Modelos de control de acceso - RBAC, ABAC y ACL
Lectura de 2 min aprox.
El control de acceso es un mecanismo para gestionar el alcance dentro del cual los usuarios y sistemas pueden acceder a los recursos (archivos, bases de datos, dispositivos de red, etc.). Se compone de dos etapas, la «autenticación» (verificar quién eres) y la «autorización» (determinar qué puedes hacer), y es un concepto que constituye la base de la seguridad zero trust. A fecha de 2025, avanza la adopción de ABAC y PBAC (control de acceso basado en políticas), y las decisiones de acceso dinámicas y según el contexto se están convirtiendo en la corriente principal.
Casos de uso reales
«Al diseñar las políticas de IAM para un proyecto de migración a la nube, otorgamos al equipo de desarrollo acceso completo al entorno de pruebas (staging) y permisos de solo lectura para el entorno de producción, y restringimos el despliegue a producción para que solo se realizara a través de la canalización de CI/CD. Este diseño ha reducido considerablemente el riesgo de incidentes en producción causados por errores humanos.»
Comparación de modelos de control de acceso
| Modelo | Método de control | Flexibilidad | Uso principal |
|---|---|---|---|
| DAC (discrecional) | Definido por el propietario | Alta | Sistemas de archivos |
| MAC (obligatorio) | Basado en etiquetas | Baja | Organismos militares y gubernamentales |
| RBAC (rol) | Vinculado a roles | Media | Sistemas de TI empresariales |
| ABAC (atributo) | Combinación de atributos | Máxima | Nube y zero trust |
Principales modelos de control de acceso
DAC (control de acceso discrecional) es un modelo en el que el propietario del recurso establece los permisos, siendo los permisos de lectura y escritura del sistema de archivos un ejemplo típico. MAC (control de acceso obligatorio) es un modelo en el que el sistema controla el acceso basándose en etiquetas de seguridad, y lo adoptan los organismos militares y gubernamentales. RBAC (control de acceso basado en roles) es un modelo que vincula los permisos al rol de un usuario, y es el más utilizado en los sistemas de TI empresariales. ABAC (control de acceso basado en atributos) es el modelo más reciente, que toma decisiones de forma dinámica combinando atributos como la hora del día, la ubicación y el dispositivo.libros sobre el diseño de control de acceso (Amazon) te permiten aprender de forma sistemática.
Escenarios de diseño en la práctica
Por ejemplo, en un sitio de comercio electrónico, un diseño básico de RBAC consiste en que los usuarios generales solo pueden ver su propio historial de pedidos, el soporte al cliente solo puede consultar la información de los clientes, y los administradores pueden leer y escribir todos los datos. Siguiendo el principio de mínimo privilegio, se otorga a cada rol solo los permisos mínimos necesarios. En los entornos en la nube, las políticas de IAM (Identity and Access Management) permiten un control detallado, lo que permite aplicar reglas como «los desarrolladores no pueden escribir en la base de datos de producción». Las filtraciones de datos causadas por una configuración incorrecta del control de acceso en el almacenamiento en la nube ocurren con frecuencia, por lo que las revisiones periódicas de permisos son imprescindibles.
Claves operativas
El control de acceso no es algo que «se configura y se olvida»; la auditoría periódica es importante. No eliminar las cuentas de los empleados que se van y dejar permisos innecesarios tras un traslado puede convertirse en un punto de apoyo para los ataques de escalada de privilegios. Combina una contraseña aleatoria suficientemente larga con la autenticación multifactor para reforzar la autenticación.libros sobre la gestión de permisos en la nube (Amazon) también son referencias útiles.
¿Te resultó útil este artículo?