Los controles de acceso son las políticas, herramientas y procesos que regulan el acceso de los usuarios a datos confidenciales, sistemas informáticos, ubicaciones y otros recursos.
Los controles de acceso físico, como puertas cerradas con llave, controlan el acceso a ubicaciones físicas. Los controles de acceso lógico, como los sistemas de detección y prevención de intrusiones, controlan el acceso a los sistemas informáticos. Este artículo trata principalmente de los controles de acceso lógico.
En términos de gestión de acceso, las entidades que necesitan acceso se conocen como “sujetos”. Estos sujetos incluyen tanto a usuarios humanos como a entidades no humanas, tales como bots, aplicaciones, cargas de trabajo automatizadas y agentes de IA.
De hecho, a medida que esta última categoría crece de manera exponencial (impulsada por la proliferación de la infraestructura en la nube, el auge de DevOps y la adopción de herramientas avanzadas de inteligencia artificial), los usuarios no humanos se están convirtiendo en un aspecto clave del control de acceso.
Los elementos a los que deben acceder los sujetos—interfaces de programación de aplicaciones (API), configuraciones del sistema operativo, información confidencial en una base de datos en la nube se denominan “objetos”.
La implementación de controles de acceso en una red empresarial suele consistir en crear y aplicar políticas de control de acceso, que definen los derechos de acceso de cada usuario dentro de un sistema. Las políticas de control de acceso determinan si un usuario puede acceder a un objeto (como un documento) y cuáles son sus permisos con respecto a ese objeto (en el caso de un documento: solo lectura, lectura y escritura, control administrativo total).
Los controles de acceso son una piedra angular de la seguridad de la identidad. Por ejemplo, las arquitecturas de red de confianza cero dependen de sólidos controles de acceso para evitar el acceso no autorizado mientras optimizan el acceso para los usuarios autorizados. En las redes nativas de la nube, donde la identidad es el nuevo perímetro, los controles de acceso son vitales para los esfuerzos de ciberseguridad de manera más amplia.
Al mismo tiempo, los controles de acceso son un punto débil para muchos sistemas. Los controles de acceso defectuosos ocupan el primer lugar en la lista OWASP Top 10 de los riesgos de seguridad más críticos en aplicaciones web. Y según el X-Force Threat Intelligence Index de IBM, los ataques basados en la identidad, en los que los actores de amenazas secuestran cuentas de usuario válidas para abusar de sus privilegios de acceso, representan casi un tercio de las violaciones.
Por lo tanto, aunque la gestión de acceso desempeña un papel clave en las posturas de seguridad organizacional, los datos disponibles sugieren que hay margen de mejora.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Los controles de acceso suelen basarse en políticas. Los administradores de sistemas (en colaboración con otros stakeholders, cuando proceda) elaboran políticas de control de acceso en las que se detallan los permisos de los usuarios. Los sistemas de control de acceso, como las plataformas de gestión de identidad y acceso (IAM) y gestión de acceso privilegiado (PAM), aplican automáticamente estas políticas de seguridad.
Los sistemas de control de acceso utilizan un proceso de dos pasos de autenticación y autorización para garantizar que solo los sujetos verificados puedan acceder a los objetos, y que esos sujetos solo puedan actuar de manera aprobada.
Las políticas de acceso determinan a qué objetos puede acceder un sujeto: los buckets de S3 a los que puede acceder un desarrollador, las API que puede invocar una aplicación y los conjuntos de datos que puede procesar un modelo de lenguaje grande (LLM). Además, y esto es fundamental, determinan lo que cada usuario puede hacer con un objeto. ¿Puede el LLM escribir en el conjunto de datos? ¿Puede el desarrollador cambiar la configuración de un bucket de S3? Las políticas de acceso determinan las respuestas a estas preguntas.
Si bien las políticas inevitablemente varían de un sistema y de un recurso a otro, la mayoría de las organizaciones siguen un modelo de control de acceso establecido, como el control de acceso basado en roles (RBAC) o el control de acceso basado en atributos (ABAC). (Para obtener más información, consulte “Tipos de control de acceso”).
