1 Mecanismos de Autenticación y Sistemas de Control de Acceso
1.1 Introducción
En ciberseguridad, los procesos de identificación, autenticación y autorización son pilares esenciales para proteger la confidencialidad, integridad y disponibilidad de los sistemas y los datos.
Estos procesos forman parte del marco conocido como modelo AAA (Authentication, Authorization and Accounting), base de la gestión moderna de identidades.
- Identificación: el usuario declara quién es.
- Autenticación: el sistema verifica que realmente es quien dice ser.
- Autorización: el sistema determina qué puede hacer ese usuario.
El flujo lógico es el siguiente:
Identificación -> Autenticación -> Autorización
Figura 1. Imagen obtenida de Destination Certification.
1.2 1. Identificación, Autenticación y Autorización
1.2.1 1.1 Identificación
Es el proceso mediante el cual un usuario declara su identidad ante el sistema, generalmente mediante un identificador único, como un nombre de usuario, correo electrónico, número de empleado o DNI.
Ejemplo: Introducir “jlopez” como usuario en un sistema Linux o en un formulario de inicio de sesión.
1.2.2 1.2 Autenticación
Es el proceso de verificar que la identidad declarada es legítima.
El sistema comprueba las credenciales del usuario (por ejemplo, contraseña, token o huella dactilar) frente a la información almacenada.
Si coinciden, la autenticación se considera válida y el usuario pasa a ser confiable para el sistema.
1.2.3 1.3 Autorización
Una vez autenticado, el sistema determina a qué recursos o acciones puede acceder el usuario.
La autorización se define mediante políticas de seguridad o modelos de control de acceso, que determinan los permisos efectivos sobre archivos, bases de datos, servicios o funciones.
Ejemplo:
En un entorno corporativo, un usuario se identifica con su nombre de
usuario, se autentica con su contraseña y token, y recibe autorización
para acceder solo a los recursos correspondientes a su rol de “técnico
de soporte”.
1.3 2. Factores y Mecanismos de Autenticación
La autenticación puede basarse en uno o varios factores. Cada factor representa una categoría distinta de prueba de identidad:
| Tipo de factor | Descripción | Ejemplos |
|---|---|---|
| Algo que sabes | Información conocida solo por el usuario. | Contraseña, PIN, pregunta secreta. |
| Algo que tienes | Un objeto físico o digital en posesión del usuario. | Token, smart card, dispositivo móvil. |
| Algo que eres | Rasgos biométricos inherentes al usuario. | Huella dactilar, rostro, iris, voz. |
| Dónde estás | Factores contextuales. | Dirección IP, ubicación GPS, red corporativa. |
1.3.1 2.1 Autenticación multifactor (MFA)
La autenticación multifactor (MFA) combina dos o más factores diferentes, incrementando la seguridad. Por ejemplo, una contraseña (algo que sabes) más un código temporal en el móvil (algo que tienes).
Importante: dos métodos del mismo tipo (por ejemplo, contraseña y pregunta secreta) no serían multifactor, ya que pertenecen al mismo factor (algo que sabes).
Figura 2. Imagen obtenida de Imperva.
1.4 3. Mecanismos de Autenticación Comunes
- Contraseñas y PINs: método más tradicional. Deben
ser robustas (longitud, complejidad, unicidad).
- Tokens y contraseñas de un solo uso (OTP):
dispositivos físicos o apps que generan códigos temporales.
- Tarjetas inteligentes y certificados digitales:
utilizados en entornos corporativos y gubernamentales (ej. DNI
electrónico).
- Biometría: reconocimiento de huellas, rostro o
iris. Alta seguridad, pero con implicaciones de privacidad.
- Autenticación contextual: verifica condiciones adicionales como ubicación o dispositivo.
Nota: en entornos empresariales, se recomienda integrar MFA junto con SSO (Single Sign-On) para equilibrar seguridad y comodidad del usuario.
1.5 4. Modelos de Control de Acceso
Una vez autenticado el usuario, el sistema debe determinar qué puede
hacer.
Esto se define mediante los modelos de control de
acceso, que establecen las políticas de permisos.
1.5.1 4.1 Control de Acceso Discrecional (DAC)
- Definición: el propietario del recurso decide quién
tiene acceso y con qué permisos.
- Implementación: típica en sistemas UNIX/Linux y
Windows.
- Ventajas: flexible y fácil de administrar a pequeña
escala.
- Desventajas: depende de las decisiones del usuario; propenso a errores o configuraciones inseguras.
Ejemplo:
En Linux, el propietario de un archivo puede cambiar sus permisos con
chmod o transferir propiedad con chown.
En Windows, un usuario puede compartir manualmente una carpeta con otro
usuario.
1.5.2 4.2 Control de Acceso Obligatorio (MAC)
- Definición: las decisiones de acceso están regidas
por políticas centralizadas definidas por la
organización, no por los usuarios.
- Aplicación: entornos de alta seguridad
(gubernamental, militar, sanitario).
- Ejemplo de implementación: SELinux
o AppArmor en GNU/Linux.
- Ventajas: máxima seguridad, control
centralizado.
- Desventajas: menos flexibilidad, configuración compleja.
Ejemplo:
Un usuario con nivel de autorización Confidencial no puede
acceder a un archivo clasificado como Secreto, incluso si el
propietario intenta concederle acceso.
1.5.3 4.3 Control de Acceso Basado en Roles (RBAC)
- Definición: los permisos se asignan a
roles en lugar de usuarios individuales.
- Aplicación: entornos corporativos con
Active Directory, bases de datos o aplicaciones
empresariales.
- Ventajas: escalable, sencillo de administrar,
coherente con la estructura organizativa.
- Desventajas: puede requerir muchos roles en organizaciones complejas.
Ejemplo:
En un banco, el rol Cajero permite realizar operaciones con
cuentas, mientras que el rol Director permite autorizar
préstamos.
Un usuario hereda los permisos del rol que se le asigna.
1.5.4 4.4 Control de Acceso Basado en Atributos (ABAC)
- Definición: el acceso se determina mediante la
evaluación de atributos del usuario, del recurso, de la
acción y del contexto.
- Atributos posibles: cargo, departamento, hora,
ubicación, clasificación del documento, tipo de acción
(leer/modificar).
- Ventajas: flexibilidad y granularidad; permite
políticas complejas.
- Desventajas: mayor complejidad administrativa.
Ejemplo:
En un hospital, un médico solo puede acceder a expedientes de pacientes
asignados a su departamento y durante su horario de trabajo.
1.6 5. Comparativa General
| Modelo | Quién define permisos | Flexibilidad | Seguridad | Ejemplo típico |
|---|---|---|---|---|
| DAC | Propietario del recurso | Alta | Media | Linux/Windows (chmod, ACL) |
| MAC | Autoridad central | Baja | Muy alta | SELinux, AppArmor |
| RBAC | Administrador por roles | Alta | Alta | Active Directory |
| ABAC | Política basada en atributos | Muy alta | Alta | Control de Acceso Dinámico (Windows Server) |
1.7 Referencias
- ¿Qué es el control de acceso? Autorización vs. autenticación. Cloudflare.
- Mecanismos básicos de control de acceso. INCIBE.
- ¿Qué es la autenticación?. Microsoft.
- ¿Qué es la autenticación?. Cloudflare.
- ¿Qué es el control de acceso?. Auth Wiki.
- ¿Qué es Control de acceso basado en roles (RBAC)?. Auth Wiki.
- ¿Qué es Control de acceso basado en atributos (Attribute-based access control, ABAC)?. Auth Wiki.