El control de acceso es un conjunto de reglas diseñadas para determinar a quién se le concede acceso a un lugar restringido o a una información restringida.
Después de leer este artículo podrás:
Contenido relacionado
¿Seguridad de aplicaciones web?
Ataque de desbordamiento de búfer
Ataque de KRACK
Ataques en ruta
Ataque de phishing
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El control de acceso es un término de seguridad que se utiliza para hacer referencia a un conjunto de políticas utilizadas para restringir el acceso a la información, a las herramientas y a los lugares físicos.
Aunque este artículo se centra en el control de acceso a la información, el control de acceso físico es una comparación útil para entender el concepto general.
El control de acceso físico es un conjunto de políticas para controlar a quién se le concede acceso a un lugar físico. Hay varios ejemplos de control de acceso físico en el mundo real, como los siguientes:
En todos estos ejemplos, una persona o dispositivo sigue un conjunto de políticas para decidir quién tiene acceso a un lugar físico restringido. Por ejemplo, el escáner de la tarjeta de acceso de un hotel solo permite el acceso a los huéspedes autorizados que cuentan con una llave del hotel.
El control de acceso a la información restringe el acceso a los datos y al software utilizado para manipularlos. Algunos ejemplos son los siguientes:
En todos estos casos, el software se utiliza para autenticar y conceder autorización a los usuarios que necesitan acceder a la información digital. Autenticación y autorización son componentes integrales del control de acceso a la información.
La autenticación es la práctica de seguridad que consiste en confirmar que alguien es quien dice ser, mientras que la autorización es el proceso de determinar el nivel de acceso que se concede a cada usuario.
Por ejemplo, pensemos en un viajero que se registra en un hotel. Cuando se registra en la recepción, se le pide el pasaporte para verificar que es la persona cuyo nombre figura en la reserva. Este es un ejemplo de autentificación.
Una vez que el empleado del hotel ha autentificado al huésped, este recibe una tarjeta de acceso con privilegios limitados. Este es un ejemplo de autorización. La tarjeta de acceso del huésped le permite acceder a su habitación, al ascensor de huéspedes y a la piscina, pero no a las habitaciones de otros huéspedes ni al ascensor de servicio. En cambio, los empleados del hotel están autorizados a acceder a más zonas del hotel que los huéspedes.
Los sistemas informáticos y de redes tienen controles de autenticación y autorización similares. Cuando un usuario inicia sesión en su correo electrónico o en su cuenta bancaria en línea, utiliza una combinación de nombre de usuario y contraseña que solo él debe conocer. El software utiliza esta información para autenticar al usuario. Algunas aplicaciones tienen requisitos de autorización mucho más estrictos que otras; mientras que una contraseña es suficiente para algunas, otras pueden requerir una autenticación de dos factores o una confirmación biométrica, como la huella dactilar o el escaneado facial.
Una vez autentificado, un usuario solo puede ver la información a la que tiene autorización para acceder. En el caso de una cuenta bancaria en línea, el usuario solo puede ver la información relacionada con su cuenta bancaria personal. Mientras tanto, un gestor de fondos del banco puede conectarse a la misma aplicación y ver los datos sobre las participaciones financieras globales del banco. Ya que el banco maneja información personal de carácter confidencial, es muy posible que nadie tenga acceso ilimitado a los datos. Incluso el director del banco o el jefe de seguridad pueden tener que pasar por un protocolo de seguridad para acceder a los datos completos de los clientes individuales.
Una vez se ha completado el proceso de autenticación, la autorización del usuario puede determinarse de varias maneras:
Control de acceso obligatorio (MAC): el control de acceso obligatorio establece políticas de seguridad estrictas para los usuarios individuales y los recursos, sistemas o datos a los que pueden acceder. Un administrador controla estas políticas; a los usuarios individuales no se les da la autoridad para establecer, alterar o revocar los permisos de una manera que contradiga las políticas existentes.
En este sistema, tanto el sujeto (usuario) como el objeto (datos, sistema u otro recurso) deben tener asignados atributos de seguridad similares para poder interactuar entre sí. Volvamos al ejemplo anterior: el director del banco no solo necesitaría la autorización de seguridad correcta para acceder a los archivos de datos de los clientes, sino que el administrador del sistema tendría que especificar que el director puede ver y modificar esos archivos. Aunque este proceso pueda parecer redundante, garantiza que los usuarios no puedan realizar acciones no autorizadas por el simple hecho de acceder a determinados datos o recursos.