Independientemente del modelo, las políticas de acceso de muchas organizaciones se rigen por el principio del privilegio mínimo: la idea de que los usuarios solo deben tener el nivel más bajo de permisos necesario para realizar su trabajo, y que dichos permisos deben revocarse una vez finalizada la tarea.
Las políticas de acceso se pueden “almacenar” en un sistema de varias maneras.
Cuando un usuario desea acceder a un recurso protegido por un sistema de control de acceso, primero verifica su identidad mediante un proceso de autenticación.
Para los usuarios humanos, la autenticación generalmente implica presentar un conjunto de credenciales, como una combinación de nombre de usuario y contraseña. Sin embargo, las contraseñas se consideran de las credenciales más débiles porque los actores de amenazas pueden adivinarlas o robarlas fácilmente.
Hoy en día, la mayoría de los sistemas se basan en medidas más sólidas, como la biometría y la autenticación multifactor (MFA). La MFA requiere dos o más elementos de identificación para verificar la identidad de un usuario (como un escaneo de huella digital y una contraseña de un solo uso generada por una aplicación de autenticación).
Los dispositivos, las cargas de trabajo, los agentes de IA y otras identidades no humanas suelen utilizar credenciales como certificados y claves de cifrado para autenticarse. Si bien los sujetos no humanos no pueden usar MFA, las soluciones de gestión de secretos pueden ayudar a proteger sus credenciales mediante bóvedas, rotación automatizada y otras medidas.
La autorización es el proceso de conceder a un usuario verificado el nivel de acceso adecuado.
La forma en que se lleva a cabo la autorización depende del sistema de control de acceso que se utilice.
Por ejemplo, si un sistema utiliza una ACL, revisa la lista y asigna al sujeto los permisos que allí se indican.
Si el sistema utiliza un motor de políticas, este otorgará privilegios al usuario en función del contexto de la solicitud de acceso.
En un sistema que utiliza el protocolo OAuth, un entorno de autorización de estándar abierto que brinda a las aplicaciones acceso seguro a los recursos protegidos de un usuario final, la autorización se otorga a través de tokens.
Si bien cada objeto individual en una red puede tener su propio sistema de control de acceso, generalmente esto no se considera una de las mejores prácticas. Las brechas y discrepancias entre estos sistemas pueden crear vulnerabilidades que los atacantes puedan explotar, e impedir que los usuarios autorizados realicen su trabajo.
En cambio, organizaciones como el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. y OWASP recomiendan implementar un sistema de control de acceso centralizado, a menudo como parte de un tejido de identidad holístico.
Estos sistemas centralizados se basan en tecnologías y herramientas como:
Las soluciones IAM pueden optimizar y automatizar tareas clave de control de acceso. Las capacidades pueden variar, pero las características comunes de IAM incluyen servicios de directorio, flujos de trabajo de autenticación y autorización, gestión de credenciales y gobernanza de identidades.
Las herramientas PAM facilitan el acceso seguro a cuentas de usuario con privilegios elevados, como las de los administradores del sistema. Las herramientas PAM emplean características como bóvedas de credenciales y protocolos de acceso justo a tiempo para proteger estas cuentas privilegiadas contra el uso indebido accidental, las amenazas de usuarios internos maliciosos y los actores de amenazas externos.
El inicio de sesión único (SSO) es un esquema de autenticación que permite a los usuarios iniciar sesión una vez con un único conjunto de credenciales y acceder a varias aplicaciones durante la misma sesión. El inicio de sesión único simplifica la autenticación de los usuarios, mejora su experiencia y, cuando se implementa correctamente, refuerza la seguridad.
Algunas organizaciones exigen que los usuarios inicien sesión en una VPN corporativa para acceder a los datos, el software y otros recursos de la empresa. En este caso, la VPN actúa como un control de acceso: los usuarios solo pueden acceder a los recursos de la empresa a través de esta red específica, y no a través de la Internet pública.
Un ZTNA es, en cierto sentido, la versión de confianza cero de una VPN. Proporciona acceso remoto a aplicaciones y servicios, pero conecta a los usuarios solo a los recursos para los que tienen permiso de acceso, en lugar de conectarlos a toda la red.
