Está en la página 1de 52

Identificacin,

autenticacin y
control de acceso
Antoni Martnez-Ballest
Agust Solanas
Jordi Castell-Roca
PID_00177507

CC-BY-NC-ND PID_00177507

Los textos e imgenes publicados en esta obra estn sujetos excepto que se indique lo contrario a una licencia de
Reconocimiento-NoComercial-SinObraDerivada (BY-NC-ND) v.3.0 Espaa de Creative Commons. Podis copiarlos, distribuirlos
y transmitirlos pblicamente siempre que citis el autor y la fuente (FUOC. Fundacin para la Universitat Oberta de Catalunya),
no hagis de ellos un uso comercial y ni obra derivada. La licencia completa se puede consultar en http://creativecommons.org/
licenses/by-nc-nd/3.0/es/legalcode.es

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

Identificacin, autenticacin y control de acceso

ndice

Introduccin...............................................................................................

Objetivos.......................................................................................................

1.

Tcnicas de identificacin y autenticacin................................


1.1.

Contraseas .................................................................................

1.2.

Certificados electrnicos .............................................................

11

1.2.1.

Sistemas de clave pblica ..............................................

11

1.2.2.

Autenticidad de la clave pblica ...................................

13

1.2.3.

Legalidad de la firma electrnica ..................................

16

1.2.4.

Firmas XML ...................................................................

18

Dispositivos de usuario ...............................................................

20

1.3.1.

El DNIe ...........................................................................

22

Biometra .....................................................................................

24

Ciclo de vida de la identidad digital............................................

26

2.1.

Alta de usuarios ...........................................................................

26

2.1.1.

Confirmacin no presencial de la identidad .................

26

2.1.2.

Contraseas, cdigos y recomendaciones .....................

28

1.3.
1.4.
2.

2.2.

Procedimiento de autenticacin .................................................

29

2.2.1.

Autenticacin mediante contrasea ..............................

30

2.2.2.

Autenticacin mediante certificados electrnicos .........

32

2.2.3.

Autenticacin Single Sign On .......................................

34

Baja de usuarios ..........................................................................

35

2.3.1.

Baja de contraseas .......................................................

35

2.3.2.

Baja de certificados electrnicos ....................................

35

Control de acceso...............................................................................

37

3.1.

Fases del desarrollo de un sistema de control de acceso .............

38

3.2.

Polticas de acceso: concepto y elementos bsicos .....................

39

3.3.

Tipos de control de acceso .........................................................

41

2.3.

3.

10

3.3.1.

Control de acceso obligatorio .......................................

42

3.3.2.

Control de acceso discrecional ......................................

43

3.3.3.

Control de acceso basado en roles ................................

46

Resumen.......................................................................................................

48

Actividades..................................................................................................

49

Glosario........................................................................................................

50

CC-BY-NC-ND PID_00177507

Bibliografa.................................................................................................

Identificacin, autenticacin y control de acceso

51

CC-BY-NC-ND PID_00177507

Introduccin

La proliferacin de los sistemas informticos ha ocasionado que la identidad


de los usuarios se haya convertido en un factor clave estrechamente relacionado con la seguridad. Ya en los primeros sistemas, que slo admitan su uso
por parte de un operador, se deba controlar el acceso a la mquina y las acciones que se hacan.
El desarrollo de sistemas mainframe con mltiples terminales posibilit el trabajo multiusuario: cada usuario crea disponer de la mquina en su totalidad,
cuando en realidad los recursos estaban siendo repartidos en tiempo y espacio
entre todos los usuarios. En ese momento se hizo necesario el desarrollo de
sistemas de identificacin que en la medida de lo posible estuviesen estrechamente ligados con el sistema operativo del ordenador central. Cada usuario
deba identificarse en la propia mquina para poder hacer uso de sus recursos.
Adems, la identificacin permiti monitorizar quin usaba cada recurso y en
qu momento. Ahora bien, quin aseguraba que el usuario conectado al ordenador era realmente quien deca ser? La autenticacin es esencial para que
la identificacin tenga sentido y sea til.
La universalizacin de servicios accesibles remotamente basados en Internet
ha hecho crecer la importancia de la autenticacin de la identidad. Y an es
ms importante en cuanto Internet es una plataforma que permite realizar
acciones que implican dinero (comprar por Internet, presentar la declaracin
de la renta, etc.) o un control de la privacidad del usuario (redes sociales, documentos en la nube, etc.). En este sentido, la firma digital y las tecnologas
relacionadas juegan un papel clave en la autenticacin segura.
En este mdulo estudiaremos los distintos mtodos de identificacin y su autenticacin, desde las ya clsicas contraseas hasta los certificados digitales,
llegando hasta los dispositivos seguros de identificacin y apuntando el porvenir de la identificacin por medio de la biometra. Tambin se dar una visin de las tcnicas de control de acceso y sus metodologas de implantacin.
En el mdulo estudiaremos las tcnicas bsicas de autenticacin y control de
acceso. Sobre la autenticacin de la identidad de los usuarios, se estudiar en
qu consiste la autenticacin y se expondr una panormica de los distintos
tipos de medios que se pueden utilizar. Tambin estudiaremos conceptos relacionados con el ciclo de vida de la identidad digital, desde la creacin de
esta hasta su baja, pasando por detalles a tener en cuenta a la hora de utilizar
las herramientas. El mdulo se centra, en general, en las tecnologas usadas
para autenticacin en escenarios basados en Internet. Finalmente, se realiza

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

una panormica de los sistemas de control de acceso, estudiando las fases de


un sistema de control de acceso, las polticas de acceso y los tipos de control
de acceso.

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

Objetivos

Los objetivos que el estudiante habr alcanzado al finalizar este mdulo son:

1.

Comprender qu es la autenticacin de la identidad.

2.

Conocer tcnicas y conceptos relacionados con las contraseas.

3.

Comprender el funcionamiento del certificado electrnico.

4.

Conocer los dispositivos de usuario que se pueden utilizar en la autenticacin.

5.

Conocer las tcnicas que proporciona la biometra para la identificacin


y autenticacin.

6.

Conocer la estructura del DNI electrnico.

7.

Comprender los pasos necesarios para dar de alta usuarios de un servicio


telemtico.

8.

Comprender los mecanismos de autenticacin en un servicio telemtico.

9.

Conocer el procedimiento de la baja de usuarios de un servicio telemtico.

10. Comprender qu es el control de acceso.


11. Conocer las fases y polticas del control de acceso.
12. Comprender el funcionamiento de los principales tipos de control de acceso.

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

Identificacin, autenticacin y control de acceso

1. Tcnicas de identificacin y autenticacin

La identificacin digital forma parte indisoluble de la mayora de servicios en


Internet y las TIC. Por ejemplo, para colgar un vdeo en un servidor, se pide
que el usuario est dado de alta en el servicio y se identifique para poder llevar
a cabo la publicacin del contenido. Por otra parte, para utilizar una red social,
es preciso que el usuario est registrado. Asimismo, los contactos de esta red
tambin deben estar convenientemente identificados. Para realizar acciones
tan variadas como hacer un pago mediante tarjeta de crdito, utilizamos esta
misma tarjeta para identificarnos. O bien para hacer gestiones bancarias a travs de Internet, lo primero que haremos es especificar quin somos.
Esta identificacin digital puede ser relativamente sencilla. Basta con disponer
de un nombre de usuario, usar como identificador la direccin de correo electrnico o, en el caso de un pago, usar el nmero de tarjeta de crdito. Ahora
bien, para la mayora de servicios, adems de la identificacin digital, es necesaria una autenticacin de esta identidad.

Mediante la autenticacin de la identidad, el servicio se asegura de que


el usuario es quien dice ser.

El concepto de "quien dice ser" lo resuelve el identificador de usuario: mediante


una cadena de caracteres se denota cul es la identidad del usuario. Y para
demostrar la autenticidad de la identidad del usuario se pueden usar cuatro
aproximaciones distintas:
1) El usuario es quien dice ser si demuestra conocer algo que solamente este
conoce. Por ejemplo, conoce una palabra secreta de acceso.
2) El usuario es quien dice ser si posee algn objeto, como por ejemplo una
tarjeta magntica. Un ejemplo no relacionado con la informtica podran ser
las llaves de casa: en principio, es el propietario quien las posee.
3) El usuario es quien dice ser si posee alguna caracterstica fsica que slo l
tiene: por ejemplo, la huella dactilar.
4) El usuario es quien dice ser si es capaz de hacer algo de forma nica: por
ejemplo, el patrn de escritura o la forma de andar.

Login
Para hacer referencia al identificador de usuario se utiliza el
trmino login.

CC-BY-NC-ND PID_00177507

10

Identificacin, autenticacin y control de acceso

Pese a tratarse de cuatro formas de abordar la autenticacin de la identidad,


no existe una frontera clara entre algunas de ellas. Adems, es perfectamente
posible el uso de varias de estas tcnicas de forma combinada, para conseguir
mayores grados de seguridad.
Por ejemplo, disponer de una tarjeta con cdigos de seguridad para permitir operaciones
bancarias a travs de Internet (tarjeta de coordenadas) podra verse como una mezcla
entre los dos primeros casos: el usuario posee la tarjeta, pero podra decirse que es conocedor de una informacin, aunque en este caso la tenga escrita.

Por otra parte, todas estas formas de abordar la autenticacin no estn exentas
de problemas de seguridad. Por ejemplo, la tarjeta con cdigos podra ser robada y usada por otro usuario. Otro caso podra ser la obtencin de una clave
de acceso mediante un correo electrnico fraudulento.

La usurpacin de identidad consiste en que una entidad use con xito


el mecanismo de identificacin que identifica a otra identidad.

En este apartado se exponen las tcnicas y tecnologas para implantar la identificacin y autenticacin de usuarios.
1.1. Contraseas
La autenticacin por medio de contraseas es relativamente sencilla: el usuario A enva su identificador IDA y acto seguido su contrasea CSA. La implementacin del protocolo de identificacin puede precisar que ambas informaciones se manden en un mismo mensaje, o bien que primero se pida el nombre de usuario y despus la contrasea.
Esta contrasea es usada por el servicio para validar la identidad del usuario. Si
A es el nico conocedor de CSA, es altamente probable que el usuario sea realmente A. En la figura siguiente, el usuario utiliza su contrasea para validarse
al servicio. Este dispone de una lista de pares con usuarios y contraseas para
comprobar las identidades. Ante una contrasea correcta, el servicio manda
un mensaje de autenticacin correcta al equipo del usuario. Ntese que este
incluye una hora de caducidad de esta autenticacin, tras la cual el usuario
deber volver a autenticarse.

Ved tambin
En el apartado 2 estudiaremos
variantes en el uso de las contraseas, distintas formas de
almacenamiento y gestin, as
como algunas polticas de seguridad.

CC-BY-NC-ND PID_00177507

11

Identificacin, autenticacin y control de acceso

Esquema de funcionamiento de autenticacin mediante contrasea

La contrasea es una cadena de caracteres de longitud arbitraria. En algunos


escenarios, se usa una versin reducida de la contrasea, formada tan slo por

(1)

PIN son las siglas de personal


identification number.

unos pocos nmeros. En este caso la contrasea se conoce con el nombre de


PIN1. De todos modos, en algunos entornos se utiliza el trmino PIN cuando
en realidad la contrasea est formada tanto por letras como por nmeros.
As como un mismo servicio o sistema no permite que haya dos usuarios con el
mismo identificador, es perfectamente posible que dos o ms usuarios tengan
la misma contrasea.
1.2. Certificados electrnicos
Los sistemas de criptografadeclavepblica representan otra forma de autenticacin ante un servicio. La firma electrnica o los certificados electrnicos son dos de las utilidades que sirven a modo de autenticacin de identidad. A continuacin, revisamos algunos conceptos bsicos sobre criptografa
de clave pblica.
1.2.1. Sistemas de clave pblica
Los sistemas de criptografa de clave pblica (o asimtricos) se basan en el uso
de dos claves: la claveprivada o secreta, que slo conoce el propietario, y la
clavepblica, la cual, como su nombre indica, puede ser conocida por otras
entidades sin que esto tenga consecuencias en la seguridad del sistema. En
cambio, la clave privada debe estar perfectamente custodiada. Los matemticos, criptgrafos y organismos han propuesto sistemas y estndares de sistemas de clave pblica. Estos criptosistemas estn basados en funciones mate-

Proteccin de las claves


privadas
Las claves privadas se guardan
protegidas en el software mediante una contrasea, o bien
en un dispositivo seguro como
una tarjeta inteligente (al que
tambin se acceder a travs
de una contrasea).

mticas con trampa, que permiten realizar una operacin en un sentido fcilmente, pero su inversa no es posible computacionalmente calcularla sin una
informacin extra (trapa). Es decir, con la clave pblica se realiza una operacin que nicamente se puede invertir con la clave privada, y viceversa.
El uso de la clave pblica o la clave privada depende de la operacin a realizar:

Ved tambin
El concepto de tarjeta inteligente se estudiar en el
subapartado 1.3 de este mismo mdulo.

