Mecanismos de Autenticación y Sistemas de Control de Acceso

1. Introducción

En ciberseguridad, los procesos de identificación, autenticación y autorización son pilares esenciales para proteger la confidencialidad, integridad y disponibilidad de los sistemas y los datos.

Estos procesos forman parte del marco conocido como modelo AAA (Authentication, Authorization and Accounting), base de la gestión moderna de identidades.

Identificación: el usuario declara quién es.
Autenticación: el sistema verifica que realmente es quien dice ser.
Autorización: el sistema determina qué puede hacer ese usuario.

El flujo lógico es el siguiente:

Identificación -> Autenticación -> Autorización

images/access-control-services

Figura 1. Imagen obtenida de Destination Certification.

2. Identificación, Autenticación y Autorización

2.1 Identificación

Es el proceso mediante el cual un usuario declara su identidad ante el sistema, generalmente mediante un identificador único, como un nombre de usuario, correo electrónico, número de empleado o DNI.

Ejemplo: Introducir “jlopez” como usuario en un sistema Linux o en un formulario de inicio de sesión.

2.2 Autenticación

Es el proceso de verificar que la identidad declarada es legítima.

El sistema comprueba las credenciales del usuario (por ejemplo, contraseña, token o huella dactilar) frente a la información almacenada.

Si coinciden, la autenticación se considera válida y el usuario pasa a ser confiable para el sistema.

2.3 Autorización

Una vez autenticado, el sistema determina a qué recursos o acciones puede acceder el usuario.

La autorización se define mediante políticas de seguridad o modelos de control de acceso, que determinan los permisos efectivos sobre archivos, bases de datos, servicios o funciones.

Ejemplo:
En un entorno corporativo, un usuario se identifica con su nombre de usuario, se autentica con su contraseña y token, y recibe autorización para acceder solo a los recursos correspondientes a su rol de “técnico de soporte”.

3. Factores y Mecanismos de Autenticación

La autenticación puede basarse en uno o varios factores. Cada factor representa una categoría distinta de prueba de identidad:

Tipo de factor	Descripción	Ejemplos
Algo que sabes	Información conocida solo por el usuario.	Contraseña, PIN, pregunta secreta.
Algo que tienes	Un objeto físico o digital en posesión del usuario.	Token, smart card, dispositivo móvil.
Algo que eres	Rasgos biométricos inherentes al usuario.	Huella dactilar, rostro, iris, voz.
Dónde estás	Factores contextuales.	Dirección IP, ubicación GPS, red corporativa.

Tipo de factor

Descripción

Ejemplos

Algo que sabes

Información conocida solo por el usuario.

Contraseña, PIN, pregunta secreta.

Algo que tienes

Un objeto físico o digital en posesión del usuario.

Token, smart card, dispositivo móvil.

Algo que eres

Rasgos biométricos inherentes al usuario.

Huella dactilar, rostro, iris, voz.

Dónde estás

Factores contextuales.

Dirección IP, ubicación GPS, red corporativa.

3.1 Autenticación multifactor (MFA)

La autenticación multifactor (MFA) combina dos o más factores diferentes, incrementando la seguridad. Por ejemplo, una contraseña (algo que sabes) más un código temporal en el móvil (algo que tienes).

Importante: dos métodos del mismo tipo (por ejemplo, contraseña y pregunta secreta) no serían multifactor, ya que pertenecen al mismo factor (algo que sabes).

images/2fa

Figura 2. Imagen obtenida de Imperva.

4. Mecanismos de Autenticación Comunes

Contraseñas y PINs: método más tradicional. Deben ser robustas (longitud, complejidad, unicidad).
Tokens y contraseñas de un solo uso (OTP): dispositivos físicos o apps que generan códigos temporales.
Tarjetas inteligentes y certificados digitales: utilizados en entornos corporativos y gubernamentales (ej. DNI electrónico).
Biometría: reconocimiento de huellas, rostro o iris. Alta seguridad, pero con implicaciones de privacidad.
Autenticación contextual: verifica condiciones adicionales como ubicación o dispositivo.