Al igual que en otras áreas, las organizaciones están incorporando herramientas de IA generativa y de IA agéntica en sus controles de acceso.
Por ejemplo, los chatbots de IA generativa se pueden utilizar para simplificar los procesos de gestión de identidades, como el aprovisionamiento. Al entrenar un chatbot de LLM en las políticas de control de acceso de la organización y conectarlo con la documentación y los recursos adecuados, una organización puede crear una herramienta IAM segura y de autoservicio. Cuando los usuarios nuevos necesiten acceder a un sistema o los usuarios actuales necesiten actualizar sus permisos, pueden realizar la solicitud a través del chatbot.
Supongamos que una organización necesita crear y aplicar controles de acceso para una base de datos confidencial que contiene información de clientes.
En primer lugar, el administrador del sistema y otros stakeholders pertinentes determinarían qué sujetos (personas, aplicaciones, agentes de IA) deberían tener acceso a la base de datos. Tal vez decidan que cualquier persona con un puesto de ventas o marketing debería poder acceder a los datos, al igual que el software de gestión de relaciones con los clientes (CRM) y marketing. Los agentes de IA que pertenezcan a usuarios humanos autorizados también pueden obtener acceso.
A continuación, los stakeholders determinan qué acciones puede realizar cada usuario autorizado dentro de la base de datos. Quizás los representantes de ventas necesiten acceso de lectura y escritura porque establecen y mantienen relaciones con estos clientes a lo largo del tiempo. Mientras tanto, los puestos de marketing solo pueden leer la base de datos porque simplemente utilizan los datos demográficos de los clientes para fundamentar las campañas. Tal vez todos los agentes de IA, independientemente del propietario, tengan acceso de solo lectura para ayudar a garantizar que un ser humano siempre esté informado al actualizar la base de datos.
Para hacer cumplir esta política de acceso, la organización utiliza un motor de políticas centralizado, con una lógica de control de acceso detallada. Además de la identidad del usuario, el motor tiene en cuenta factores contextuales a la hora de decidir si concede una solicitud de acceso.
Por ejemplo, supongamos que un representante de ventas quiere acceder a la base de datos para actualizar la dirección de correo electrónico de un cliente. Primero, el representante de ventas demuestra su identidad al proporcionar los factores de autenticación correctos. Luego, su solicitud es evaluada por el motor de políticas, que considera:
En función de estos factores, se concede la solicitud de acceso del representante de ventas.
Las organizaciones pueden implementar diferentes tipos de modelos de control de acceso en función de sus necesidades. Los tipos comunes incluyen:
Los sistemas de control de acceso discrecional (DAC) permiten a los propietarios de los recursos establecer reglas de acceso para esos recursos. Los propietarios de objetos pueden incluso pasar privilegios de nivel administrativo a otros usuarios en el modelo DAC. Si el propietario de un objeto otorga privilegios de administrador a otro usuario, ese usuario también puede establecer reglas de acceso para el objeto.
Los sistemas de control de acceso obligatorio (MAC) aplican políticas de control de acceso definidas de forma centralizada a todos los usuarios.
A menudo operan mediante niveles de autorización, como ocurre en el gobierno o en el ejército. Cada sujeto recibe un nivel de autorización, y cada objeto tiene una calificación o nivel de clasificación correspondiente. Los sujetos pueden acceder a cualquier objeto en su nivel de autorización o por debajo de él.
Si bien todos los controles de acceso son obligatorios en el sentido de que cada sujeto debe cumplirlos, el “obligatorio” en MAC se refiere al hecho de que los usuarios individuales no pueden alterar o asignar permisos. El modelo MAC se contrapone al modelo DAC discrecional, en el que los propietarios de los objetos tienen control sobre las reglas de acceso a sus objetos.
En el control de acceso basado en roles (RBAC), los privilegios de los usuarios se basan en sus roles dentro de la organización.
