Los controles de acceso son las políticas, herramientas y procesos que rigen el acceso de los usuarios a datos confidenciales, sistemas informáticos, ubicaciones y otros recursos.
Los controles de acceso físico, como verjas y puertas con llave, regulan el acceso a las instalaciones. Los controles de acceso lógico (como los sistemas de detección y prevención de intrusiones) controlan el acceso a los sistemas informáticos. Este artículo trata principalmente de los controles de acceso lógicos.
En términos de gestión de accesos, las entidades que necesitan acceso se conocen como "sujetos". Estos sujetos incluyen tanto usuarios humanos como identidades no humanas, como bots, aplicaciones, cargas de trabajo automatizadas y agentes de IA.
De hecho, a medida que esta última categoría crece de forma exponencial, impulsada por la proliferación de infraestructuras en la nube, el auge del DevOps y la adopción de herramientas avanzadas de inteligencia artificial, los usuarios no humanos se están convirtiendo en un foco clave del control de acceso.
Los elementos a los que deben acceder los usuarios, como las interfaces de programación de aplicaciones (API), las configuraciones del sistema operativo o la información confidencial almacenada en una base de datos en la nube, se denominan "objetos".
Implantar controles de acceso en una red empresarial suele consistir en crear y aplicar políticas de control de acceso, que definen los derechos de acceso de cada sujeto dentro de un sistema. Las políticas de control de acceso dictan si un sujeto puede acceder a un objeto (como un documento) y sus permisos con respecto a ese objeto (en el caso de un documento: solo lectura, lectura y escritura, control administrativo total).
Los controles de acceso son la piedra angular de la seguridad de la identidad. Por ejemplo, las arquitecturas de red de zero trust se basan en controles de acceso sólidos para evitar el acceso no autorizado y, al mismo tiempo, agilizar el acceso de los usuarios autorizados. En las redes nativas de la nube, donde la identidad es el nuevo perímetro, los controles de acceso son vitales para los esfuerzos de ciberseguridad en general.
Al mismo tiempo, los controles de acceso son un punto débil para muchos sistemas. Los controles de acceso rotos son el número 1 en la lista OWASP Top 10 de los riesgos de seguridad de aplicaciones web más críticos. Y según el X-Force Threat Intelligence Index, los ataques basados en la identidad (en los que los actores de amenazas secuestran cuentas de usuario válidas para abusar de sus privilegios de acceso) representan casi un tercio de las infracciones.
Así que, si bien la gestión del acceso desempeña un papel clave en las posiciones de seguridad de la organización, los datos disponibles sugieren que hay margen de mejora.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Los controles de acceso suelen basarse en políticas. Los administradores del sistema, en colaboración con otros stakeholders, cuando procede, redactan políticas de control de acceso que detallan los permisos de los sujetos. Los sistemas de control de acceso, como las plataformas de gestión de identidades y accesos (IAM) y de gestión de accesos privilegiados (PAM), aplican automáticamente estas políticas de seguridad.
Los sistemas de control de acceso utilizan un proceso de dos pasos de autenticación y autorización para ayudar a garantizar que solo los sujetos verificados pueden acceder a los objetos, y que esos sujetos solo pueden actuar de formas aprobadas.
Las políticas de acceso dictan los objetos a los que puede acceder un sujeto: los buckets de S3 que puede ver un desarrollador, las API a las que puede llamar una aplicación, los conjuntos de datos que puede consumir un modelo de lenguaje de gran tamaño (LLM). También, lo que es más importante, dictan lo que los usuarios individuales pueden hacer con un objeto. ¿Puede el LLM escribir en el conjunto de datos? ¿Puede el desarrollador cambiar la configuración de un bucket de S3? Las políticas de acceso determinan las respuestas a estas preguntas.
Aunque las políticas varían inevitablemente de un sistema a otro (y de un recurso a otro) la mayoría de las organizaciones siguen un modelo de control de acceso establecido, como el control de acceso basado en roles (RBAC) o el control de acceso basado en atributos (ABAC). (Para obtener más información, consulte “Tipos de control de acceso”).