CC-BY-NC-ND PID_00177507

12

Para dar confidencialidad a un mensaje que A (emisor) enva a B (receptor), es decir, que ningn otro usuario pueda conocer el contenido del
mensaje, A usar la clave pblica de B (que cualquier usuario puede obtener). Cuando B reciba el mensaje, usar su correspondiente clave privada
para acceder a su contenido. Es recomendable que la clave privada est
protegida y sea necesario proporcionar una contrasea para acceder a ella.

Para dar autenticidad a un mensaje que A manda a B, lo que se conocera


como firma electrnica. A usa su clave privada para firmar el mensaje, esta
operacin solo la puede realizar el poseedor de la clave privada. Cuando
B reciba el mensaje comprobar la validez de la firma. En primer lugar deber obtener la clave pblica de A, y a continuacin realizar la operacin
inversa a la firma (verificacin).

La firma electrnica permite alcanzar tres propiedades relacionadas con la seguridad de la informacin. Mediante la firma electrnica de un mensaje (o
fichero) M mandado de A a B:
1) Se asegura que nadie ha modificado el mensaje firmado. Asegura, pues, la
integridad del mensaje. La modificacin de un nico bit de la firma o del
mensaje firmado dar lugar a una verificacin incorrecta.
2) Se asegura que el mensaje lo ha firmado A, es decir, aseguralaidentidad
del firmante (o autenticacindeorigen de M). La operacin nicamente la
puede realizar el propietario de la clave privada.
3) Ante cualquier tercera parte, al ser A el nico que conoce su clave privada,
se podr demostrar que fue A quien firm M. O dicho al revs, A nopodr
repudiar la firma electrnica realizada del mensaje. nicamente A puede realizar esta operacin (firma).
El hecho de no compartir una clave entre quien cifra y quien descifra, cosa
que ocurre en los sistemas de clave compartida (o simtricos), proporciona
estas dos ltimas caractersticas de seguridad. As pues, los sistemas de clave
compartida no garantizan completamente la identidad y el no repudio.

La firma electrnica garantiza las propiedades de integridad, identidad


y no repudio.

La criptografa de clave pblica permite un sencillo sistema de autenticacin:


el sistemareto-respuesta. El servicio obtiene la clave pblica de la identidad
que se autentica (PKID). Entonces, el servicio elige un nmero al azar, lo cifra
con PKID y manda este reto a la identidad. Si la identidad es quien dice ser,

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

13

Identificacin, autenticacin y control de acceso

debera tener acceso a la clave privada con la que descifrar el reto, con lo cual
deber poder mandar de vuelta el nmero aleatorio con que el servicio lo ha
retado.
Esquema del sistema de autenticacin reto-respuesta

Otras formas de retorespuesta


Tambin se puede realizar un
reto-respuesta mediante una
clave secreta compartida. Este
caso es habitual con el uso de
tokens, que estudiaremos ms
adelante.

El uso de la firma electrnica y en general de los sistemas de clave pblica


plantea dos grandes problemas, que trataremos a continuacin. Por una parte,
cuando se obtiene la clave pblica de una entidad (correo electrnico, servidor de Internet...), cmo se asegura que realmente corresponde a la entidad
identificada? Por otra parte y dado que cada da son ms los procesos comerciales, administrativos, fiscales, etc. que pueden realizarse telemticamente,
qu amparo legal tienen los sistemas de firma electrnica?
1.2.2. Autenticidad de la clave pblica
Asegurar que una clave pblica corresponde a una entidad se lleva a cabo mediante un certificadoelectrnico.

El objetivo de un certificado electrnico (o digital) es dar fe de la vinculacin de una clave pblica a una identidad, como un usuario o un
servicio.

La informacin bsica que contiene un certificado es:

La identidad que se certifica, por ejemplo una direccin de correo electrnico o el nmero de DNI de un ciudadano.

El perodo de validez, es la fecha a partir de la cual el certificado no ser


reconocido como vlido.

La clave pblica que se certifica, que se usar directamente para comprobar


la firma.

Ejemplos de certificado
electrnico
Cuando nos conectamos a un
sitio web seguro se obtiene un
certificado cuya misin es autenticar la identidad del servidor. Por otra parte, cuando
realizamos una firma electrnica en un documento, esta firma se acompaar, en general, de un certificado que de
fe de la validez de la clave pblica que se deber usar para
comprobar la firma.

CC-BY-NC-ND PID_00177507

14

El nombre del emisor del certificado. En general, se trata de una autoridad


decertificacin, un organismo que puede expedir certificados de clave
pblica. Esta autoridad da fe de que la clave pblica pertenece a la identidad especificada en el certificado.

Las autoridades de certificacin disponen de una plataforma telemtica


(infraestructura de clave pblica, PKI) que permite generar y gestionar
claves y certificados.

Este ltimo elemento es crucial para el funcionamiento de los sistemas de clave pblica. Hemos visto que una clave pblica est autenticada mediante un
certificado. Pues para confiar en un certificado se debe confiar en su emisor.
Esto es, si el emisor no es de confianza, el certificado se deber rechazar. Si por
el contrario el emisor es de confianza, el certificado es aceptado y, en consecuencia, se dar por buena la clave pblica que certifica.
La figura siguiente muestra las propiedades del certificado de servidor de la Sede Electrnica de la Agencia Tributaria. El objetivo es asegurar la identidad del
servidor www.agenciatributaria.gob.es. Puede observarse su periodo de validez
y quien emite el certificado (AC APE, Agencia de Certificacin Administracin
Pblica Espaola).

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

15

Certificado de la Agencia Tributaria para sus servicios web

Ahora bien, la discusin puede estar en qu significa confiar en un emisor.


Un sistema informtico de usuario (ordenador, navegador, etc.) dispone, por
defecto, de unas entidades emisoras de certificados de confianza. En este sentido, los sistemas tienen un almacn de certificados en el cual hay una coleccin de entidades de confianza. Si se recibe un certificado que ha sido emitido
por una autoridad de confianza, este se acepta sin ms (de hecho, el usuario
no es ni consciente de este hecho). La dificultad surge cuando el emisor del
certificado no est en la lista de autoridades de confianza del sistema. En este
caso, suele mostrarse un mensaje de informacin y es el usuario quien debe
decidir si aceptar al emisor del certificado recibido como una nueva autoridad
de confianza (a partir de entonces, los futuros certificados que se reciban y
hayan sido emitidos por esta autoridad ya sern aceptados como vlidos, sin
preguntar al usuario).

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

16

Identificacin, autenticacin y control de acceso

Las grandes empresas certificadoras internacionales, as como organismos certificadores dependientes de los gobiernos ya son reconocidas por la mayora
del software criptogrfico.
1.2.3. Legalidad de la firma electrnica
Para realizar aplicaciones que permitan una firma electrnica en la Unin Europea, es necesario tener en mente la legislacin pertinente, mediante la cual
saber con qu firmas se debe trabajar, qu caractersticas harn una firma legal
en un determinado momento y qu datos se deben verificar.
Los pases de la Unin Europea se rigen por la Directiva 1999/93/CE de 13 diciembre, por la que se establece un marco comunitario para la firma electrnica. Posteriormente, cada pas miembro realiza la transposicin de la Directiva
dentro de su legislacin de la forma que vea ms conveniente.
En particular, dentro de la legislacin espaola, se regula la firma electrnica
en la Ley 59/2003, de 19 de diciembre, de firma electrnica, donde define dos
tipos de firma electrnica en el ttulo I: "Disposiciones generales, artculo 3.
Firma electrnica y documentos firmados electrnicamente":
1) La firmaelectrnica es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante. Por ejemplo un PIN o una firma electrnica. Este tipo de firma no tiene efectos jurdicos totales. No es suficientemente
segura, ya que no se garantiza que haya sido creada por el supuesto firmante;
puede tratarse de una firma reproducible por un usuario malintencionado.
2) La firmaelectrnicaavanzada permite identificar al firmante y detectar
cualquier cambio ulterior de los datos firmados; est vinculada al firmante de
manera nica y a los datos a que se refiere, siendo creada por medios que el
firmante puede mantener bajo su exclusivo control. Puede ser considerada no
suficientemente segura si su algoritmo es dbil o si ha habido un compromiso
de la clave privada por lo que la firma no habr sido realizada por el firmante,
o si puede ser reproducible (es decir, se pueden realizar ataques por fuerza
bruta para crear firmas). Un tipo especfico de firma electrnica avanzada es
la reconocida.

Una firmaelectrnicareconocida es una firma electrnica avanzada


basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma. Se equipara totalmente a la firma manuscrita.

Nota
El DNI electrnico permite una
firma electrnica reconocida.

CC-BY-NC-ND PID_00177507

17

Identificacin, autenticacin y control de acceso

Cabe mencionar tambin la Decisin de la Comisin de 14 de julio del 2003,


relativa a la publicacin de los nmeros de referencia de las normas que gozan
de reconocimiento general para productos de firma electrnica.
Los diferentes tipos de firma electrnica vienen definidos, dentro de la Unin
Europea, segn la Norma ETSI TS 101 733 CMS Advanced Electronic Signatures
(CAdES), o su equivalente en XML ETSI TS 101 903 XML Advanced Electronic
Signatures (XAdES):

Firmaelectrnicabsica

Firma electrnica avanzada. Su implantacin se realiza como ASN.1/


CMS o S/MIME, o XMLDSig.

Firmaelectrnicaconselladodetiempo (timestamping). Se incorpora a


la firma la fecha en la que se realiza.

Firmaelectrnicacompleta. Incluye datos de verificacin. Equivalente a


la firma electrnica reconocida dentro de la legislacin espaola.

Los estndares ms comunes en firma electrnica son:

PKCS#7 (Public Key Cryptographic Standard). Definido en la RFC 2315.

IETF RFC 2630/ RFC 3369 (CMS, Cryptographic Message Syntax). Sintaxis
ASN.1. Basada en PKCS#7.
ETSI TS101733. CadES. Estndar europeo basado en CMS para firmas
ASN.1.

Las organizaciones encargadas de la estandarizacin de


los formatos de firma electrnica y recomendaciones son: el
European Telecommunications
Standards Institute (ETSI), que
es la encargada oficial dentro de la Unin Europea, la Internet Engineering Task Force (IETF), a nivel internacional,
y la World Wide Web Consortium (W3C), tambin a nivel
internacional.

Firmaelectrnicaextendida. Incluye datos de verificacin con sellado


de tiempo.

Organizaciones de
estandarizacin

Estndares de firma basados en XML ms comunes:

Firma XML, XML-Dsig, Dsig XML o XML-Sig. Recomendacin del


W3C que define una sintaxis XML para la firma electrnica. Basada en
PKCS#7. Se utiliza en tecnologas web como SAML. Define un formato
para transportar firmas electrnicas.

XadES: extensin de XML-Dsig definida por el ETSI TS101903.Es el


estndar europeo basado en XML-Dsig para firmas XML.

Firma de documentos
ofimticos y PDF
Los documentos PDF (portable document format) pueden
ser firmados electrnicamente,
al igual que otros formatos de
documento ofimtico. Utilizan
estructuras propias para guardar la informacin de la firma.

