Control de acceso

El control de acceso consiste en los mecanismos, y su gestión asociada,

que permiten limitar el acceso hacia los recursos sólo a aquellos usuarios
que estén autorizados para tal efecto.

El acceso se compone de 3 etapas:

1. Identificación

2. Autenticación

3. Autorización

Usuarios

Identificación
Activos

Lo que se sabe

Control de acceso Autenticación Lo que se tiene

Lo que se es

Privilegios

Autorización
Derechos

1
1. Identificación

Es la proclamación de identidad que hace un sujeto (usuario, programa

o proceso), es decir, el usuario “dice ser alguien”.

La identidad se puede proporcionar de varias formas:

Teclear un nombre de usuario (username)

Usar una tarjeta inteligente (smart card).

Mostrando un token o pase de acceso.

Mencionando una frase de identificación.

Posicionando una parte el cuerpo ante un

biométrico.

2
2. Autenticación

Es la actividad o el método en el que se verifica o prueba la validez de

la identidad que el sujeto presenta (es decir, se verifica que el sujeto en
verdad es quien dice ser). El sujeto puede presentar información adicional,
que debe de corresponder exactamente a la identidad antes presentada.

La autenticación puede ser:

1:1 (uno a uno):

Cuando la comparación es realizada

contra una única identidad (el usuario
es quien manifiesta ser).

1: N (uno a muchos): 


Cuando la comparación es realizada

contra múltiples identidades (se
busca la identidad del usuario entre
múltiples posibilidades).

3
 Tipos de autenticación

Por algo que se sabe: contraseña, PIN, combinación de un candado,

respuesta a pregunta secreta.

Por algo que se tiene: llave física, tarjeta de acceso, llave criptográfica,
token, sello de lacre.

Por algo que se es: huellas digitales, patrón de voz, patrón de Iris,
geometría de la mano, ritmo de escritura en teclado, patrón de firma
manual.

Por el lugar donde se esté: dirección IP, código postal, MAC Address.

Autenticación Simple: solamente se hace uso de uno de los 4 tipos de

autenticación.

Autenticación Multi factor: contiene por lo menos dos de los 4 tipos de

autenticación.

3. Autorización

Es el proceso mediante el cual se determinan los privilegios que tiene

un sujeto sobre un sistema u objeto. Dentro del proceso, posteriormente
a que el usuario introduce sus credenciales y se logra una autenticación
exitosa, el sistema debe establecer si el usuario está autorizado a acceder
al recurso en particular y qué acciones se le permite realizar con ese
recurso, para lo cual utiliza criterios de acceso.

4
Un usario puede estar autenticado, pero sin privilegios autorizados no
logra nada (y aun así el proceso de acceso está completo). La autorización
depende del dueño del dato. Es uno de los pasos más importantes, más
difíciles, y peor administrados en general.

Concluyendo el tema de Control de Acceso, puedes

reflexionar sobre las siguientes puntos:

¿Utilizas algún factor adicional a “algo que sabes” para

ingresar a un aplicativo?

¿Consideras que en algún sistema de tu institución

tienes permisos que no van acorde con tu función
dentro de la misma?