Independientemente del modelo, las políticas de acceso de muchas organizaciones siguen el principio del menor privilegio: la idea de que los usuarios deben tener solo el nivel más bajo de permisos necesario para realizar su trabajo, y los permisos deben revocarse cuando se haya terminado una tarea.
Las políticas de acceso se pueden "almacenar" en un sistema de varias maneras.
Cuando un sujeto quiere acceder a recursos protegidos por un sistema de control de acceso, primero verifica su identidad mediante un proceso de autenticación.
Para los usuarios humanos, la autenticación normalmente implica presentar un conjunto de credenciales, como una combinación de nombre de usuario y contraseña. Sin embargo, las contraseñas se consideran algunas de las credenciales más débiles porque los actores de amenazas pueden adivinarlas o robarlas fácilmente.
La mayoría de los sistemas actuales se basan en medidas más sustanciales, como la biometría y la autenticación multifactor (MFA).. La MFA requiere dos o más pruebas para demostrar la identidad del usuario (como un escaneo de huellas dactilares y una contraseña de un solo uso generada por una aplicación de autenticación).
Los dispositivos, las cargas de trabajo, los agentes de IA y otras identidades no humanas suelen utilizar credenciales como certificados y claves de cifrado para verificarse. Si bien los sujetos no humanos no pueden utilizar la MFA, las soluciones de gestión de secretos pueden ayudar a proteger sus credenciales mediante el almacenamiento en bóveda, la rotación automática y otras medidas.
La autorización es el proceso de conceder a un sujeto verificado el nivel de acceso adecuado.
La forma en que se produce la autorización depende del sistema de control de acceso existente.
Por ejemplo, si un sistema utiliza una ACL, comprueba la lista y asigna al sujeto los permisos que allí se encuentran.
Si el sistema utiliza un motor de políticas, este concederá los privilegios al usuario basándose en el contexto de la solicitud de acceso.
En un sistema que utiliza el protocolo OAuth (un marco de autorización de estándar abierto que da a las aplicaciones un acceso seguro a los recursos protegidos del usuario final), la autorización se concede mediante token.
Aunque cada objeto individual de una red puede tener su propio sistema de control de acceso, en general no se considera una buena práctica. Las lagunas y discrepancias entre estos sistemas pueden crear vulnerabilidades que los atacantes pueden explotar e impedir que los usuarios autorizados realicen su trabajo.
En cambio, organizaciones como el Instituto Nacional de Estándares y Tecnología (NIST) y la OWASP recomiendan implementar un sistema de control de acceso centralizado, a menudo como parte de un identity fabric holístico.
Estos sistemas centralizados se basan en tecnologías y herramientas como:
Las soluciones IAM pueden agilizar y automatizar las tareas clave de control de acceso. Las capacidades pueden variar, pero las características comunes de IAM incluyen servicios de directorio, flujos de trabajo de autenticación y autorización, gestión de credenciales y gobierno de identidades.
Las herramientas PAM facilitan el acceso seguro a las cuentas de usuarios con privilegios elevados, como los administradores del sistema. Las herramientas PAM emplean características como bóvedas de credenciales y protocolos de acceso justo a tiempo para proteger estas cuentas privilegiadas de usos accidentales indebidos, amenazas internas maliciosas y actores externos de amenazas.
El inicio de sesión único (SSO) es un esquema de autenticación que permite a los usuarios iniciar sesión una vez utilizando un único conjunto de credenciales y acceder a varias aplicaciones durante la misma sesión. El inicio de sesión único simplifica la autenticación de los usuarios, mejora su experiencia y, cuando se aplica correctamente, refuerza la seguridad.
Algunas organizaciones exigen que los usuarios se conecten a una VPN corporativa para acceder a los datos, el software y otros recursos de la empresa. En este caso, la VPN actúa como control de acceso: los usuarios solo pueden acceder a los objetos de la empresa a través de esta red específica, no de la Internet pública.