CC-BY-NC-ND PID_00177507

18

Identificacin, autenticacin y control de acceso

1.2.4. Firmas XML


Gracias a la facilidad que da XML para estructurar la informacin, el hecho de
ser libre de licencias y su independencia con la plataforma, repercute en que
esta tecnologa sea una de las ms extendidas para firmar documentos generados en web. El estndar de referencia es XML, advanced electronic signatures,
ms conocido por su acrnimo, XAdES, segn la Directiva Europea para Firma
Electrnica, por lo que define formatos de firma que puedan ser vlidos para
realizar transacciones.
Existen varios tipos de XAdES que implementan una XML-Dsig, segn el nivel
de proteccin ofrecido. A continuacin se definen algunos de los niveles de
proteccin de XAdES, del ms bsico al ms extenso, donde cada uno incluye
y extiende al previo:

XAdES-BES (basic electronic signatura). Define la forma bsica de una firma


electrnica. Tiene que contener el elemento SigningCertificate o ds:KeyInfo.

XAdES-EPES (explicit policy based electronic signatura). Aade informacin


sobre polticas de firma mediante la propiedad SignaturePolicyIdentifier.

XAdES-T. Aade un campo de sellado de tiempo a travs de SignatureTimeStamp o de un proveedor de tiempo de confianza.

XAdES-C. Aade referencias a datos de verificacin (certificados y listas


de revocacin) a los documentos firmados para permitir verificacin y validacin off-line.

XAdES-X. Firma extendida con sellos de tiempo a las referencias introducidas por XAdES-C para evitar que pueda verse comprometida en el futuro
una cadena de certificados, mediante las propiedades CompleteCertificateRefs y CompleteRevocationRefs.

XAdES-X-L. Firma extendida a largo plazo aadiendo los propios certificados y listas de revocacin a los documentos firmados, para permitir la
verificacin en el futuro incluso si las fuentes originales (de consulta de
certificados o de las listas de revocacin) no estuvieran ya disponibles a
travs de las propiedades CertificateValues y RevocationValues.

XAdES-A. Firma archivada que aade la posibilidad de timestamping peridico de documentos archivados por medio de las propiedades CertificateValues, RevcationValues y al menos un ArchivedTimeStamp. Esta firma
previene que la firma del documento pueda ser comprometida posteriormente a causa de la debilidad de la firma.

Ved tambin
En el subapartado 2.3.2 de este mdulo estudiaremos en
qu consisten las listas de revocacin.

CC-BY-NC-ND PID_00177507

19

Identificacin, autenticacin y control de acceso

El W3C es el encargado de realizar las recomendaciones y definir la sintaxis


XML para gestionar firmas electrnicas, permitiendo as que una firma XML
pueda firmar cualquier tipo de documento.
Existen varios tipos de firma XML, entre las que remarcamos los tres tipos ms
comunes:

Envelopingsignatures2. La firma engloba el contenido que se encuentra

(2)

En castellano, firma envolvente.

dentro de un elemento Object de la misma firma. El objeto (o su contenido) es identificado a travs de una referencia (a travs de un identificador
de fragmento URI o transformacin).

Envelopedsignatures3. La firma engloba el contenido XML que contiene

(3)

En castellano, firma envuelta.

la firma como un elemento. El contenido proporciona el elemento raz del


documento XML. Obviamente, las firmas envueltas deben tener cuidado
de no incluir su propio valor en el clculo de la SignatureValue.

Detachedsignatures4. Puede ser de dos formas: o bien la firma es sobre un


documento externo, o bien la firma es sobre parte del documento.
Estructura bsica del elemento <Signature>
<Signature ID?>
<SignedInfo>
<CanonicalizationMethod />
<SignatureMethod />
(<Reference URI? >
<Transforms>)?
<DigestMethod>
<DigestValue>
</Reference>)+
</SignedInfo>
<SignatureValue />
(<KeyInfo />)?
(<Object ID?>)*
</Signature>

Para la implementacin del firmado de un documento mediante XML se debe tener en cuenta que las representaciones de documentos firmados usados
por la aplicacin que realiza la firma y la que la verifica deben ser totalmente
idnticas. De hecho, es totalmente posible que dos aplicaciones distintas obtengan, cada una, un documento distinto al otro, pero ambos vlidos, debido
tal vez a la alteracin del orden de los atributos, a los posibles espacios en
blanco en las etiquetas, a los elementos vacos, etc. Para asegurar que no haya

(4)

En castellano, firma separada.

CC-BY-NC-ND PID_00177507

20

Identificacin, autenticacin y control de acceso

problema, W3C define una formacannica para cualquier documento XML,


eliminando as posibles ambigedades en la generacin de la representacin
de un documento. El elemento <SignedInfo> y el documento XML deben

pasar por este proceso. Con la canonizacin, aseguramos que el documento


se encuentra codificado en UTF-8, no existen saltos de lneas, hay todos los
atributos por defecto de cada elemento, etc.
1.3. Dispositivos de usuario
Hasta el momento, la gran mayora de servicios de Internet usan la contrasea como herramienta de autenticacin. Las redes sociales o los servicios de
correo electrnico ms populares son algunos ejemplos. Los certificados digitales son generalmente usados para autenticar servicios que requieren de un
nivel de seguridad elevado, como por ejemplo, la pgina web segura de un
servicio bancario en lnea. Sin embargo, en algunos servicios que funcionan
sobre Internet ya es habitual que la autenticacin de la identidad sea a travs
de un certificado de cliente.
En general, para usar este sistema de autenticacin, se acabar usando una
clave privada que estar albergada en el propio sistema o en un dispositivo
externo. Esta clave secreta debe estar protegida (cifrada), y slo se debe poder
usar tras introducir una contrasea o PIN. A veces, la propia contrasea introducida por el usuario se usar como clave para descifrar la clave secreta y
poder usarla.
En general, pues, los certificados y claves secretas se encuentran guardados
en un equipo de trabajo. De todos modos, en determinados mbitos, es ms
cmodo o incluso necesario el disponer de un dispositivo extrable que sea el
que proteja esta informacin.

Los token de seguridad son pequeos dispositivos cuyo objetivo es dar


soporte al proceso de autenticacin de identidad. En general se utilizan
para validar la entrada a sistemas y servicios.

Hay gran variedad de tokens. Por ejemplo, en cuanto a conexin al equipo,


los ms habituales son los que se conectan al puerto USB, aunque tambin
los hay que usan una conexin Bluetooth o simplemente no precisan de conexin al equipo. En cuanto a capacidad de memoria y proceso, depender
del sistema de soporte que permita el token. He aqu cuatro casos combinando
las anteriores alternativas:

El token guarda un valor secreto en su memoria y se comunica mediante


USB con un controlador instalado en el PC. El controlador slo permite
el acceso al contenido del token tras poner un PIN correcto. En el fondo,

Ejemplo de uso de token


Hay sistemas de autenticacin
que usan token entendiendo
estos como ficheros mediante los cuales los usuarios pueden acceder a los servicios. Un
ejemplo sera el sistema Kerberos, mediante el cual los usuarios obtienen, de forma transparente, ficheros con los que
se autenticarn ante servicios.

CC-BY-NC-ND PID_00177507

21

Identificacin, autenticacin y control de acceso

la informacin que contiene la memoria va cifrada, y es preciso que el


controlador la descifre.

El token no va conectado al ordenador pero tiene un pequeo teclado numrico mediante el cual el usuario introduce una coordenada proporcionada por el sistema de identificacin. El token muestra en una pequea
pantalla el valor secreto correspondiente a la coordenada solicitada. Este ejemplo sera anlogo a la tarjeta de coordenadas comentada anteriormente.

Un tercer caso sera un token con capacidades criptogrficas que pudiera


responder a un reto criptogrfico mandado por el sistema de identificacin, usando el mtodo reto-respuesta. En este caso, se contempla la modalidad de reto-respuesta usando una clave secreta compartida o bien usando
un sistema de cifrado de clave: la copia de la clave secreta que necesita el
cliente est almacenada en el token.

Un ltimo caso sera el de una etiqueta RFID5 que contiene un valor que
permite identificar la etiqueta. Dado que un lector de RFID interacta con

(5)

RFID es la abreviatura de radiofrequence identification, identificacin mediante radiofrecuencia.

las etiquetas a travs del espectro electromagntico y sin usar conexiones


fsicas, el hecho de que la identificacin sea segura (bsicamente est protegida contra escuchas por parte de atacantes) supone un reto importante
inherente al uso de estas etiquetas en servicios y entornos que precisen
cierta seguridad.
Seguridad de las etiquetas RFID
El reducido rango de lectura fijado en los dispositivos RFID dificulta el ataque, aunque
no lo elimina por completo. Un atacante puede acercarse a la vctima para estar dentro
del rango de lectura del RFID y a continuacin enviar esta informacin mediante una
conexin de alta velocidad al sistema informtico para autenticarse. Por este motivo, es
necesario fijar medidas de seguridad que requieran la participacin del propietario en la
autenticacin.

Sea como fuere, el token es un dispositivo independiente del ordenador y puede


llevarse siempre consigo. Esto acarrea un claro problema de seguridad en caso
de robo del token.
Otro elemento que puede considerarse token es la tarjeta inteligente. Este tipo
de tarjetas se caracterizan por llevar un circuito integrado capaz de almacenar
informacin e incluso hacer operaciones criptogrficas. El uso de estas tarjetas

Ejemplos de dispositivos token. A la izquierda,


token sin contacto; a la derecha, token USB.
Fuente: Wikipedia

CC-BY-NC-ND PID_00177507

22

se populariz gracias a su aceptacin como medio de pago (suponen un nivel


avanzado en seguridad respecto de las tarjetas bancarias con banda magntica,
puesto que para poder usarlas es necesario conocer un PIN), y tambin por
las tarjetas subscriber identity module (SIM), que tienen actualmente todos los
telfonos mviles. Adems, en multitud de organizaciones e instituciones el
uso de los certificados digitales y tarjetas inteligentes se ha convertido en algo
habitual.
Seguridad de las tarjetas inteligentes
En ingls una tarjeta inteligente se llama smart card, mientras que en francs carte puce
(tarjeta con chip). Las tarjetas inteligentes son seguras contra manipulaciones. Si un atacante intenta acceder a la informacin que contiene la tarjeta, esta se bloquea y se elimina
la informacin. Adems, incorporan mecanismos de proteccin para evitar que se pueda
obtener informacin de las claves a partir del consumo de energa o tiempo de respuesta.

Por otra parte, otro uso que ha contribuido a su generalizacin es que sea la
plataforma del documento nacional de identidad electrnico (DNIe).
1.3.1. El DNIe
El DNIe es una tarjeta inteligente capaz de guardar de forma segura informacin y de procesarla internamente. Esta propiedad permite las acciones siguientes:

Acreditar electrnicamente y de forma segura la identidad de la persona.

Firmar digitalmente documentos electrnicos, otorgndoles una validez


jurdica equivalente a la que les proporciona la firma manuscrita.

La tarjeta soporte del DNI electrnico contiene los datos de filiacin del ciudadano, los datos biomtricos (modelo dactilar, foto y firma manuscrita) y los
dos pares de claves RSA con sus respectivos certificados digitales, uno de autenticacin y otro de firma electrnica.
Para poder usar el DNIe, al igual que con otras tarjetas inteligentes, es necesario
un lector de tarjetas, por ejemplo, el que muestra en la figura siguiente.

Identificacin, autenticacin y control de acceso

Claves de un certificado
digital
El elevado uso de operaciones criptogrficas debilita la seguridad del par de claves que
componen un certificado digital. Mediante la creacin de
dos pares de claves privadas
y pblicas, se consigue reducir las posibilidades de debilitamiento de las claves. Uno
de los pares de claves se utiliza
para las operaciones de autenticacin, y el otro para las de
firma de documentos.

CC-BY-NC-ND PID_00177507

23

Imagen de un lector de tarjetas inteligentes con un DNIe introducido

Identificacin, autenticacin y control de acceso

Proteccin del DNIe


El DNIe mantiene el material
criptogrfico sensible siempre
en su interior y protegiendo su
uso gracias a un control de acceso mediante un nmero de
identificacin personal que slo el usuario conoce.

