Autenticación vs Autorización: autenticación verifica que eres quien dices (contraseña, token, biometría). Autorización define qué puedes hacer con tu identidad verificada. Ambas son necesarias.
Qué es el control de acceso
Control de acceso es el mecanismo técnico y político que determina quién puede acceder a qué recurso, en qué circunstancias y con qué permisos. Incluye autenticación (verificar identidad), autorización (qué permisos tiene) y auditoría (registrar quién accedió a qué). Un control débil permite acceso no autorizado; un control bien configurado limita daño si una cuenta es comprometida.
Por qué importa
Un atacante con credenciales válidas es prácticamente invisible: logs muestran acceso legítimo. Si ese usuario tiene acceso a todo porque 'alguna vez lo necesitó', los daños son masivos. Control de acceso basado en mínimo privilegio significa que cada usuario tiene exactamente lo que necesita para su trabajo, nada más. Si usuario de soporte técnico es comprometido, atacante solo puede acceder a tickets, no a bases de datos o sistemas críticos. Eso reduce exponencialmente el daño potencial. Para requisitos DORA, NIS2 e ISO 27001, control de acceso granular, auditable y con mínimo privilegio es obligatorio.
Puntos clave
RBAC (Role-Based Access Control): definir roles (admin, usuario, guest) y asignar permisos por rol. Más escalable que permisos individuales pero menos flexible que ABAC.
ABAC (Attribute-Based Access Control): reglas que combinan atributos (usuario, recurso, contexto) para decidir acceso. Más complejo pero más flexible para entornos heterogéneos.
Privileged Access Management (PAM): gestión especial de cuentas de administrador y credenciales sensibles. Deben estar vaulted, rotarse frecuentemente y ser monitorizadas intensamente.
Ejemplo: mínimo privilegio conteniendo movimiento lateral
Usuario de finanzas trabaja en presupuestos, necesita acceso a base de datos de ingresos y gastos. Con control débil: tiene acceso a toda la base de datos, incluyendo datos de empleados (salarios), datos sensibles de clientes, información estratégica. Si credenciales son robadas, atacante accede a todo. Con mínimo privilegio: usuario puede leer solo tablas de ingresos/gastos, no puede exportar datos a USB, no puede crear usuarios, no puede acceder a sistemas de RR.HH. Si atacante obtiene credenciales, está confinado: puede ver presupuestos pero no filtra información sensible de empleados. Intento de acceder a RR.HH. genera alerta porque está fuera de patrón conocido del usuario.
Errores habituales
- Dar acceso amplio 'por si acaso'. Usuario solicita acceso a 3 sistemas, se le da 10 'para tener cubierto'. Meses después solo usa 2, pero 8 puentes potenciales de ataque siguen activos.
- No revisar accesos antiguos. Un usuario que cambió de rol hace 6 meses sigue teniendo permisos del rol anterior. Auditoría anual de accesos activos es necesaria.
- Mezclar identidades humanas con aplicaciones/sistemas. Usuarios que no son personas (aplicaciones, cron jobs) necesitan cuentas de servicio con permisos específicos, separadas de cuentas humanas.
- No monitorizar cambios de acceso. Alguien escalando privilegios sin alarma significa detección lenta. Auditoría en tiempo real de cambios críticos es necesaria.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre control de acceso y autenticación?
Autenticación verifica que eres quien dices (login con contraseña). Control de acceso decide qué recursos puedes usar una vez autenticado. Necesitas ambos: autenticar que eres Juan García, autorizar que Juan García solo accede a sus proyectos.
¿Qué es Zero Trust en contexto de control de acceso?
Filosofía: nunca confiar, siempre verificar. Cada acceso requiere autenticación y autorización, incluso si usuario ya estaba autenticado. Base la decisión en identidad, dispositivo, ubicación, contexto. Es más restrictivo pero mucho más seguro.
¿Cómo se audita control de acceso?
Logs detallados de: quién accedió a qué, cuándo, desde dónde, si fue exitoso o falló. Se revisa regularmente (trimestral) para identificar accesos anómalos, inactivos o excesivos. Herramientas IAM modernas alertan automáticamente de anomalías.