Un ZTNA es, en cierto sentido, la versión zero trust de una VPN. Proporciona acceso remoto a aplicaciones y servicios, pero conecta a los usuarios solo a los recursos a los que tienen permiso para acceder, en lugar de conectarlos a toda la red.
Al igual que en otros ámbitos, las organizaciones están incorporando herramientas de IA generativa y agéntica a sus controles de acceso.
Por ejemplo, los chatbots de IA generativa se pueden utilizar para simplificar los procesos de gestión de identidades, como el aprovisionamiento. Al entrenar a un chatbot LLM en políticas de control de acceso organizacional y conectarlo con documentación y recursos adecuados, una organización puede crear una herramienta IAM segura y de autoservicio. Cuando los nuevos usuarios necesitan acceder a un sistema o los usuarios existentes necesitan actualizar sus permisos, pueden realizar la solicitud a través del chatbot.
Supongamos que una organización necesita crear y aplicar controles de acceso para una base de datos confidencial que contiene datos de clientes.
En primer lugar, el administrador del sistema y otras partes interesadas determinarían qué sujetos (personas, aplicaciones, agentes de IA) deberían tener acceso a la base de datos. Quizás decidan que cualquier persona que desempeñe una función de ventas o marketing debería poder acceder a los datos, al igual que el software de gestión de relaciones con los clientes (CRM) y marketing. Cualquier agente de IA propiedad de usuarios humanos autorizados también puede obtener acceso.
A continuación, las partes interesadas determinan qué acciones puede realizar cada usuario autorizado dentro de la base de datos. Tal vez los representantes de ventas necesiten acceso de lectura y escritura porque construyen y mantienen relaciones con estos clientes a lo largo del tiempo. Mientras tanto, las funciones de marketing solo pueden leer la base de datos porque se limitan a utilizar los datos demográficos de los clientes para informar las campañas. Tal vez todos los agentes de IA, independientemente del propietario, tengan acceso de solo lectura para garantizar que una persona esté siempre al tanto de la actualización de la base de datos.
Para hacer cumplir esta política de acceso, la organización utiliza un motor de políticas centralizado, con una lógica de control de acceso detallada. Además de la identidad del usuario, el motor tiene en cuenta factores contextuales a la hora de determinar si concede o no una solicitud de acceso.
Por ejemplo, supongamos que un representante de ventas quiere acceder a la base de datos para actualizar la dirección de correo electrónico de un cliente. En primer lugar, el representante de ventas demuestra su identidad proporcionando los factores de autenticación correctos. A continuación, su solicitud es evaluada por el motor de políticas, que considera:
En función de estos factores, se concede la solicitud de acceso del representante de ventas.
Las organizaciones pueden implantar diferentes tipos de modelos de control de acceso en función de sus necesidades. Los tipos más comunes incluyen:
Los sistemas de control de acceso discrecional (DAC) permiten a los propietarios de los recursos establecer reglas de acceso para esos recursos. Los propietarios de objetos pueden incluso pasar privilegios de nivel administrativo a otros usuarios en el modelo DAC. Si el propietario de un objeto concede privilegios de administrador a otro usuario, ese usuario también puede establecer reglas de acceso para el objeto.
Los sistemas de control de acceso obligatorio (MAC) aplican políticas de control de acceso definidas de forma centralizada a todos los usuarios.
A menudo operan a través de niveles de autorización, como en el gobierno o el ejército. Cada sujeto tiene un nivel de autorización, y cada objeto tiene su correspondiente grado de autorización o nivel de clasificación. Los sujetos pueden acceder a cualquier objeto igual o inferior a su nivel de autorización.
Aunque todos los controles de acceso son obligatorios en el sentido de que todos los sujetos deben cumplirlos, el "obligatorio" en MAC se refiere al hecho de que los usuarios individuales no pueden alterar ni asignar permisos. MAC contrasta con el modelo DAC discrecional, en el que los propietarios de objetos tienen control sobre las reglas de acceso de sus objetos.
En el control de acceso basado en roles (RBAC), los privilegios de los usuarios se basan en sus funciones dentro de la organización.