Control de acceso basado en roles (RBAC): El control de acceso basado en roles establece permisos basados en grupos (conjuntos definidos de usuarios, como los empleados del banco) y roles (conjuntos definidos de acciones, como las que puede realizar un cajero del banco o un director de sucursal). Los individuos pueden realizar cualquier acción asignada a su función, y se les pueden asignar varias funciones según sea necesario. Al igual que en el MAC, los usuarios no pueden cambiar el nivel de control de acceso que se ha asignado a su rol.
Por ejemplo, cualquier empleado del banco al que se le asigne el rol de cajero puede tener autorización para procesar transacciones de cuentas y abrir nuevas cuentas a clientes. Por otro lado, un director de sucursal podría tener varios roles, que le autorizan para procesar transacciones de cuentas, abrir cuentas de clientes, asignar el rol de cajero a un nuevo empleado, etc.
Control de acceso discrecional (DAC): una vez que a un usuario se le ha concedido permiso para acceder a un objeto (normalmente por parte de un administrador del sistema o a través de una lista de control de acceso existente), puede conceder acceso a otros usuarios según sus necesidades. Sin embargo, esto puede introducir vulnerabilidades de seguridad, ya que los usuarios son capaces de determinar la configuración de seguridad y compartir los permisos sin la estricta supervisión del administrador del sistema.
Al evaluar qué método de autorización de usuarios es el más adecuado para una organización, hay que tener en cuenta las necesidades de seguridad. Normalmente, las organizaciones que requieren un alto nivel de confidencialidad de datos (por ejemplo, organizaciones gubernamentales, bancos, etc.) optarán por formas más estrictas de control de acceso, como MAC, mientras que las que favorecen una mayor flexibilidad y permisos basados en el usuario o el rol, tenderán hacia los sistemas RBAC y DAC.
Una herramienta popular para el control del acceso a la información es una red privada virtual (VPN). Una VPN es un servicio que permite que los usuarios en remoto puedan acceder a Internet como si estuvieran conectados a una red privada. Las redes corporativas suelen utilizar las VPN para gestionar el control de acceso a su red interna desde una distancia geográfica.
Por ejemplo, si una empresa tiene una oficina en San Francisco y otra en Nueva York, así como empleados en remoto repartidos por todo el mundo, puede utilizar una VPN para que todos sus empleados puedan conectarse de forma segura a su red interna, independientemente de donde se encuentren. La conexión a la VPN también ayudará a proteger a los empleados contra los ataques en ruta si están conectados a una red WiFi pública.
Las VPN también tienen algunos inconvenientes. Por ejemplo, las VPN afectan de forma negativa al rendimiento. Cuando se conecta a una VPN, cada paquete de datos que un usuario envía o recibe tiene que recorrer una distancia extra antes de llegar a su destino, ya que cada solicitud y respuesta tiene que llegar al servidor de la VPN antes de alcanzar su destino. Este proceso suele aumentar la latencia.
Las VPN suelen ofrecer un enfoque de "todo o nada" a la seguridad de la red. Las VPN son estupendas para proporcionar autenticación, pero no lo son para ofrecer controles de autorización granulares. Si una organización quiere conceder diferentes niveles de acceso a diferentes empleados, tiene que utilizar varias VPN. Esto genera mucha complejidad, y sigue sin satisfacer los requisitos de la seguridad zero trust.
La seguridad Zero Trust es un modelo de seguridad informática que requiere una estricta verificación de la identidad para cada persona y dispositivo que intente acceder a los recursos de una red privada, independientemente de que se encuentre dentro o fuera del perímetro de la red. Las redes Zero Trust también utilizan la microsegmentación. La microsegmentación es la práctica de dividir los perímetros de seguridad en pequeñas zonas para mantener un acceso separado para las diferentes partes de la red.
En la actualidad, muchas organizaciones están sustituyendo las VPN por soluciones de seguridad Zero Trust como Cloudflare Zero Trust. Una solución de seguridad zero trust puede utilizarse para gestionar el control de acceso tanto de los empleados que están en la oficina como de los que están en remoto, a la vez que evita los principales inconvenientes del uso de una VPN.