciones ejecutas). Implementación requiere modelos de control como RBAC (rol), ABAC (atributos), o ACL (listas de acceso). Autorización débil permite escalada de privilegios, acceso a datos sensibles y movimiento lateral post-compromiso.
Por qué importa
Autorización correcta es línea defensiva crítica contra privilegios excesivos: si usuario está comprometido, permisos limitados contienen daño. El principio de 'mínimo privilegio' (least privilege) es fundamento de Zero Trust, segmentación de red, y control de acceso. Auditoría de permisos frecuentemente revela: usuarios con rol de admin que no lo necesitan, cuentas de servicio con acceso excesivo, permisos heredados tras cambios de puesto no revocados. Regulaciones exigen: ISO 27001 requiere segregación de funciones (SoD); NIS2 exige revisión periódica de acceso a información crítica; DORA para servicios financieros críticos. CISOs deben automatizar auditoría de permisos, implementar segregación de funciones, y usar contextual authorization (ubicación, dispositivo, riesgo).
Puntos clave
ABAC (Attribute-Based Access Control): acceso basado en atributos (departamento, nivel de riesgo, hora del día, ubicación). Más granular y flexible; requiere mayor complejidad de gestión.
Principio de mínimo privilegio: usuarios solo tienen permisos absolutamente necesarios para función. Requiere disciplina: revisar y revocar permisos heredados, auditoría trimestral, segregación de funciones (SoD).
Acceso temporal: credenciales con expiración, tokens corta vida, acceso elevado solo cuando se necesita (just-in-time). Reduce ventana de exposición si credencial es comprometida.
Ejemplo: Escalada de privilegios por autorización débil
Un empleado de soporte de TI tiene rol de administrador en toda infraestructura heredado de puesto anterior. Aunque su rol actual es solo soporte de usuarios, nunca fue revocado acceso admin. Cuando cuenta es comprometida por phishing, atacante escalada a domain admin, crea backdoor permanente, y accede a SQL database de clientes. Auditoría posterior revela 40% de empleados tienen permisos excesivos para su puesto. Solución: implementar RBAC con roles específicos (soporte=solo reset password; dev=acceso a dev database; admin=máquinas específicas no todas). Usar Privileged Access Management (PAM) para elevar privilegios solo cuando necesario y registrar en auditoría. Revisar trimestralmente accesos y revocar innecesarios.
Errores habituales
- Asumir que usuario comprometido solo puede hacer daño con su nivel de privilegio actual; si usuario tiene acceso a admin tools o configuraciones, puede escalar.
- No segregar funciones: mismo usuario que crea usuario en AD, puede asignar credenciales, y accede a datos. Tres personas deben hacer estos pasos para evitar fraude.
- Permisos 'heredados': cuando empleado cambia puesto, frecuentemente mantienen permisos antiguos acumulados. Auditoría anual es insuficiente; debe ser continua y automática.
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre RBAC y ABAC?
RBAC: usuario tiene rol (admin, editor, viewer) con permisos fijos. Simple pero inflexible: no distingue si acceso es desde oficina o desde China a las 3am. ABAC: acceso basado en atributos como ubicación, hora, dispositivo, nivel de riesgo. Más seguro pero complejo de gestionar: requiere motor de decisión basado en políticas (policy engine).
¿Por qué segregación de funciones (SoD) es importante?
Previene fraude y errores: mismo usuario que crea pagos, no debe aprobarlos; mismo usuario que crea usuarios no debe modificar logs. Requiere mínimo dos personas para transacciones críticas. ISO 27001 lo exige; DORA lo requiere para servicios financieros críticos.
¿Cómo se audita autorización en empresa grande?
Herramientas de Identity Governance: reportes de acceso por usuario/rol, análisis de certificación de acceso (managers confirman que empleados deben tener sus permisos), detección automática de conflictos SoD. SIEM debe alertar sobre acceso anómalo (usuario accede a recurso inusual para su rol).