Nota: en entornos empresariales, se recomienda integrar MFA junto con SSO (Single Sign-On) para equilibrar seguridad y comodidad del usuario.

5. Modelos de Control de Acceso

Una vez autenticado el usuario, el sistema debe determinar qué puede hacer.
Esto se define mediante los modelos de control de acceso, que establecen las políticas de permisos.

5.1 Control de Acceso Discrecional (DAC)

Definición: el propietario del recurso decide quién tiene acceso y con qué permisos.
Implementación: típica en sistemas UNIX/Linux y Windows.
Ventajas: flexible y fácil de administrar a pequeña escala.
Desventajas: depende de las decisiones del usuario; propenso a errores o configuraciones inseguras.

Ejemplo:
En Linux, el propietario de un archivo puede cambiar sus permisos con chmod o transferir propiedad con chown.
En Windows, un usuario puede compartir manualmente una carpeta con otro usuario.

5.2 Control de Acceso Obligatorio (MAC)

Definición: las decisiones de acceso están regidas por políticas centralizadas definidas por la organización, no por los usuarios.
Aplicación: entornos de alta seguridad (gubernamental, militar, sanitario).
Ejemplo de implementación: SELinux o AppArmor en GNU/Linux.
Ventajas: máxima seguridad, control centralizado.
Desventajas: menos flexibilidad, configuración compleja.

Ejemplo:
Un usuario con nivel de autorización Confidencial no puede acceder a un archivo clasificado como Secreto, incluso si el propietario intenta concederle acceso.

5.3 Control de Acceso Basado en Roles (RBAC)

Definición: los permisos se asignan a roles en lugar de usuarios individuales.
Aplicación: entornos corporativos con Active Directory, bases de datos o aplicaciones empresariales.
Ventajas: escalable, sencillo de administrar, coherente con la estructura organizativa.
Desventajas: puede requerir muchos roles en organizaciones complejas.

Ejemplo:
En un banco, el rol Cajero permite realizar operaciones con cuentas, mientras que el rol Director permite autorizar préstamos.
Un usuario hereda los permisos del rol que se le asigna.

5.4 Control de Acceso Basado en Atributos (ABAC)

Definición: el acceso se determina mediante la evaluación de atributos del usuario, del recurso, de la acción y del contexto.
Atributos posibles: cargo, departamento, hora, ubicación, clasificación del documento, tipo de acción (leer/modificar).
Ventajas: flexibilidad y granularidad; permite políticas complejas.
Desventajas: mayor complejidad administrativa.

Ejemplo:
En un hospital, un médico solo puede acceder a expedientes de pacientes asignados a su departamento y durante su horario de trabajo.

6. Comparativa General

Modelo	Quién define permisos	Flexibilidad	Seguridad	Ejemplo típico
DAC	Propietario del recurso	Alta	Media	Linux/Windows (chmod, ACL)
MAC	Autoridad central	Baja	Muy alta	SELinux, AppArmor
RBAC	Administrador por roles	Alta	Alta	Active Directory
ABAC	Política basada en atributos	Muy alta	Alta	Control de Acceso Dinámico (Windows Server)

Modelo

Quién define permisos

Flexibilidad

Seguridad

Ejemplo típico

DAC

Propietario del recurso

Alta

Media

Linux/Windows (chmod, ACL)

MAC

Autoridad central

Baja

Muy alta

SELinux, AppArmor

RBAC

Administrador por roles

Alta

Active Directory

ABAC

Política basada en atributos

Muy alta

Alta

Control de Acceso Dinámico (Windows Server)

Referencias

¿Qué es el control de acceso? Autorización vs. autenticación. Cloudflare.
Mecanismos básicos de control de acceso. INCIBE.
¿Qué es la autenticación?. Microsoft.
¿Qué es la autenticación?. Cloudflare.
¿Qué es el control de acceso?. Auth Wiki.
¿Qué es Control de acceso basado en roles (RBAC)?. Auth Wiki.
¿Qué es Control de acceso basado en atributos (Attribute-based access control, ABAC)?. Auth Wiki.