La informacin en el chip est distribuida en tres zonas con diferentes niveles


de seguridad y condiciones de acceso:

Zonapblica. La lectura de esta zona es accesible sin restricciones. Contiene, entre otros, el certificado del emisor y unas claves para cifrar el intercambio de informacin entre el chip y el dispositivo de lectura. Estas
claves estn certificadas mediante un certificado de componente.

Zonaprivada. La lectura de esta zona est permitida al ciudadano, mediante la clave personal de acceso o PIN. Contiene un certificadodeautenticacin (que tiene, como finalidad, garantizar electrnicamente la
identidad del ciudadano al realizar una transaccin telemtica) y un certificadodefirma. Este ltimo es el que se utilizar para la firma de documentos, garantizando la integridad del documento y el no repudio. Este
certificado expedido como certificado reconocido y creado en un dispositivo seguro de creacin de firma es el que convierte la firma electrnica
avanzada en firma electrnica reconocida, permitiendo su equiparacin
legal con la firma manuscrita.

Zona de seguridad. Los ciudadanos pueden acceder a esta zona en los


puntos de actualizacin del DNI electrnico. Contiene los datos impresos
en el soporte fsico del DNI, la fotografa y la firma escaneada.

Aunque la Administracin pblica ofrece multitud de trmites en lnea, la


realidad es que la gran mayora de ciudadanos que disponen de DNI (ya en
versin electrnica en casi su totalidad) todava no son conocedores de sus
utilidades o bien no disponen de los conocimientos tcnicos adecuados para
su uso.

Certificado de
componente
El certificado de componente
permite la autenticacin mutua de dispositivos tal y como se describe en el estndar
CWA-14890.

CC-BY-NC-ND PID_00177507

24

Identificacin, autenticacin y control de acceso

1.4. Biometra
La biometra vendra a significar algo as como "medir" los rasgos "biolgicos"
de un individuo.

La biometra es la aplicacin de las matemticas y la ciencia de la


computacin para identificar individuos de acuerdo con sus caractersticas o rasgos fsicos.

Esta tecnologa hace aos que aparece como habitual sistema de autenticacin
en la literatura y pelculas de fantasa y ciencia ficcin. De todos modos, el
anlisis del iris, la forma de la mano, incluso la manera de andar, etc. ya juegan un papel importante en sistemas de control de acceso reales. Adems, es
conocido que el uso de las huellas dactilares para la identificacin de un individuo es ya un sistema clsico en organismos policiales.
En un sistema biomtrico el individuo debe en primer lugar registrarse. Entonces una o ms caractersticas fsicas o de conducta son registradas por un
sistema de informacin. Para la identificacin del individuo, el sistema de informacin recoge las caractersticas del individuo que quiere identificarse para
hacer una comprobacin en su base de dados. Si la informacin recogida no
coincide con ninguno de los individuos registrados, se deniega el acceso.
Si el nmero de individuos registrados es muy elevado, el sistema no buscar
entre todos los individuos de su base de datos, ya que podra llegar a ser costoso y potenciador de errores. El individuo que quiere identificarse lo hace mediante un cdigo (o cualquier otro identificador), mientras que el sistema biomtrico comprueba que las caractersticas fsicas recogidas para el individuo
con el identificador concreto coinciden con las almacenadas. En este caso, el
sistema biomtrico realiza una autenticacin de la identificacin.
No obstante hay distintos problemas a los que hacer frente. El primero es el

(6)

En ingls, false acceptance rate.

de la recogida de caractersticas: los sistemas deben obviar ruidos, imperfecciones o distintos matices que los sistemas captadores y sensores recogen a
cada acceso de un individuo. En segundo lugar, se deben minimizar las tasas
de errores del sistema de identificacin: no se debe permitir la autenticacin
de un individuo no registrado o no vlido y, al contrario, no se debe denegar
la correcta autenticacin de un individuo registrado o vlido. En este sentido,
la tasa de falso positivo6 y la de falso negativo7 mide el buen funcionamiento
y rendimiento del sistema biomtrico.
A continuacin enumeramos los rasgos biomtricos ms utilizados, comentando aspectos sobre su calidad y uso:

(7)

En ingls, false nonmatch rate.

CC-BY-NC-ND PID_00177507

25

Huellasdactilares. El uso de las huellas dactilares como medio de identificacin es de alta fiabilidad. Tiene buena aceptacin y popularidad.

Ojo. La identificacin de un individuo a travs del anlisis del iris tiene


una fiabilidad muy alta. El problema es la facilidad de uso. El anlisis de
la retina para identificar al individuo es ms complejo todava.

Formadelamano. Este sistema est bastante extendido, pero quizs presenta un poco menos de fiabilidad que los anteriores. Este sistema es susceptible de padecer ataques, puesto que no resultara difcil recrear la forma de una mano usando un molde.

Cara. El anlisis de la cara, ya sea en 2D o 3D, es un buen medio para


identificar a un individuo. Aun as, siempre es preferible un estudio 3D, ya
que se mejoran los resultados con respecto el mero estudio de una imagen
2D, y se dificulta el xito de ataques. La desventaja de los equipos 2D es que
el sistema no distingue si lo que est capturando es realmente un rostro
o una fotografa de un rostro.

Venasdeldedoolamano. El estudio vascular de los dedos o de la mano


proporciona alta fiabilidad, adems no es muy complejo su anlisis.

Voz. Este sistema presenta bastante fiabilidad, pero tambin es susceptible a los ataques. Adems este sistema padece de poca estabilidad, con lo
cual deberan ser varias las tomas de voz analizadas para reducir la tasa
de errores.

Claramente, son varias las caractersticas biomtricas que pueden usarse para
identificar o autenticar. Estas pueden usarse individualmente o bien en combinacin entre ellas, o bien procediendo a la autenticacin mediante informacin adicional, como podra ser una contrasea. La figura siguiente muestra
un lector de huella digital para ayudar a la identificacin en un ordenador
porttil.
Lector de huellas dactilares de un ordenador porttil

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

26

Identificacin, autenticacin y control de acceso

2. Ciclo de vida de la identidad digital

Una identidad digital pasa por tres pasos bsicos en su ciclo de vida: la creacin, el uso y la desaparicin o baja. En este apartado estudiaremos aspectos
relacionados con el alta, el uso y la baja de las identidades digitales, en concreto, las contraseas y los certificados.
2.1. Alta de usuarios
El alta de un usuario es el procedimiento previo a que este pueda usar un
servicio o bien acceder a un sistema. Existen dos formas mediante las cuales
un usuario puede darse de alta en un sistema:

Deformapresencial. El individuo acude al gestor de identidades del sistema o del servicio (por ejemplo, al administrador de los equipos informticos de una empresa) y este le proporciona la informacin necesaria para
usar el servicio. En este caso el gestor de identidades ha identificado y autenticado al usuario de forma presencial. La presencialidad es importante
en aquellos sistemas o servicios con potenciales riesgos.

Deformanopresencial. En este caso el individuo elige (o se le asigna) un


nombre de usuario, y tambin una contrasea u otra informacin para su
autenticacin. En este caso, til y habitual en aquellas situaciones que no
haya grandes riesgos, ser necesario realizar una serie de comprobaciones
para mejorar la seguridad del proceso de alta de usuario.

2.1.1. Confirmacin no presencial de la identidad


En la forma presencial, quien da de alta el identificador y dems informacin de autenticacin precisar de la verificacin visual de que el solicitante
es quien dice ser. Sin embargo, tal y como se ha apuntado, en los sistemas no
presenciales deben tomarse una serie de medidas para evitar situaciones como
la suplantacin de identidad o el acceso indebido a los sistemas.
Supongamos que un usuario quiere darse de alta en un servicio telemtico para el cual ser necesario introducir una contrasea como sistema de autenticacin. El usuario introduce su identificador (del cual se comprobar que no
haya otro igual en el sistema) y una contrasea. Se pueden usar estas herramientas para mejorar el alta de usuario:

Correoelectrnico. Se puede pedir al usuario que introduzca una direccin de correo electrnico. En esta direccin, se recibir un correo que
contendr un enlace a una pgina que activa automticamente la cuenta

Importancia de la
presencialidad
Obtener un certificado digital
o una tarjeta de coordenadas
para operar con una entidad
financiera pueden ser un par
de situaciones en las que se requiera presencialidad.

CC-BY-NC-ND PID_00177507

27

Identificacin, autenticacin y control de acceso

de usuario recin creada. Ahora bien, supongamos el caso de que el servicio es una red social. Al no haber comprobacin presencial, se podra
usar una direccin de correo electrnico propia (con lo cual la activacin
tendra xito), pero al mismo tiempo, estar creando un identificador para
rellenar el perfil de red social de otro individuo.

Telfonomvil. Otro sistema podra consistir en pedir un nmero de telfono mvil al cual el servicio mandar un cdigo de activacin. Claramente, como en el caso del correo electrnico, no se evita la posibilidad
de fraude. No obstante, con la legislacin actual se puede identificar al
propietario del nmero del telfono mvil.

Autenticacin por mvil


El medio de autenticacin a
travs del telfono mvil es habitual para la confirmacin de
operaciones de compra a travs de Internet.

Confirmacinpordatos. Si el sistema telemtico se corresponde con una


entidad que ha mantenido relacin con el usuario previamente, se pueden
pedir datos para comprobar que la identidad del solicitante se corresponde
con el individuo. Podra ser el caso de crear un acceso a la oficina virtual
de una compaa elctrica: se podra pedir, por ejemplo, una cantidad determinada de alguna de las facturas emitidas con anterioridad.

Finalmente, en muchos casos se pretende evitar el uso indebido del servicio


(por ejemplo, un servicio de correo electrnico, un blog o un foro) o bien se
quiere proteger el sistema ante bloqueo del servicio. En el primer caso, un
programa podra automticamente darse de alta en mltiples servicios para
inundarlos de publicidad. En el segundo, el programa ira realizando peticiones automticas y creando usuarios hasta colapsar el sistema. Para evitar que

Captcha
Captcha es el acrnimo de
completely automated public Turing test to tell computers and
humans apart, en castellano,
prueba de Turing pblica y automtica para diferenciar mquinas y humanos.

un programa use formularios pensados para que los rellene un humano, se


usan los captcha.

Un captcha es una prueba que en principio slo puede ser resuelta por
humanos y no por programas, y cuyo objetivo es diferenciar a un humano de un programa.

La tpica prueba es que el usuario debe introducir por teclado una palabra o
conjunto de caracteres que se exponen por medio de una imagen distorsionada, borrosa, con ruido, etc., es decir, con cualquiera de las caractersticas que
pueda dificultar la lectura automtica por parte de un programa pero no para
un humano.

Ejemplo de captcha

CC-BY-NC-ND PID_00177507

28

Identificacin, autenticacin y control de acceso

2.1.2. Contraseas, cdigos y recomendaciones


Si creamos un usuario, necesitaremos una contrasea. Si recibimos un certificado electrnico, es muy recomendable utilizar una contrasea o un cdigo
para proteger la clave privada correspondiente al certificado. As pues, en este
subapartado trataremos algunos conceptos sobre las contraseas y dems cdigos de autenticacin.
En primer lugar, veamos qu estrategias tiene un atacante para intentar adivinar un cdigo o contrasea que le permitan suplantar una identidad:

Fuerzabruta. Consiste en probar todas las posibles combinaciones de smbolos vlidos hasta dar con el valor correcto.

Bsquedainteligente. Se trata de buscar por un espacio de nombres restringido (por ejemplo, probar el nmero de telfono del individuo al que
se quiere suplantar). Uno de estos casos es el ataque de diccionario, consistente en buscar contraseas a partir de un diccionario.

Afortunadamente, se dispone de una gran cantidad de consejos y tcnicas para


mejorar la seguridad de la contrasea:

Cambiarlacontraseapordefecto. Cuando en el proceso de alta el usuario no decide cul es su contrasea, el sistema le proporciona una. Es altamente recomendable que el usuario la cambie a una que le sea ms fcil
de recordar, y que sea "nueva" tan pronto como le sea posible.

