Ciberseguridad · Capítulo 18
Gestión de Identidad y Accesos (IAM): Quién Puede Hacer Qué
El 80% de las brechas de datos involucran credenciales comprometidas. Controlar quién puede hacer qué, con qué nivel de confianza y en qué momento es la piedra angular de cualquier arquitectura de seguridad moderna.
Los Cuatro Pilares de IAM
La Gestión de Identidad y Accesos (Identity and Access Management) se fundamenta en cuatro conceptos distintos que con frecuencia se confunden:
| Pilar | Definición | Pregunta que responde | Ejemplo |
|---|
| Identificación | Reclamar una identidad | ¿Quién dices que eres? | Escribir tu nombre de usuario |
| Autenticación | Demostrar que eres quien dices ser | ¿Puedes probarlo? | Ingresar tu contraseña o huella |
| Autorización | Qué tienes permitido hacer | ¿Qué puedes hacer? | Acceder a tus facturas, no a las de otros |
| Auditoría | Registro de lo que hiciste | ¿Qué hiciste? | Log de que viste la factura #1234 a las 15:32 |
Factores de Autenticación
Los factores de autenticación se clasifican en tres categorías según qué tipo de evidencia aportan:
Algo que sabes (Knowledge factors)
El factor más común y el más débil si se usa solo. Las contraseñas tienen múltiples problemas: son reutilizadas (el 65% de las personas usa la misma contraseña en múltiples servicios), pueden ser adivinadas, son objeto de phishing, y pueden filtrarse en brechas de bases de datos.
Algo que tienes (Possession factors)
- TOTP (Time-based One-Time Password): apps como Google Authenticator o Authy generan un código de 6 dígitos que cambia cada 30 segundos. Basado en un secreto compartido y la hora actual. No requiere internet. Muy efectivo contra phishing estático (si el atacante roba el código de ayer, ya no sirve).
- Hardware token (FIDO2/U2F): dispositivos físicos como YubiKey. Al presionar el botón, generan una firma criptográfica única. Prácticamente imposible de phishear porque la firma incluye el dominio del sitio — si el atacante crea un sitio falso bank0.com en lugar de bank.com, el YubiKey detecta el dominio incorrecto y no responde.
- SMS (OTP por mensaje de texto): el segundo factor más común pero el más débil de los factores de posesión. Vulnerable al SIM swapping (ver más abajo).
Algo que eres (Inherence factors — Biometría)
Huella dactilar, reconocimiento facial (Face ID), iris, geometría de la mano, voz. Ventajas: no puedes olvidarlos, difíciles de robar en el mundo físico. Desventajas críticas: si tu huella dactilar es comprometida en una base de datos, no puedes obtener una nueva. Existen también preocupaciones legales — en muchos países, un tribunal puede obligarte a dar tu huella para desbloquear un dispositivo (es algo que eres), pero no puede obligarte a revelar tu contraseña (es algo que sabes).
El poder del MFA: Microsoft reporta que la autenticación multifactor bloquea el 99.9% de los ataques automatizados de compromiso de cuentas. Con solo una contraseña, basta con que aparezca en una brecha para que la cuenta sea comprometida. Con MFA, el atacante también necesita el teléfono o el hardware token — un obstáculo que la mayoría no puede superar de forma automatizada.