Los roles en un sistema RBAC no son lo mismo que los puestos, aunque pueden corresponder uno a uno en algunas implementaciones. Pero en este contexto, “rol” se refiere a lo que una persona hace en la organización y los permisos que necesita para hacer esas cosas. Los roles de RBAC se basan en varios criterios, incluidos puestos, niveles de habilidades, responsabilidades, entre otras cosas.
Por ejemplo, supongamos que los administradores del sistema están estableciendo permisos para un cortafuegos de red. Un representante de ventas no tendría acceso en absoluto. Un analista de seguridad de nivel júnior podría ver las configuraciones del cortafuegos, pero no cambiarlas, mientras que un analista de nivel superior podría tener acceso administrativo. Una API para un sistema de gestión de eventos e información de seguridad (SIEM) integrado podría leer los registros de actividad del cortafuegos.
El RBAC es uno de los dos modelos de control de acceso recomendados por OWASP.
El segundo modelo de control de acceso recomendado por OWASP, el control de acceso basado en atributos (ABAC), utiliza un motor de políticas para analizar los atributos de cada solicitud de acceso en tiempo real. Solo se conceden las solicitudes que cumplen con los criterios adecuados.
A grandes rasgos, los “atributos” son las características de los sujetos, objetos y acciones que intervienen en una solicitud. Los atributos pueden incluir datos como el nombre y la función del usuario, el tipo de recurso, el nivel de riesgo de la acción solicitada y la hora del día en que se realizó la solicitud.
Por ejemplo, en un sistema ABAC, los usuarios pueden acceder a datos sensibles solo durante las horas de trabajo y solo si tienen un cierto nivel de antigüedad.
La diferencia entre el RBAC y ABAC es que el ABAC determina dinámicamente los permisos de acceso en el momento de cada solicitud en función de múltiples factores contextuales. El RBAC, en cambio, concede licencias estrictamente según roles de usuario predefinidos.
El control de acceso basado en reglas (RuBAC) es un sistema en el que el acceso se basa en reglas condicionales y contextuales. Por ejemplo: si se recibe una solicitud del sujeto X a la hora Y, se permite.
“Control de acceso basado en reglas” es un término impreciso y algo obsoleto. A menudo, se utiliza como sinónimo de ABAC, o como designación de formas anteriores y menos sofisticadas de ABAC. A veces, se utiliza para denotar sistemas RBAC que ejecutan solicitudes de acceso a través de una capa adicional de lógica (rol + reglas).
Los controles de acceso son fundamentales para la seguridad empresarial en más de un sentido. OWASP los enumera como el mayor riesgo cuando se dañan y como el principal control proactivo cuando funcionan.
Los controles de acceso efectivos pueden ayudar a proteger los activos de la organización, liberar todo el valor de los datos empresariales y proteger y potenciar las tecnologías emergentes de agentes de IA. Los controles de acceso defectuosos pueden socavar todos estos esfuerzos y abrir las puertas de par en par para los hackers.
Los controles de acceso son fundamentales para la propia ciberseguridad, ya que la identidad constituye hoy en día el núcleo de las medidas de seguridad.
La red corporativa promedio aloja un número creciente de usuarios humanos y no humanos, distribuidos en varias ubicaciones, que necesitan acceso seguro a aplicaciones y recursos tanto on premises como basados en la nube.
Las medidas de seguridad basadas en el perímetro resultan ineficaces en estos entornos. En cambio, las organizaciones centran sus controles de seguridad en los usuarios y recursos individuales; o, en términos de gestión de accesos, en los sujetos y los objetos.
Por ejemplo, considere el enfoque de confianza cero para la seguridad de la red. En lugar de autenticar a un usuario una sola vez, la confianza cero autentica cada una de las solicitudes de acceso de cada uno de los usuarios. En otras palabras: todas las solicitudes pasan por el plano de control de acceso.
Considere también cómo los controles de acceso respaldan la tríada CIA de seguridad de la información:
Los controles de acceso también pueden ayudar a las organizaciones a sacar mayor provecho de sus datos propios sin dejar de garantizar la seguridad de los mismos.
Según el Estudio de CDO del IBM Institute for Business Value en 2025, el 78 % de los CDO afirma que aprovechar los datos propios es un objetivo empresarial estratégico para diferenciar su organización. Además, el 82 % de los CDO cree que los datos se “van a desperdiciar” si los empleados no pueden usarlos fácilmente para tomar decisiones basadas en datos.