Aspectodelacontrasea. Es aconsejable una longitud mnima, as como la combinacin de letras (maysculas y minsculas), nmeros y a poder ser otros caracteres. Desafortunadamente, algunos sistemas limitan el
conjunto de caracteres posible, o incluso limitan la longitud mxima de la
contrasea. El objetivo de esta medida es aumentar el espacio de bsqueda
y dificultar las posibles repeticiones de contraseas.

Nousarcontraseasobvias. Es evidente, sobre todo para evitar los ataques de bsqueda inteligente.

Usarmedidoresdeseguridaddecontrasea. Muchos sistemas informan


de la calidad de la contrasea elegida, con relacin a la seguridad que ofrece. Estos sistemas se basan en las recomendaciones anteriores para decidir
sobre la seguridad de la contrasea escogida.

Forzar peridicamente el cambio de contrasea. Si la contrasea del


usuario ha sido obtenida por algn atacante, el cambio peridico hace que
la contrasea usurpada ya no tenga validez.

Contraseas obvias en
Hotmail
Tras un ataque masivo, se revelaron cules son las contraseas ms usadas en Hotmail.
La clave que apareci con ms
frecuencia fue "123456". La
noticia puede leerse en la web
de RTVE.

29

CC-BY-NC-ND PID_00177507

Identificacin, autenticacin y control de acceso

Permitirunnmeromximodeintentosfallidos. Mediante esta tcnica


se limita claramente el xito de los ataques de fuerza bruta. Cuando se
llega al mximo de intentos se bloquea la cuenta.

Solicitar cdigos de autorizacin en aquellas operaciones que precisen de ms seguridad. Estos cdigos suelen encontrarse en una tarjeta
de coordenadas especfica del usuario, aunque tambin podra usarse un
token. En este caso es recomendable que el cdigo de autorizacin sea de
un solo uso.

Los consejos anteriores son habituales en la mayora de sistemas de validacin


por medio de contrasea. El administrador del sistema debe disear un proceso de gestin de contraseas que tenga en cuenta estos aspectos. Sin embargo,
aun tomando precauciones tcnicas, el robo de contraseas tiene otro problema de seguridad: el robo a travs de un correo electrnico o llamada telefnica
pretendiendo ser un administrador del sistema y pidiendo la contrasea a un
usuario incauto. Para ser inmune a los ataques de phishing, se debe concienciar al usuario, porque no basta con tomar medidas tecnolgicas. Adems de
todo esto, es esencial no apuntar contraseas en lugares visibles. Estos temas
son necesarios en cualquier poltica de seguridad informtica de cualquier organismo o empresa.
2.2. Procedimiento de autenticacin
Cuando un usuario se ha dado de alta en el servicio, ya est en disposicin
de usarlo. Es entonces cuando, concretamente, ya puede autenticarse en el
servicio. Por ejemplo, ya puede usar su perfil de red social, o bien puede acceder
a hacer un trmite con la Administracin.
El sistema deber tener en cuenta que el usuario se ha autenticado y se encuentra en una sesinactiva. Los distintos sistemas operativos tienen implementado el control de los usuarios que estn activos, pero esto no ocurre en
las aplicaciones basadas en la web.
Trasladar directamente a las pginas web el concepto de sesin no es posible,
8

puesto que el protocolo HTTP trata las peticiones que hace el usuario de forma
independiente. Para poder implementar el concepto de sesin en la tecnologa
de pginas web es necesario usar una cookie de sesin.

Una cookie es un fichero de texto que el servidor web guarda en la mquina cliente. Son los nicos ficheros que, por defecto, se pueden depositar en el equipo cliente, sin que su usuario sea consciente.

(8)

HTTP es la sigla de hypertext


transfer protocol.
Sesiones sin cookies
Pueden implementarse sesiones sin usar cookies: en este caso el identificador de sesin es
un parmetro ms de la direccin web.

CC-BY-NC-ND PID_00177507

30

Las cookies se usan para guardar informacin variada sobre el cliente, por ejemplo, se pueden guardar ciertas preferencias de aspecto de un sitio web que tiene el usuario. A travs de las cookiesdesesin, se pueden manejar sesiones de
usuarios autenticados en pginas web: cuando el usuario se identifica correctamente, se le asigna un nmero de sesin (una cadena de bits larga y aleatoria).
Este nmero de sesin suele guardarse en una cookie en el ordenador cliente.
As pues, el servidor es capaz de asociar al cliente con una determinada sesin.
Recordatorio de usuario mediante un identificador de sesin guardado en el ordenador cliente

Dentro de una sesin hay datos cuyo valor debe estar disponible durante toda
la sesin: son las llamadas variables de sesin. Un lenguaje como PHP dispone de herramientas para empezar una sesin (session_start()), terminar
una sesin (session_destroy()), as como herramientas para controlar las
variables de sesin.
2.2.1. Autenticacin mediante contrasea
Al introducir el concepto de las contraseas hemos supuesto que el servidor
guarda una lista de contraseas en claro, es decir, sin codificar. Est claro que
estas contraseas deben guardarse en un fichero inaccesible para los usuarios
no administradores. Y a su vez, el administrador, en cuya responsabilidad recae parte de la seguridad en este caso, debe ser muy cauto para que no haya
problemas de robo de contraseas.
Las contraseas deben estar guardadas en un sitio seguro dentro del sistema
de informacin (base de datos) de quien identifica. As pues, una opcin muy
extendida es que, junto con la informacin del usuario no se guarda la contrasea sino un resumen de sta. Por lo que, cuando un usuario introduce una
contrasea, no se comprueba que la contrasea coincida con la almacenada,
sino que se comprueba que el resumen de la contrasea coincide con el resumen almacenado de la contrasea. Para realizar el resumen se suele usar una
funcin criptogrfica unidireccional de resumen. En algunos sistemas, el valor

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

31

de contrasea que se guarda no es un resumen, sino el resultado de cifrar un


vector de bits fijo y conocido por el sistema, usando la contrasea como clave
de cifrado.
Funcin criptogrfica de resumen
Una funcin criptogrfica de resumen (hash) devuelve, a partir de una entrada de longitud arbitraria, una secuencia de bits de una longitud definida. Para que sea til en seguridad computacional, a partir de los bits obtenidos no se debe poder deducir el valor
de entrada (es unidireccional). Adems, un pequeo cambio en la entrada debera reflejarse como un valor de salida completamente distinto. Estas funciones tambin ponen
de relieve que hallar dos entradas que sean diferentes y den lugar a una misma salida
es muy complejo computacionalmente. Algunos ejemplos de funciones de resumen son
SHA-1 o MD5.

Claramente, es probable que los sistemas que permiten recordar una contrasea guarden la contrasea sin resumir o sin cifrar.
Durante el procedimiento de validacin mediante contrasea, el usuario manda una contrasea al servicio de autenticacin. En los primeros sistemas, la
autenticacin mediante servicios como Telnet propiciaba el envo de la contrasea sin cifrar. Es decir, que cualquier atacante, usando una herramienta de
escucha de red (sniffer), poda usurpar la contrasea del usuario. Para evitar
esto, se usa la proteccin a nivel de red o a nivel de sesin, mediante tcnicas
criptogrficas. Ahora bien, tal y como se ha apuntado anteriormente, en la actualidad el robo de contraseas suele tener lugar mediante ataques de phishing.
Pero hay un ltimo tipo de problema que se debe tener en cuenta a la hora de
autenticarse mediante contrasea: un atacante podra tener instalado un programa en el equipo del cliente que registrara todas las pulsaciones de teclado
para luego mandarlas al atacante y proceder a su anlisis.

Un keylogger es un sistema, generalmente software, cuyo objetivo es registrar todo lo que teclea el usuario del sistema donde est instalado,
con fines de usurpacin de contraseas.

En general se trata de software, aunque tambin los hay en forma de dispositivo hardware, los cuales se pueden identificar fcilmente mediante una inspeccin visual. Para defenderse de los keyloggers, va siendo habitual pedir al usuario que utilice el ratn en lugar del teclado para introducir una contrasea, tal
como se ve en la figura siguiente. En este caso, los caracteres para escribir la
contrasea irn cambiando de posicin a cada acceso de autenticacin, con lo
cual es ms complejo pensar en un mouselogger. En este caso el atacante necesita capturar la pantalla del usuario para obtener la informacin (screenlogger).

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

32

Identificacin, autenticacin y control de acceso

Entrada de PIN mediante el ratn para evitar posibles keyloggers

2.2.2. Autenticacin mediante certificados electrnicos


Los protocolos y especificaciones SSL/TLS/WTLS9 protegen la capa del transporte de la informacin entre clientes y servidores web. Su uso, adems, est
extendido al envo y recepcin de correo electrnico y, en general, a todas las

(9)

SSL es la sigla de secure socket layer; TLS, de transport layer security;


y WTLS, de wireless transport layer
security.

aplicaciones que precisen de seguridad. Bsicamente proporcionan:

Confidencialidad entre cliente y servidor (por ejemplo, para enviar informacin como nmeros de tarjeta de crdito o contraseas).

Autenticidad del servidor, usando un certificado electrnico de servidor


como mtodo de autenticacin.

Integridad de la informacin.

Adems, estos sistemas permiten la identificacin de un cliente mediante su


certificado. Al tratarse de especificaciones y protocolos muy parecidos, se tiende a hablar de ellos como los "protocolos SSL/TLS".
Cuando nos conectamos a un sitio web seguro (identificado mediante HTT10

PS ) tiene lugar una comunicacin entre cliente y servidor destinada a crear


un canal de comunicacin seguro.
En este ejemplo se resumen los mensajes que se transmiten cuando un cliente se conecta
a un servicio HTTPS autenticado mediante un certificado de servidor:

Hello request. El servidor manda este mensaje al cliente (el navegador web) para iniciar
la securizacin.
Client hello. El cliente responde, dando una serie de informacin, como por ejemplo
qu algoritmos criptogrficos soporta (el servidor tendr que acomodarse ante una
variedad de software cliente con distintas versiones y sistemas operativos).
Server hello. El servidor responde, y especifica qu combinacin de algoritmos criptogrficos se usar.
Certificate. El servidor manda el certificado de servidor que incluye una referencia al
emisor, con la cual el cliente podr decidir si confa o no directamente en el certificado.
Server hello done. A partir de este mensaje se intercambian las claves criptogrficas y
empieza la comunicacin segura.

(10)

HTTPS es la sigla de hypertext


transfer protocol over secure socket
layer.

CC-BY-NC-ND PID_00177507

33

Un caso un tanto distinto es cuando el servidor requiere que el cliente se valide usando un certificadodecliente (el caso, por ejemplo, de la validacin
mediante el DNIe). En el caso de SSL, el servidor mandar, antes del Server hello done, el mensaje Certificate request. Este mensaje contiene una lista de los
posibles tipos de certificado que el servidor puede admitir, por orden de preferencia. Tambin manda una lista de autoridades de certificacin. As pues,
el navegador carga el certificado correspondiente (en caso de haber varios certificados de cliente, el sistema pide elegir uno de ellos), tal como se ve en la
figura siguiente.
Seleccin de certificado electrnico en Windows 7

Para poder usar el certificado, el usuario deber demostrar que es el poseedor


mediante la introduccin del cdigo o contrasea correspondiente.
Cuadro de dilogo para introducir la clave que permite usar el DNIe

Si la validacin ha tenido xito, se proceder a mandar el certificado mediante


el mensaje Certificate.

Identificacin, autenticacin y control de acceso

Directiva SSLVerifyClient
require
Se puede obligar el servidor
Apache a la autenticacin del
cliente mediante certificado
mediante la directiva SSLVerifyClient require.

CC-BY-NC-ND PID_00177507

34

Identificacin, autenticacin y control de acceso

2.2.3. Autenticacin Single Sign On


Al principio de la llegada de Internet, los usuarios disponan de pocos servicios
ante los que autenticarse. Hoy en da, son millares los sitios web que requieren
de una autenticacin del usuario para que ste los pueda usar. Desde la cuenta
de correo, la red social, el servidor de vdeos, o el espacio de comentarios de
la prensa, etc. Por otra parte, muchas empresas y organizaciones disponen de
mltiples servicios propios o internos basados en la web.
Est claro que en ambos escenarios los usuarios deben recordar mltiples nombres y sus respectivas contraseas para poder utilizar todos los servicios a los
que estn suscritos. Evidentemente, usar siempre la misma contrasea para
todos los servicios plantea un problema: si un atacante obtiene la contrasea
puede usarla de forma deshonesta en todos los servicios.
Para solucionar el hecho de que, dentro de una organizacin o un grupo de
aplicaciones basados en la web, se tengan que usar mltiples nombres de usuario y contraseas, existe el procedimiento Single Sign On.