Política de Contraseñas Según NIST SP 800-63B (2020)
Las directrices actuales del NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) rompen con muchos mitos sobre contraseñas:
| Práctica antigua (incorrecta) | Directriz NIST 2020 (correcta) | Razón |
|---|
| Cambiar contraseña cada 90 días | No exigir rotación periódica | Las rotaciones frecuentes producen contraseñas débiles y predecibles (Password1! → Password2!) |
| Exigir mayúsculas, números y símbolos | Solo exigir longitud mínima de 8 caracteres | Los requisitos de complejidad producen patrones predecibles (P@ssw0rd) |
| Prohibir pegar contraseñas (paste) | Permitir siempre pegar contraseñas | Bloquear el paste dificulta el uso de gestores de contraseñas |
| Verificar si la contraseña es obvia | Verificar contra listas de contraseñas comprometidas | Usar la API de HIBP (k-anonymity) para verificar sin revelar la contraseña |
| Contraseña como único factor | Implementar MFA en lugar de depender de complejidad | MFA es exponencialmente más efectivo que la complejidad de contraseñas |
Gestores de Contraseñas: Por Qué Funcionan
Un gestor de contraseñas genera y almacena una contraseña única, larga y aleatoria para cada sitio. Tú solo necesitas recordar una contraseña maestra fuerte. El resultado: una contraseña de 20 caracteres aleatoria por sitio, imposible de adivinar, reutilizar o phishear efectivamente.
Opciones principales
- 1Password: muy popular, excelente UX, $3/mes. Almacenamiento en nube cifrado.
- Bitwarden: open source, gratuito para uso personal, código auditable públicamente. Opción recomendada para usuarios conscientes de la privacidad.
- Dashlane, Keeper: alternativas sólidas con características premium.
La brecha de LastPass (2022): lecciones importantes
En agosto-diciembre de 2022, LastPass sufrió una brecha que comprometió vaults cifradas de millones de usuarios. Los atacantes obtuvieron copias cifradas de los vaults, pero necesitan la contraseña maestra para descifrarlos. Los usuarios con contraseñas maestras débiles o reutilizadas están en riesgo. La lección: la contraseña maestra del gestor es el punto de falla único — debe ser única, larga (20+ caracteres) y nunca usada en ningún otro lugar.
Single Sign-On (SSO): Una Identidad para Todo
SSO permite a los usuarios autenticarse una sola vez y acceder a múltiples aplicaciones sin volver a ingresar credenciales. Mejora tanto la UX como la seguridad (menos contraseñas = menos superficie de ataque).
SAML 2.0 (Security Assertion Markup Language)
El estándar empresarial para SSO, basado en XML. Actores:
- Identity Provider (IdP): el servicio que autentica al usuario y emite aserciones (Okta, Azure AD, Google Workspace)
- Service Provider (SP): la aplicación que confía en el IdP (Salesforce, GitHub Enterprise, cualquier app corporativa)
Flujo: usuario intenta acceder a Salesforce → Salesforce redirige al IdP (Okta) → usuario se autentica con Okta → Okta envía una aserción SAML firmada a Salesforce confirmando la identidad → Salesforce concede acceso.
OAuth 2.0
OAuth 2.0 es un framework de autorización, no de autenticación (aunque comúnmente se confunde). Cuando ves "Login con Google" o "Conectar con Facebook", estás viendo OAuth en acción. El flujo de código de autorización:
- La app (cliente) redirige al usuario al servidor de autorización de Google
- El usuario se autentica con Google y aprueba los permisos solicitados ("permitir que esta app acceda a tu perfil básico y email")
- Google redirige de vuelta a la app con un código de autorización de un solo uso
- La app intercambia el código por un access token en una llamada servidor a servidor
- La app usa el access token para llamar a la API de Google y obtener los datos del usuario
OpenID Connect (OIDC)
Es una capa de identidad construida sobre OAuth 2.0. Añade un ID Token en formato JWT (JSON Web Token) que contiene información verificable sobre quién es el usuario. OIDC resuelve el problema de OAuth: OAuth dice "este usuario autorizó el acceso", OIDC dice "este usuario específico (con este email y nombre) autorizó el acceso". Es el estándar para autenticación con Google, Apple y Microsoft en aplicaciones modernas.
Gestión de Accesos Privilegiados (PAM)
Las cuentas privilegiadas (administradores de sistemas, DBAs, ingenieros de DevOps) tienen poderes enormes — pueden eliminar bases de datos, acceder a todos los datos de clientes, modificar configuraciones críticas. Son también el objetivo más valioso para los atacantes.