Y el acceso seguro a los datos se vuelve aún más importante a medida que los agentes de IA se incorporan a la fuerza laboral digital. Los agentes necesitan datos de la empresa para trabajar de manera eficiente y eficaz.
Los controles de acceso eficaces ayudan tanto a los usuarios humanos como a los agentes de IA a acceder de forma segura a los datos empresariales para usos aprobados. Según el estudio de CDO, los CDO de organizaciones que ofrecen un mayor ROI en inversiones en IA y datos suelen utilizar medidas de seguridad como el RBAC para controlar el acceso de los usuarios a los datos empresariales.
En un episodio del podcast Security Intelligence de IBM, Dave McGinnis, socio global del grupo de oferta de gestión de amenazas cibernéticas de IBM, calificó a los agentes de IA como “las amenazas internas más útiles”. McGinnis se refería a la capacidad de los agentes para producir tanto ventajas increíbles como daños increíbles.
Para hacer un trabajo significativo, los agentes necesitan acceso altamente privilegiado a los sistemas y datos de la empresa. Pero los agentes tampoco son deterministas y, sin las barreras de seguridad adecuadas, pueden usar su acceso de formas nuevas y no totalmente sancionadas.
Como explicó Seth Glasgow, asesor ejecutivo en Cyber Range de IBM, sobre Security Intelligence, el uso prudente de los controles de acceso es clave para habilitar a los agentes de IA mientras se mitigan los riesgos de abuso de privilegios:
El despliegue estándar de [un agente de IA] es que puede verlo todo, ¿verdad? Es un agente que los gobierna a todos, por decirlo de alguna manera. ... Pero justo ahí, creé un activo de altísimo valor. Esa aplicación está diseñada para acceder a una gran cantidad de datos confidenciales.
Así que lo primero que tenemos que hacer desde la perspectiva de IAM es empezar a segmentar esto. No necesitamos un solo agente que pueda hacer todo eso. Tiene que alinearse mejor con el caso de uso específico y debe tener permisos que se alineen directamente con lo que ese agente debería estar haciendo.
Hay tres factores fundamentales que contribuyen a que los controles de acceso fallen: la concesión excesiva de privilegios, la falta de centralización y los defectos de diseño.
Es común que las organizaciones otorguen a los sujetos niveles de permiso más altos de los que estrictamente necesitan para garantizar que no se encuentren con ningún obstáculo cuando intenten trabajar. El exceso de privilegios es especialmente común en identidades no humanas usadas para automatizar flujos de trabajo, ya que las organizaciones suelen requerir la menor intervención posible.
Los controles de acceso eficaces (como el RBAC y el ABAC) pueden ayudar a armonizar la experiencia del usuario, las operaciones comerciales y las necesidades de seguridad. En lugar de otorgar privilegios excesivos, las organizaciones limitan el acceso estrictamente a los niveles que cada usuario necesita: ni más, ni menos.
En los sistemas que carecen de controles de acceso centralizados, diferentes objetos pueden tener diferentes sistemas de control. Las deficiencias entre estos sistemas pueden impedir que los usuarios accedan a los recursos que necesitan, y basta con que un solo sistema sea vulnerable para poner en peligro toda la red.
Mediante la implementación de una estructura de identidad holística y el uso de herramientas de orquestación de identidad para integrar sistemas dispares, las organizaciones pueden cerrar brechas de seguridad mientras optimizan el acceso para los usuarios autorizados.
Por último, tal como señala OWASP, las aplicaciones suelen presentar fallas de diseño en sus sistemas de control de acceso. Estas fallas pueden incluir problemas como la capacidad de omitir los controles mediante la modificación de la URL de una página, la falta de controles API y tokens web JSON no seguros que son vulnerables a la manipulación.
La educación de los desarrolladores, los requisitos de control de acceso más estrictos y las prácticas de DevSecOps pueden ayudar a las organizaciones a crear seguridad de identidad directamente en las aplicaciones.