Los sistemas Single Sign On permiten el acceso a varios servicios a partir


de un nico acto de autenticacin inicial.

Ejemplo de sistema Single Sign On


Una compaa ofrece un correo electrnico, un disco virtual, un calendario y un sistema
de elaboracin cooperativa de documentos a travs de la web. Cuando el usuario quiere
usar, por ejemplo, el calendario, debe autenticarse ante el sistema. Con esto, al no estar
autenticado, es redireccionado a un sistema autenticador. Si el usuario se valida correctamente, ya pude usar el calendario. Si el usuario ahora quiere trabajar con un documento
en lnea, no debe volver a autenticarse. Probablemente, el sistema de autenticacin le
habr dejado en el equipo una cookie como prueba de que el usuario se ha validado. Esta
cookie tendr un periodo de validez a partir del cual la sesin habr caducado y el usuario
tendr que autenticarse de nuevo. La figura siguiente muestra este procedimiento.
Procedimiento resumido de autenticacin Single Sign On

Problema de los sistemas


Single Sign On
Obviamente, los sistemas Single Sign On tambin permiten
a un atacante acceder a mltiples servicios conociendo una
nica contrasea del usuario.

CC-BY-NC-ND PID_00177507

35

2.3. Baja de usuarios


El ciclo de vida de una identidad digital termina con un procedimiento de
baja. Todo proceso de gestin de identidades debe contemplar cmo se realiza
este trmite. A continuacin comentamos algunos aspectos referentes a la baja
de contraseas y certificados electrnicos.
2.3.1. Baja de contraseas
Cuando un individuo ya no puede (o no quiere) usar un servicio telemtico,
debe (o puede) darse de baja. En los sistemas gestionados por administradores,
este procedimiento debe hacerse cuando se notifique el cese del individuo.
Claramente, un individuo que, por ejemplo, ya no trabaje en una empresa,
no debera poder acceder a sus servicios telemticos, como por ejemplo el correo electrnico o la intranet. Normalmente, puede definirse un breve periodo
durante el cual el usuario todava estar activo en todos o algunos de los servicios. Por ejemplo, no puede acceder a la intranet, pero s seguir recibiendo
correos electrnicos a la cuenta institucional (y quizs ya no pueda mandar
correos desde esta cuenta).
En servicios gestionados automticamente, en general servicios con una ingente cantidad de usuarios, el procedimiento de baja puede llegar a ser automtico: cuando un usuario se registra, se le advierte de que, por ejemplo, su
cuenta de usuario caducar si no ha realizado ninguna actividad por un determinado periodo de tiempo. No est de ms que, en un sistema de este tipo, se
manden algunos mensajes de recordatorio al usuario antes de que la cuenta
caduque.
2.3.2. Baja de certificados electrnicos
En cuanto a certificados electrnicos, la baja de la identidad digital implica
otros conceptos y escenarios:

Uncertificadopuedecaducar. Si la fecha en que se usa un certificado


est fuera del periodo de validez, se avisar al propietario del certificado
de un modo u otro. El administrador de un servicio debe prever la caducidad de los certificados de servidor de sus sistemas y renovarlos antes que
caduquen para no perjudicar a los usuarios.

Uncertificadovecomprometidasuseguridad. Por ejemplo, si se pierde


un DNIe o bien el usuario cree que ha habido una usurpacin de la clave
privada o del cdigo de acceso, se debe proceder con una revocacin del
certificado.

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

36

Identificacin, autenticacin y control de acceso

Un certificadorevocado es un certificado considerado no vlido aunque sea empleado dentro de su perodo de validez y su emisor sea de
confianza.

Hay distintas tcnicas para tratar con certificados revocados. En primer lugar,
el usuario deber pedir la revocacin del certificado, mediante un trmite con
el emisor del certificado.
Ahora bien, tambin es importante que la revocacin sea notificada a los potenciales usuarios del certificado. Para resolver este problema existe el concepto de listaderevocacin (CRL11). Una CRL contiene una lista de nmeros
deserie de certificados revocados por su autoridad de certificacin. Si se desea
comprobar la validez de un certificado, se debe descargar una CRL actualizada.
La direccin web de donde descargar esta lista se indica en uno de los campos
del certificado digital. La gestin de las CRL forma parte de las plataformas
PKI. Aunque las CRL son un mecanismo de comprobacin ampliamente usado, la obtencin e interpretacin de la lista de revocacin acarrea cierta complejidad. El protocolo OCSP12 es un protocolo que informa de la validez de un
certificado en concreto: se realiza una peticin a un servidor OCSP responder y
este nos informar de la validez de un certificado. As pues, se evita la descarga
e interpretacin (parsing) de una lista de certificados revocados.

(11)

CRL es la sigla de certificate revocation list.

(12)

OCSP es la sigla de online certificate status protocol.

CC-BY-NC-ND PID_00177507

37

Identificacin, autenticacin y control de acceso

3. Control de acceso

Desde tiempos antiguos los humanos se han protegido a s mismos y a sus


recursos (alimentos, herramientas, etc.) mediante una gran variedad de sistemas. Probablemente, una de las formas ms primitivas de proteger sus vidas y
sus recursos fue el uso de cuevas. Estas les permitan guarecerse del fro y de los
elementos, a la vez que dificultaban los ataques de depredadores. El tamao
de las cuevas y, en especial, el de sus entradas resultaba de vital importancia
para los primeros humanos. Diversos estudios muestran que las cuevas con
entradas pequeas (ms fciles de controlar) eran usadas para realizar actividades secretas (Holderness y otros.).
El control de acceso ha sido histricamente un problema eminentemente fsico. Murallas, fosos, puentes destruibles, puentes levadizos, puertas y verjas
son solo algunos ejemplos de elementos arquitectnicos que a lo largo de la
historia han sido usados para controlar el acceso a espacios y recursos. El control de acceso entendido desde un punto de vista fsico se ha implementado
en gran medida mediante el uso de llaves y puertas. Los recursos se almacenan
en reas solo accesibles a travs de puertas que pueden ser abiertas nicamente
con determinadas llaves. As, solo los poseedores de las llaves adecuadas podrn acceder a los recursos.
Aunque el control de acceso fsico es an una realidad ineludible. Quin no se
ha olvidado las llaves alguna vez? Tras el advenimiento y la posterior generalizacin de las tecnologas de la informacin y de las comunicaciones, el con-

Durante la Edad Media resultaba frecuente la


proteccin de castillos y ciudades mediante
el uso de puentes destruibles o levadizos que
permitan cruzar un foso y acceder a un recinto
a menudo amurallado.
(13)

Lgico en el sentido informtico


del trmino en contraposicin a fsico.

trol de acceso fsico ha perdido protagonismo en favor del control de acceso


lgico13 o virtual, relacionado con los sistemas de seguridad informtica. En el
texto que sigue nos centraremos en el estudio del control de acceso entendido
desde este punto de vista.

El control de acceso es el proceso por el cual, dada una peticin de


recursos, se permite o niega el acceso a los mismos en base a la aplicacin
de unas polticas de acceso.

El control de acceso comprende mecanismos de autenticacin, autorizacin y


auditora. Sus principales objetivos son proteger datos y recursos frente al acceso no autorizado (proteger el secreto) y frente a una modificacin no autorizada (proteger la integridad) a la vez que garantizar el acceso de los usuarios
legtimos a los recursos (no denegacin de servicio). Con el fin de conseguir
estos objetivos, se controlan todos los accesos al sistema y sus recursos, y solo
se permite que tengan lugar aquellos autorizados. Haciendo un smil con los
sistemas fsicos, en concreto los puentes levadizos y los puentes destruibles,

Ved tambin
El concepto de polticas de acceso como conjunto de reglas
que rigen el control de acceso
se explica detalladamente en
el subapartado 3.2.

CC-BY-NC-ND PID_00177507

38

Identificacin, autenticacin y control de acceso

podemos observar que ambos puentes cumplen con los dos primeros objetivos (proteger el secreto y la integridad). Sin embargo, los puentes destruibles
no satisfacen el tercer objetivo puesto que al destruirse no pueden ser cruzados por nadie, provocando as una denegacin de servicio para las peticiones
autorizadas.
Los sistemas de control de acceso deben ser entendidos como mecanismos
de monitorizacin capaces de interceptar todas las peticiones de recursos que
llegan al sistema. Estos sistemas de control deben cumplir con los siguientes
requisitos:

Resistenciaamanipulaciones. El sistema no puede ser alterado o manipulado y, si lo es, dicha alteracin debe ser detectable. En el caso de que
no sea as, el sistema no sera seguro, ya que podra permitir el acceso no
autorizado a recursos de forma inadvertida.

Noeludible. El sistema no puede ser saltado, es decir, todo acceso debe


producirse a travs de l. En caso de no cumplirse esta condicin, el sistema no sera seguro dado que habra peticiones de recursos que no seran
analizadas dando lugar, as, a posibles accesos no autorizados.

Seguridadnuclear. La seguridad del sistema debe concentrarse en un ncleo y no distribuirse por el sistema informtico. De no ser as, todo el cdigo del sistema informtico debera ser validado por todos los puntos de
acceso creando as una sobrecarga innecesaria.

Tamaopequeo. El sistema debe ser lo suficientemente pequeo para


permitir la prueba formal de su seguridad.

3.1. Fases del desarrollo de un sistema de control de acceso


El desarrollo de un sistema de control de acceso suele tener las tres fases siguientes:
1) la definicin de las polticas de seguridad,
2) la representacin mediante un modelo formal, y
3) la implementacin de los mecanismos de seguridad.
Las tres fases, que se asemejan a las del proceso de desarrollo de software, se
muestran grficamente en la figura siguiente.

Demostraciones formales
Gracias a las demostraciones
formales podemos probar las
propiedades de seguridad de
un modelo sin necesidad de
implementarlo. As, si el modelo es fiel a la realidad, el sistema resultante, tras su implementacin, mantendr las mismas propiedades de seguridad.

Polticas de seguridad
Las polticas de seguridad son
el conjunto de reglas que regulan el acceso a los recursos
del sistema.

CC-BY-NC-ND PID_00177507

39

Identificacin, autenticacin y control de acceso

Abstraccin y fases de desarrollo de un sistema de control de acceso

Durante la primera fase del proceso (definicindepolticasdeseguridad)


se establecen mediante lenguaje natural el conjunto de reglas que regulan el
acceso a los recursos del sistema de forma abstracta. En esta fase del proceso,
las reglas pueden ser vagas e incluso ambiguas, ya que a menudo hacen referencia a leyes, procesos de funcionamiento propios, y procedimientos organizacionales. Esta ambigedad hace que las reglas, en esta fase, deban ser interpretadas y no sean aptas para un sistema informtico. Por ejemplo, podramos
considerar la regla "Todos los ingenieros de nivel avanzado tienen acceso al
ordenador central", en este caso "nivel avanzado" es un concepto vago que
posteriormente deber ser formalizado.
En la segunda fase del proceso (representacindelmodeloformaldeseguridad) se representa formalmente el conjunto de reglas y su funcionamiento.
Esta formalizacin permite demostrar que un sistema cumple con un determinado conjunto de propiedades de seguridad. Uno de los primeros modelos de
seguridad que se propusieron fue el de Bell-LaPadula (Bell; LaPadula, 1973).
Posteriormente apareci el modelo HRU de Harrison, Ruzzo, y Ullmann en
1976 que formaliz, entre otros, el concepto de matriz de acceso (Harrison y
otros, 1976).
Finalmente, la tercera fase del proceso (desarrollodelosmecanismosdeseguridad) consiste en la implementacin del modelo mediante el uso de lenguajes de programacin que son interpretados de forma determinista y sin
ambigedad por un sistema informtico.
3.2. Polticas de acceso: concepto y elementos bsicos
Todo sistema de control de acceso considera los siguientes elementos bsicos:

Ved tambin
El concepto de concepto de
matriz de acceso se explica detalladamente en el subapartado 3.3.