Estadística crítica: El 74% de las brechas de datos involucran acceso privilegiado. Los atacantes buscan escalar a cuentas privilegiadas tan pronto como comprometen cualquier acceso inicial. Controlar las cuentas privilegiadas es la prioridad número uno en seguridad empresarial.
Componentes de PAM
- Acceso Just-in-Time (JIT): los privilegios se otorgan solo cuando se solicitan y se revocan automáticamente después (ej: 1 hora). Un administrador no tiene permisos de root todo el tiempo — los solicita cuando los necesita, son aprobados, y expiran. Reduce enormemente el daño potencial de credenciales comprometidas.
- Grabación de sesiones: todas las sesiones privilegiadas se graban como video. El administrador sabe que sus acciones son registradas, lo que disuade el abuso interno. Las grabaciones son evidencia invaluable en investigaciones.
- Vaulting de contraseñas: las contraseñas de cuentas privilegiadas se almacenan cifradas en un vault central. Los administradores nunca ven la contraseña real — el sistema se conecta en su nombre. Las contraseñas rotan automáticamente.
- Herramientas: CyberArk (líder del mercado), BeyondTrust, Delinea (antes Thycotic)
RBAC vs. ABAC: Modelos de Autorización
Control de Acceso Basado en Roles (RBAC)
Los permisos se asignan a roles, no a individuos. Los usuarios se asignan a roles. Simple, escalable, fácil de auditar.
Ejemplo RBAC en una plataforma de blog:
- Rol "Lector": puede leer artículos publicados
- Rol "Autor": puede crear y editar sus propios artículos
- Rol "Editor": puede editar y publicar artículos de cualquier autor
- Rol "Administrador": control total del sistema
María es asignada al rol "Editor". Tiene todos los permisos de ese rol automáticamente, sin necesitar una configuración individual por recurso.
Control de Acceso Basado en Atributos (ABAC)
Los permisos se evalúan dinámicamente basándose en atributos del usuario, del recurso y del entorno. Más flexible y granular que RBAC, pero más complejo de implementar y auditar.
Ejemplo de política ABAC:
"Permitir acceso si: departamento_usuario = 'Finanzas' Y clasificación_documento = 'Confidencial-Finanzas' Y hora_actual entre 08:00-18:00 Y ubicación_usuario = 'Red Corporativa'"
El mismo usuario con el mismo rol puede tener acceso en horario de oficina desde la oficina, pero no a las 2am desde una IP en otro país.
Active Directory: El Directorio Empresarial de Microsoft
Active Directory (AD) es el sistema de gestión de identidades más usado en el mundo empresarial Windows. Permite gestionar centralmente usuarios, grupos, equipos y políticas en una red corporativa.
- Dominio: la unidad administrativa central (empresa.local)
- Usuarios y Grupos: cuentas de usuario y agrupaciones de usuarios con permisos comunes
- Unidades Organizativas (OUs): contenedores que reflejan la estructura de la empresa (por departamento, ubicación, función)
- Group Policy (GPO): configuraciones que se aplican automáticamente a usuarios y equipos (política de contraseñas, configuración del firewall, restricción de USB)
- Kerberos: el protocolo de autenticación que AD usa internamente — basado en tickets temporales
- LDAP: protocolo para consultar y modificar el directorio
Zero Trust Identity: "Nunca Confíes, Siempre Verifica"
El modelo tradicional de seguridad asumía que todo dentro de la red corporativa era confiable y todo fuera era sospechoso. Zero Trust rechaza este modelo — en la era del trabajo remoto, BYOD y aplicaciones en la nube, el perímetro de red ya no existe como concepto útil.