Los roles en un sistema RBAC no son lo mismo que los títulos de trabajo, aunque pueden corresponder uno a uno en algunas implementaciones. Pero en este contexto, "función" se refiere a lo que hace una persona en la organización y a los permisos que necesita para hacer esas cosas. Los roles de RBAC se basan en varios criterios, incluidos los títulos de trabajo, los niveles de habilidad, las responsabilidades y más.
Por ejemplo, supongamos que los administradores del sistema están configurando permisos para un firewall de red. Un representante de ventas no tendría ningún acceso. Un analista de seguridad de nivel junior podría ver las configuraciones de firewall pero no cambiarlas, mientras que un analista de nivel sénior podría tener acceso administrativo. Una API para un sistema integrado de gestión de información y eventos de seguridad (SIEM) podría ser capaz de leer los registros de actividad del firewall.
RBAC es uno de los dos modelos de control de acceso recomendados por OWASP.
El segundo modelo de control de acceso recomendado por OWASP, el control de acceso basado en atributos (ABAC), utiliza un motor de políticas para analizar los atributos de cada solicitud de acceso en tiempo real. Solo se conceden las solicitudes que cumplen los criterios adecuados.
En términos generales, los “atributos” son las características de los sujetos, objetos y acciones involucrados en una solicitud. Los atributos pueden incluir datos como el nombre y la función del usuario, el tipo de recurso, el nivel de riesgo de la acción solicitada y la hora del día de la solicitud.
Por ejemplo, en un sistema ABAC, los usuarios pueden acceder a datos confidenciales solo durante las horas de trabajo y solo si tienen un cierto nivel de antigüedad.
La diferencia entre RBAC y ABAC es que ABAC determina dinámicamente los permisos de acceso en el momento de cada solicitud basándose en múltiples factores contextuales. RBAC, en cambio, concede permisos estrictamente según roles de usuario predefinidos.
El control de acceso basado en reglas (RuBAC) es un sistema en el que el acceso se basa en reglas condicionales y contextuales. Por ejemplo: si una solicitud procede del sujeto X a la hora Y, está permitida.
El término “control de acceso basado en reglas” es impreciso y algo obsoleto. A menudo, se utiliza como sinónimo de ABAC, o como designación de formas anteriores y menos sofisticadas de ABAC. A veces, se utiliza para denotar sistemas RBAC que ejecutan solicitudes de acceso a través de una capa adicional de lógica (rol + reglas).
Los controles de acceso son la base de la seguridad empresarial en más de un sentido. OWASP los clasifica como el mayor riesgo cuando no funcionan y el principal control proactivo cuando trabajan.
Unos controles de acceso eficaces pueden ayudar a proteger los activos de la organización, liberar todo el valor de los datos empresariales y asegurar y potenciar las tecnologías emergentes de agentes de IA. Los controles de acceso defectuosos pueden socavar todos estos esfuerzos y dejar las puertas abiertas de par en par a los hackers.
Los controles de acceso son la base de la propia ciberseguridad, porque la identidad es el centro de las iniciativas de seguridad actuales.
La red corporativa media alberga un número creciente de usuarios humanos y no humanos, distribuidos en distintas ubicaciones, que necesitan acceso seguro tanto a aplicaciones como a recursos basados en la nube y en local.
Las medidas de seguridad basadas en el perímetro son ineficaces en estos entornos. En su lugar, las organizaciones centran sus controles de seguridad en usuarios y recursos individuales, o en términos de gestión de acceso, sujetos y objetos.
Por ejemplo, considere el enfoque zero trust para la seguridad de la red. En lugar de autenticar a un usuario una vez, el zero trust autentica cada solicitud de acceso de cada usuario. En otras palabras: cada solicitud pasa por el plano de control de acceso.
Considere también cómo los controles de acceso apoyan la tríada de seguridad de la información de la CIA:
Los controles de acceso también pueden ayudar a las organizaciones a obtener más valor de los datos de propiedad, manteniendo al mismo tiempo la seguridad de los datos.