CC-BY-NC-ND PID_00177507

40

Objetos (tambin llamados objetivos). Son todas aquellas entidades de un


sistema susceptibles de ser protegidas. En el caso de un sistema operativo pueden ser: archivos, directorios, programas, dispositivos, terminales,
puertos, etc. En el caso de una base de datos, tenemos: tablas, relaciones,
vistas, procedimientos, etc.

Acciones. Todo aquello que se puede realizar sobre un objeto. Las acciones tpicas que podemos realizar sobre un fichero son: lectura, escritura,
creacin, eliminacin. En el caso de que el objeto sobre el que se realiza la
accin sea un programa, cabra aadir la opcin de ejecucin.

Sujetos (tambin llamados iniciadores). Es cualquier entidad con capacidad para requerir el acceso a objetos del sistema. Los sujetos tpicos de un
sistema son sus usuarios y los procesos del sistema (por ejemplo, un navegador web, un procesador de textos, etc.).

En todo sistema informtico, los sujetos realizan acciones sobre los objetos. El
sistema de control de acceso es el encargado de decidir si un determinado sujeto tiene permiso para ejecutar una determinada accin sobre un determinado objeto. La decisin de permitir o denegar el acceso a los recursos se realiza
en base a las polticas de acceso.

Las polticasdeacceso son el conjunto de reglas que permiten determinar si un sujeto puede realizar una determinada accin (lectura, escritura, modificacin, eliminacin o ejecucin) sobre un objeto.

La figura siguiente muestra un esquema de los componentes principales de un


sistema y su interaccin con el sistema de control de acceso. Obsrvese cmo
el sistema de control de acceso (en el centro de la figura) recibe peticiones de
los sujetos para realizar acciones. Evala estas peticiones mediante el uso de
una poltica de acceso y acta en consecuencia permitiendo o denegando el
acceso a los objetos.

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

41

Elementos bsicos de un sistema de control de acceso y su interaccin

3.3. Tipos de control de acceso


En funcin de cmo se aplican y gestionan las polticas de acceso podemos
distinguir tres tipos fundamentales de control de este:
1)Controldeaccesoobligatorio. Las polticas son evaluadas por el sistema
entendido como un nico ente central. Los sujetos del sistema no pueden
rehacer/redefinir las polticas. Por ejemplo, no pueden dar permisos de acceso
a otros usuarios. Los objetos y sujetos del sistema pertenecen a diversas clases
de acceso. As, para acceder a un objeto de una determinada clase hace falta
que el sujeto pertenezca a una clase igual o superior (en trminos de privilegios). Este tipo de acceso se inspira en el funcionamiento militar en el que la
informacin (por ejemplo, planes de ataque) solo puede ser vista por aquellas
personas que gozan de un nivel de seguridad suficiente (por ejemplo, nivel
de coronel).
2)Controldeaccesodiscrecional. Las polticas son gestionadas por los propietarios (sujetos) de los recursos (objetos). Los sujetos pueden modificar las
polticas asociadas a los objetos del sistema. Por ejemplo, un propietario de
un determinado objeto del sistema puede dar privilegios de acceso sobre ese
objeto a otro sujeto. Este tipo de control de acceso es usado generalmente por
los sistemas operativos.

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

42

3)Controldeaccesobasadoenroles. Las polticas son definidas por el sistema pero, a diferencia de las polticas de acceso obligatorio, el acceso no se
evala en funcin de permisos individuales sino mediante permisos de clase
(o de rol). Cada rol tiene asignados ciertos privilegios y cada sujeto del sistema
tiene asignado un rol, as el sujeto adquiere los privilegios del rol al que pertenece. Este tipo de control de acceso es un caso general de los dos anteriores.

Identificacin, autenticacin y control de acceso

Nota
El control de acceso obligatorio y el control de acceso discrecional pueden verse como
casos particulares de un modelo de control de acceso basado
en roles.

Suele usarse para la gestin de acceso a recursos de bases de datos.


En los siguientes subapartados describiremos con ms detalle las caractersticas
de estos sistemas de control de acceso y algunos otros menos habituales.
3.3.1. Control de acceso obligatorio
En un sistema control de acceso obligatorio (MAC14), las polticas son evaluadas de forma centralizada por una autoridad (en el caso de un sistema operativo, el encargado estara en el ncleo del mismo). Tpicamente se usan sistemas
de seguridad multinivel basados en clasificaciones de los sujetos y los objetos
del sistema. Todos los sujetos y objetos tienen asignada una clasedeacceso.

Una clasedeacceso es un elemento de un conjunto de clases parcialmente ordenado. Donde el orden viene dado por una relacin de dominancia representada por .

En su forma ms simple un conjunto de clases de acceso se podra definir


mediante un conjunto de etiquetas ordenadas. Sin embargo, en general, las
clases de acceso vienen caracterizadas por dos componentes:

Nivel de seguridad (N). Es un elemento de un conjunto jerrquico ordenado. Por ejemplo, podramos considerar los elementos: seguridad alta
(SA), seguridad media (SM) y seguridad baja (SB), donde SA > SM > SB.

Conjuntodecategoras(C). Es un subconjunto de un conjunto no ordenado cuyos elementos hacen referencia a reas funcionales o de competencia. Por ejemplo, podramos considerar los elementos gestin, investigacin, transferencia y docencia. En este caso el elemento Gestin podra
asociarse a objetos relacionados con la administracin, contabilidad y recursos humanos, mientras que el elemento Investigacin o transferencia
podra asociarse con objetos relacionados con laboratorios o equipos informticos.

(14)

MAC son las siglas en ingls de


mandatory access control.

CC-BY-NC-ND PID_00177507

43

A partir de estas dos componentes (nivel de seguridad y conjunto de categoras) podemos definir la relacin de dominancia como sigue.
La clase c1 la classe c2 si el nivel de seguridad de c1 es mayor que el nivel
de seguridad de c2 y el conjunto de categoras de c1 incluye al conjunto de

Identificacin, autenticacin y control de acceso

Clases incomparables
Dadas dos clases c1, c2, si no se
cumple que c1 c2 ni que c2
c1 se dice que las clases son incomparables.

categoras de c2. Formalmente:


c1 = (N1,C1), c2 = (N2 ,C2): c1 c2 N1 N2 C1 C2
La relacin de dominancia definida anteriormente cumple con las propiedades: reflexiva, transitiva, antisimtrica, existencia de cota superior, y existencia de cota inferior.
La clase de acceso asociada a un objeto indica la sensibilidad de la informacin
contenida en el objeto.

Lectura recomendada
Si estis interesados en profundizar sobre las propiedades de la relacin de dominancia, podis consultar
la obra de Samarati y otros
(2001).

La sensibilidad de una determina informacin puede entenderse como


el dao potencial que puede causar la revelacin no autorizada de dicha
informacin.

Por otro lado, la clase de acceso asociada a un sujeto indica su nivel de autorizacin formal (en ingls, clearance).

La autorizacin formal hace referencia al nivel de confianza en un


sujeto. Puede verse como la confianza que se tiene en que el sujeto no
revelar informacin sensible a sujetos sin autorizacin.

As pues, el control de acceso obligatorio equivaldra a la restriccin de acceso a


objetos basada en la sensibilidad de la informacin contenida en los objetos y
la autorizacin formal (clearance) de los sujetos para acceder a una informacin
de ese nivel de sensibilidad.
3.3.2. Control de acceso discrecional
El controldeaccesodiscrecional (DAC15) fue definido por el Trusted Computer System Evaluation Criteria en 1985. Se basa en evaluar qu sujeto realiza la peticin de acceso a los recursos y en un conjunto de reglas de acceso
explcitas definidas por los propietarios (owners) de los objetos. En un sistema
DAC todo objeto tiene un propietario u owner, que es quien gestiona el acceso
al mismo.
Recibe el nombre de discrecional debido a que los usuarios del sistema tienen
la capacidad de transferir sus privilegios de acceso a otros usuarios. A diferencia del control de acceso obligatorio, el modelo DAC no usa un sistema cen-

(15)

DAC son las siglas en ingls de


discretionary access control.

44

CC-BY-NC-ND PID_00177507

Identificacin, autenticacin y control de acceso

tralizado en el que solo una nica autoridad otorga y revoca privilegios de


acceso a los recursos. En consecuencia resulta necesario el uso de polticas de
administracin.

En los sistemas DAC las polticasdeadministracin regulan los procesos de gestin de privilegios (por ejemplo, transmisin, revocacin...)
entre los sujetos del sistema.

Una de las formas ms comunes de definir los permisos que tiene cada sujeto
sobre cada objeto es el modelo de matriz de acceso (propuesto en el modelo
HRU). Este modelo, que fue inicialmente descrito por Lampson en el contexto
de los sistemas operativos, y ms tarde fue refinado por Graham y Denning,
permite describir el control de acceso discrecional. Recibe el nombre de modelo de matriz de acceso porque usa una matriz para codificar el estado del
acceso a los recursos en todo momento. Concretamente, cada celda M(i,j) de la
matriz, contiene las acciones que puede realizar el sujeto (i) sobre el objeto (j).
Ejemplo de matriz de acceso
La tabla siguiente muestra un ejemplo de matriz de acceso en la que pueden identificarse tres sujetos (Ana, Bernardo y Carlos), que podran ser usuarios del sistema, y cuatro
objetos (Archivo1, Archivo2, Ejecutable1 y Ejecutable2). Si observamos la celda de la matriz
correspondiente a la interseccin entre el sujeto (Ana) y el objeto (Archivo2), podemos ver
que las acciones permitidas son lectura y escritura. Adems tambin podemos observar
que Ana es la propietaria del Archivo2, lo cual le confiere la potestad de otorgar privilegios
sobre este objeto a otros sujetos del sistema.
Ejemplo de matriz de acceso

Ana

Bernardo

Archivo1

Archivo2

Lectura
Escritura

Lectura
Escritura
Propiedad
Lectura

Ejecutable1

Ejecutable2
Ejecucin

Ejecucin

Carlos

Ejecucin

El estado de la matriz de acceso puede ser modificado mediante el uso de comandos que ejecutan funciones primitivas sobre el estado de las autorizaciones. Concretamente, el modelo HRU considera seis funciones primitivas:

Adicin y supresin de sujetos

Adicin y supresin de objetos

Adicin y supresin de privilegios

La representacin de la matriz de acceso en su forma ms simple, es decir,


mediante una tabla bidimensional, resulta altamente ineficiente cuando el
nmero de sujetos y objetos del sistema crece.

Modelo HRU
El modelo de matriz de acceso
fue formalizado por Harrison,
Ruzzo y Ullmann y se conoce
como modelo HRU.