Los tres principios de Zero Trust según Microsoft:
- Verificar explícitamente: siempre autenticar y autorizar basándose en todos los puntos de datos disponibles: identidad del usuario, ubicación, dispositivo, servicio, datos y comportamiento anómalo
- Usar acceso de mínimo privilegio: limitar el acceso con JIT/JEA (Just-In-Time/Just-Enough-Access), políticas adaptativas basadas en riesgo, y protección de datos
- Asumir la brecha: minimizar el radio de explosión, segmentar el acceso, cifrar de extremo a extremo, usar analítica para obtener visibilidad y detectar amenazas
SIM Swapping: Cuando Tu Número de Teléfono es Robado
El SIM swapping es un ataque en el que un criminal convence a tu operadora de telefonía de transferir tu número de teléfono a una SIM card que él controla. Una vez que tienen tu número:
- Reciben todos tus SMS — incluyendo los códigos de verificación 2FA de tu banco, email, etc.
- Pueden solicitar restablecimiento de contraseña en tus cuentas usando "enviar código al teléfono"
- Pueden acceder a cualquier cuenta que use SMS como segundo factor
Casos notables: en 2019, el CEO de Twitter Jack Dorsey fue víctima de SIM swapping. En 2021, un adolescente de Massachusetts robó $24 millones en criptomonedas mediante este método.
Cómo protegerte del SIM swapping
- Configura un PIN o contraseña en tu cuenta de operadora (protege contra cambios no autorizados)
- Usa una app TOTP (Google Authenticator, Authy) en lugar de SMS para 2FA siempre que sea posible
- Usa una llave de seguridad hardware (YubiKey) para cuentas críticas
- Para cuentas de criptomonedas: nunca uses SMS 2FA, siempre TOTP o hardware key
Autenticación Sin Contraseña (Passwordless)
FIDO2/WebAuthn es el estándar moderno para autenticación sin contraseña, basado en criptografía de clave pública:
- Al registrarte, el dispositivo genera un par de claves pública/privada
- La clave pública se almacena en el servidor
- La clave privada nunca sale del dispositivo (almacenada en el secure enclave del chip)
- Al autenticarte, el servidor envía un desafío; el dispositivo lo firma con la clave privada; el servidor verifica con la clave pública
Las Passkeys son la implementación de FIDO2 adoptada por Apple, Google y Microsoft en 2022-2023. Eliminan las contraseñas completamente, son resistentes al phishing (la clave está vinculada al dominio exacto), y se sincronizan entre dispositivos del mismo ecosistema.
Resumen / Summary
- IAM se basa en cuatro pilares: Identificación (reclamar identidad), Autenticación (probarla), Autorización (qué puedes hacer) y Auditoría (qué hiciste) — todos son necesarios para una seguridad completa.
- MFA bloquea el 99.9% de ataques automatizados según Microsoft; TOTP (Google Authenticator) es mucho más seguro que SMS, y las llaves hardware FIDO2 (YubiKey) son las más resistentes al phishing.
- Las directrices NIST SP 800-63B eliminan la rotación periódica obligatoria y los requisitos de complejidad en favor de mayor longitud, verificación contra listas de contraseñas comprometidas y MFA obligatoria.
- SAML 2.0 es el estándar SSO empresarial (XML-based); OAuth 2.0 es un framework de autorización (no autenticación); OpenID Connect añade una capa de identidad sobre OAuth 2.0 con ID Tokens JWT.
- PAM (Privileged Access Management) gestiona cuentas privilegiadas con acceso Just-in-Time, grabación de sesiones y vaulting de contraseñas — el 74% de las brechas involucra acceso privilegiado.
- El SIM swapping transfiere tu número de teléfono a una SIM del atacante, comprometiendo todo 2FA por SMS; protégete con PIN en tu operadora y usando TOTP o llaves hardware en lugar de SMS.
- Las Passkeys (FIDO2/WebAuthn) son el futuro de la autenticación: sin contraseñas, resistentes al phishing, basadas en criptografía de clave pública, adoptadas por Apple, Google y Microsoft.