Según el estudio CDO 2025 del IBM Institute for Business Value, el 78 % de los CDO afirman que aprovechar los datos propietarios es un objetivo empresarial estratégico para diferenciar su organización. Además, el 82 % de los CDO creen que los datos "se desperdician" si los empleados no pueden utilizarlos fácilmente para tomar decisiones basadas en datos.
Y el acceso a datos seguro se hace aún más importante a medida que los agentes de IA se unen al personal digital. Los agentes necesitan los datos de la empresa para funcionar con eficiencia y eficacia.
Unos controles de acceso eficaces ayudan tanto a los usuarios humanos como a los agentes de IA a acceder de forma segura a los datos de la empresa para usos aprobados. Según el estudio de CDO, los CDO de las organizaciones que ofrecen un mayor ROI en las inversiones en IA y datos suelen utilizar medidas de seguridad, como el RBAC, para regular el acceso de los usuarios a los datos empresariales.
En un episodio del pódcast de Security Intelligence de IBM , Dave McGinnis, socio global del grupo de gestión de ciberamenazas de IBM, calificó a los agentes de IA como "las amenazas internas más útiles". McGinnis se refería a la capacidad de los agentes para obtener tanto ventajas increíbles como daños increíbles.
Para realizar un trabajo significativo, los agentes necesitan un acceso altamente privilegiado a los sistemas y datos de la empresa. Pero los agentes tampoco son deterministas y, sin las barreras de seguridad adecuadas, pueden utilizar su acceso de formas nuevas y no totalmente sancionadas.
Como explicó Seth Glasgow, asesor ejecutivo de rango cibernético de IBM, en Security Intelligence, el uso juicioso de los controles de acceso es clave para habilitar los agentes de IA y, al mismo tiempo, mitigar los riesgos de abuso de privilegios:
La implementación estándar de [un agente de IA] es que puede verlo todo, ¿verdad? Es un agente que los gobierna a todos, a falta de un término mejor... pero justo ahí, he creado un activo de altísimo valor. Esa aplicación está configurada para acceder a un montón de datos confidenciales.
Así que lo primero que tenemos que hacer desde la perspectiva de la IAM es empezar a segmentar esto. No necesitamos un solo agente que pueda hacer todo eso. Tiene que alinearse mejor con el caso de uso específico y debe tener permisos que se alineen directamente con lo que ese agente debería estar haciendo.
Tres factores principales contribuyen a la ruptura de los controles de acceso: el exceso de privilegios, la falta de centralización y los defectos de diseño.
Es común que las organizaciones concedan a los sujetos niveles de permiso más altos de los que estrictamente necesitan para asegurarse de que no se topan con ningún obstáculo cuando intentan trabajar. El exceso de privilegios es especialmente común con las identidades no humanas utilizadas para automatizar los flujos de trabajo, ya que las organizaciones suelen necesitar que requieran la menor intervención posible.
Los controles de acceso eficaces, como RBAC y ABAC, pueden ayudar a armonizar la experiencia del usuario, las operaciones empresariales y las necesidades de seguridad. En lugar de otorgar privilegios excesivos, las organizaciones adaptan el acceso a los niveles exactos que necesita cada sujeto, ni más ni menos.
En sistemas que carecen de controles de acceso centralizados, diferentes objetos pueden tener distintos sistemas de control. Las lagunas entre estos sistemas pueden impedir que los sujetos accedan a los recursos que necesitan, y basta un sistema débil para poner en peligro toda la red.
Al implementar un identity fabric holístico y utilizar herramientas de orquestación de identidades para integrar sistemas dispares, las organizaciones pueden cerrar las brechas de seguridad y agilizar el acceso de los usuarios autorizados.
Por último, como señala OWASP, las aplicaciones suelen tener fallos de diseño en sus sistemas de control de acceso. Estos fallos pueden incluir problemas como la posibilidad de eludir controles modificando la URL de una página, controles de API ausentes y tokens web JSON no seguros que son vulnerables a manipulaciones.
La formación de los desarrolladores, los requisitos de control de acceso más estrictos y las prácticas de DevSecOps pueden ayudar a las organizaciones a incorporar la seguridad de identidad directamente en las aplicaciones.