45

CC-BY-NC-ND PID_00177507

Obsrvese que si el nmero de sujetos y objetos es grande, es probable que la


mayora de las celdas de la matriz estn vacas (puesto que no todos los sujetos
tienen acceso a todos los objetos). Por ello se usan formas de representacin
alternativas espacialmente ms eficientes como:
1)Tablasdeautorizacin. Son tablas con tres columnas (sujeto, accin, objeto) que incluyen todas las celdas no vacas de la matriz de acceso. As, cada
tupla de la tabla representa la capacidad que tiene un sujeto de realizar una
accin sobre un objeto. La tabla siguiente muestra la representacin mediante
una tabla de autorizacin de la matriz de acceso de la tabla anterior.
Representacin mediante tabla de autorizacin
Sujeto

Accin

Objeto

Ana

Lectura

Archivo1

Ana

Escritura

Archivo1

Ana

Lectura

Archivo2

Ana

Escritura

Archivo2

Ana

Propietaria

Archivo2

Ana

Ejecucin

Ejecutable2

Bernardo

Lectura

Archivo2

Bernardo

Ejecucin

Ejecutable1

Carlos

Ejecucin

Ejecutable2

2)Listasdecontroldeacceso. Son listas enlazadas que representan la matriz de acceso por columnas. De este modo, dado un determinado objeto (por
ejemplo, el Archivo2) se puede determinar si un sujeto (por ejemplo, Bernardo) tiene permiso para realizar alguna accin sobre el (por ejemplo, leerlo). El
siguiente grfico muestra la lista de control de acceso para el Archivo2 segn
la matriz de acceso de ejemplo de la primera tabla de nuestro ejemplo.
Ejemplo de listas de control de acceso

3)Listasdecapacidades. Son listas enlazadas que representan la matriz de


acceso por filas. De este modo, dado un determinado sujeto (por ejemplo, Bernardo) se puede determinar si puede realizar una accin (por ejemplo, Ejecu-

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

46

cin) sobre un determinado objeto (por ejemplo, el Ejecutable1). El siguiente


grfico muestra la lista de capacidades de Bernardo segn la matriz de acceso
de ejemplo de la primera tabla.
Lista de capacidades

3.3.3. Control de acceso basado en roles


Cuando se trabaja con organizaciones grandes resulta poco prctico tener que
definir los privilegios de acceso de forma individualizada.
Ejemplo
Tomemos como ejemplo un bufete de abogados formado por quince trabajadores de los
cuales uno es el director, diez son abogados y cuatro son ayudantes. Supongamos que las
acciones que se realizan en el bufete son:

Contratar/Despedir abogados
Contratar/Despedir ayudantes
Crear/Eliminar expedientes
Consultar expedientes

En el bufete el director puede realizar todas las acciones, los abogados pueden crear, eliminar y consultar expedientes y los ayudantes solo pueden consultar los expedientes.
La figura siguiente muestra grficamente los usuarios (trabajadores) del bufete, sus roles,
y las acciones que pueden realizar. Es fcil observar que la definicin de las acciones que
puede realizar cada trabajador de la empresa es ms cmoda si se considera el rol que
desempea en la empresa (y por consiguiente, las tareas que realiza). Por ejemplo, no es
necesario definir las acciones que puede realizar cada abogado de forma individual, sino
que simplemente hace falta definir qu acciones puede hacer un abogado "genrico".
Usuarios, roles y acciones para el ejemplo del bufete de abogados

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

47

El controldeaccesobasadoenroles (RBAC16) se fundamenta en la idea de


asignar permisos/privilegios para realizar acciones a roles en vez de a sujetos
del sistema. As, cada sujeto del sistema tiene un rol asignado y puede realizar
todas aquellas acciones para las que su rol tiene privilegios.

Un rol es la funcin que alguien o algo cumple. Por ejemplo, en los


sistemas operativos suele hacerse una clara distincin entre el rol de
administrador y el rol de usuario bsico.

Obsrvese que la gestin de los permisos se simplifica claramente respecto a


los anteriores modelos puesto que una vez asignados los permisos a los roles, la
nica tarea consiste en asignar correctamente los roles a los sujetos del sistema.
El modelo de control de acceso basado en roles es lo suficientemente flexible
como para funcionar como el control de acceso obligatorio y el control de
acceso discrecional. En realidad podemos considerar que tanto el modelo MAC
como el DAC son casos particulares del modelo RBAC.

Identificacin, autenticacin y control de acceso


(16)

RBAC son las siglas en ingls de


role-based access control.

CC-BY-NC-ND PID_00177507

48

Resumen

En este mdulo hemos estudiado el concepto de autenticacin de la identidad


y hemos revisado cules son las tcnicas bsicas para implementarla, el ciclo
de vida de la identidad digital, y el control de acceso.
En primer lugar hemos visto el uso de contraseas para la autenticacin de los
usuarios. Hemos estudiado el concepto de certificado electrnico, revisando
de forma resumida el concepto de clave pblica y las propiedades de seguridad
de la informacin que permite alcanzar. El concepto de certificado electrnico
ha servido para presentar el concepto de firma electrnica, de la cual hemos
estudiado aspectos legales y de implementacin con XML. Tambin hemos
realizado un repaso de los dispositivos de usuario para el soporte a los procesos de autenticacin, viendo distintos tipos de token. Hemos presentado el
concepto de tarjeta inteligente y detallado su uso en el DNI electrnico. Finalmente, hemos presentado la biometra como un conjunto de tcnicas capaces
de identificar a individuos o bien ayudar a su autenticacin.
Tambin se ha expuesto el tema del ciclo de vida de la identidad digital, estudiando conceptos como la gestin y creacin de contraseas, los problemas
que esto conlleva y sus posibles soluciones. Hemos visto en detalle los procesos de autenticacin mediante certificados electrnicos e introducido el concepto de single sign on, que se ver en ms detalle en el mdulo "Single sign-on
y federacin de identidades". Finalmente, hemos tratado la baja de usuarios,
desde el punto de vista de usuarios autenticados con contrasea y desde el
punto de vista de revocar certificados electrnicos.
A continuacin hemos estudiado los sistemas de control de acceso. Tras presentar el concepto desde un punto de vista histrico y mostrar su vertiente
ms fsica, hemos descrito cmo la aparicin de las TIC nos obliga a estudiar
los sistemas de control de acceso desde un punto de vista de seguridad informtica.
Finalmente, se ha analizado el concepto de poltica de acceso y descrito los
principales actores que forman parte del sistema, es decir: objetos, sujetos y
acciones. Hemos presentado los tres tipos fundamentales de control de acceso,
a saber: control de acceso obligatorio (MAC), control de acceso discrecional
(DAC) y control de acceso basado en roles (RBAC).

Identificacin, autenticacin y control de acceso

49

CC-BY-NC-ND PID_00177507

Actividades
1. Buscad por Internet algunos de los pases que hayan integrado los certificados digitales
en sus sistemas de identificacin ciudadana. Elaborad un listado de qu servicios ofrecen en
general y rene datos sobre su aceptacin.
2. Reunid informacin sobre cmo se procede a firmar electrnicamente algunos de los formatos de documento ofimtico ms comunes.
3. Buscad alguna aplicacin biomtrica de software libre o de demostracin que podis probar. Instaladla y haced varias pruebas para determinar su tasa de aciertos y fallos.
4. Visitad varias webs financieras, de comercio electrnico, etc. y enumerad los sistemas de
autenticacin que admiten. En caso de usar contraseas, tened en cuenta si se usan algunas
de las tcnicas detalladas en el mdulo.
5. Obtened un certificado de servidor de alguna web que conozcis que use SSL. Observando
los detalles (o propiedades, segn el software que usis) obtened la URL de la lista de revocacin. Mediante el navegador, introducid esta URL. Analizad la informacin que contiene
la lista de revocacin.
6. Escoged un sistema operativo actual (Linux, Windows o MacOS) y determinad qu tipo
de control de acceso utiliza.
7. A partir de la siguiente matriz referencia de acceso, identificad los objetos del sistema y los
sujetos del sistema, y describid qu acciones puede realizar cada sujeto sobre cada objeto.
Archivo1

Archivo2

Ejecutable1

Proceso1

Lectura
Escritura
Borrado

Lectura
Escritura
Borrado
Propiedad

Ejecucin

John

Lectura

Lectura

Ejecucin

Julia

Lectura
Escritura
Borrado
Propiedad

Ejecucin

Ejecutable2

Ejecucin

8. Representad la matriz de acceso anterior mediante la tcnica de tabla de autorizacin y


de lista de capacidades.
9. Mostrad la matriz de acceso para el ejemplo del bufete de abogados del subapartado 3.3.3.
Argumentad por qu el uso de roles simplifica la gestin de los privilegios de acceso.
10. Adems de los tres modelos de control de acceso descritos en este mdulo (MAC, DAC
y RBAC) existen otros modelos como el ABAC (Attribute-based Access Control). Buscad informacin sobre este modelo de control de acceso y proporcionad ejemplos de cmo usarlo
mediante el lenguaje XACML.

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

50

Glosario
autoridad de certificacin f Emisor de certificados electrnicos que goza de reconocimiento sobre su confianza.
autorizacin formal f Vase clearance
biometra f Aplicacin de las matemticas y la ciencia de la computacin para identificar
individuos de acuerdo con sus caractersticas o rasgos fsicos.
captcha f Prueba basada en reconocer el texto en una imagen, cuyo objetivo es diferenciar
si quien la resuelve es un humano o un programa informtico.
clase de acceso f Elemento de un conjunto de clases parcialmente ordenado, donde el
orden viene dado por una relacin de dominancia representada por .
clearance m Nivel de autorizacin o confianza en un sujeto. Puede verse como la confianza
que se tiene en que el sujeto no revelar informacin sensible a sujetos sin autorizacin.
contrasea f Cadena de caracteres alfa8ricos de longitud arbitraria, usada como herramienta bsica de autenticacin de identidad.
control de acceso m Proceso por el cual, dada una peticin de recursos, se permite o niega
el acceso a los mismos en base a la aplicacin de polticas de acceso.
firma electrnica reconocida f Firma electrnica creada por medios que el firmante
puede mantener bajo su exclusivo control, basada en un certificado reconocido. Se equipara
totalmente a la firma manuscrita.
HRU m Modelo de Harrison, Ruzzo y Ullman.
infraestructura de clave pblica f En ingls public key infraestructure. Plataforma informtica/telemtica que permite la emisin y gestin de claves criptogrficas y sus correspondientes certificados.
poltica de acceso f Conjunto de reglas que permiten determinar si un recurso puede ser
visto, ledo, modificado, eliminado o ejecutado por un sujeto del sistema.
poltica de administracin f Conjunto de reglas que regulan los procesos de gestin
de privilegios (transmisin, revocacin, etc.) entre los sujetos de un sistema de control de
acceso discrecional.
revocacin f Proceso mediante el cual un certificado electrnico pierde su validez, a pesar
de no estar caducado por fecha y estar emitido por una autoridad de confianza.
rol m Funcin que alguien o algo cumple.
sensibilidad f (de una determina informacin) Dao potencial que puede causar la revelacin no autorizada de dicha informacin.
sesin f Periodo durante el cual un usuario est autorizado para realizar acciones en una
aplicacin basada en el web.
tarjeta inteligente f Tarjeta de plstico que lleva un chip incorporado, en general con
capacidades de microprocesador con funciones criptogrficas. El dispositivo es seguro contra
manipulaciones.
token m Dispositivo cuyo objetivo es dar soporte al proceso de autenticacin del usuario.
Puede llevarse consigo.
XAdES m Sistema estndar de firmas electrnicas mediante tecnologa XML. Reconocido
como estndar en la Directiva Europea para la Firma Electrnica.

Identificacin, autenticacin y control de acceso

CC-BY-NC-ND PID_00177507

51

Bibliografa
Bell, D.E.; LaPadula, L. J. (1973). MITRE Documento Tcnico 2547 (vol. 1), Secure Computer Systems: Mathematical Foundations. (Versin digital actualizada por Len LaPadula en 1996)
Departamento de Defensa de los EE. UU. (1985). Trusted Computer System Evaluation
Criteria. DoD Standard 5200.28-STD.
Gollmann, D. (2005). Computer Security (2. ed.). Chichester (West Sussex): John Wiley &
Sons.
Harrison, M. A.; Ruzzo, W. L.; Ullman, J. D. (1976). "Protection in Operating Systems".
Communications of the ACM (vol. 8, nm. 19, pgs. 461471).
Herrera Joancomart, J. (2006). Aspectos avanzados de seguridad en redes. Barcelona: Editorial UOC.
Holderness, H.; Davies, G.; Chamberlain, A.; Donahue, R. (2006). A Conservation Audit of Archaeological Cave Resources in the Peak District and Yorkshire Dales. Documento Tcnico. CAPRA.
ISO (2009). Common Criteria for Information Technology Security Evaluation (ISO-IEC-15408).
Samarati, P.; De Capitani di Vimercati, S. (2001). "Access Control: Policies, Models,
and Mechanisms". FOSAD. Lecture Notes in Computer Science (vol. 2171/2001, pgs. 137-196).
Stallings, W. (2008). Computer security: principles and practice. Upper Saddle River (New Jersey): Pearson/Prentice Hall.
Windley, P. (2005). Digital Identity. Sebastopol (California): O'Reilly.

Identificacin, autenticacin y control de acceso