¿Qué es el Control de Acceso?

Definición integrada:
El control de acceso es el conjunto de medidas, políticas y mecanismos que regulan quién puede acceder a qué recursos (físicos o lógicos), bajo qué condiciones y con qué privilegios, con el objetivo de proteger la información y los activos asociados.

El control de acceso se divide en dos grandes categorías que se complementan: control de acceso físico y control de acceso lógico. Ambos son esenciales en una estrategia de seguridad integral y están reconocidos en estándares internacionales como ISO/IEC 27001:2022.

En la versión actualizada de la norma ISO/IEC 27001:2022, el propio texto establece que se deben establecer e implementar reglas para controlar el acceso físico y lógico a la información y a otros activos asociados, conforme a los requisitos del negocio y de la seguridad de la información.

Esto forma parte del control de acceso (Anexo A 5.15 en ISO/IEC 27001:2022) dentro del Sistema de Gestión de la Seguridad de la Información (SGSI), y busca asegurar que solo personas autorizadas tengan acceso tanto a recursos físicos (instalaciones, áreas restringidas) como a recursos lógicos (sistemas y datos).

Control de Acceso Físico

Acceso Físico

El control de acceso físico se refiere al conjunto de medidas destinadas a restringir y supervisar el ingreso de personas a instalaciones, áreas o recursos físicos donde se resguarda información o infraestructura crítica, como centros de datos, salas de servidores u oficinas administrativas.

Su objetivo es prevenir accesos no autorizados que puedan derivar en robo, daño o sabotaje.

📌 Mecanismos comunes:

  • Cerraduras tradicionales y electrónicas
  • Tarjetas de proximidad / RFID
  • Controles biométricos (huella dactilar, iris)
  • Sistemas de vigilancia (CCTV)
  • Registros de entrada y salida
  • Guardias de seguridad y torniquetes
  • Sistemas de alarma y detección de intrusos
Ejemplo: Control de acceso a data center
┌─[security@datacenter]─[~]
└──╼ $ # Registro de acceso a sala de servidores
[2026-04-30 09:15:23] ACCESO AUTORIZADO - Tarjeta #4521 - Juan Pérez (Admin)
[2026-04-30 09:15:23] Puerto: Principal - Motivo: Mantenimiento
[2026-04-30 10:30:45] SALIDA REGISTRADA - Tarjeta #4521 - Juan Pérez
✓ Trazabilidad completa de accesos físicos

Control de Acceso Lógico

Acceso Lógico

El control de acceso lógico consiste en los mecanismos que regulan el acceso de usuarios a sistemas informáticos, aplicaciones, redes y datos digitales, garantizando que solo personas autorizadas puedan utilizarlos conforme a sus privilegios.

Se basa en procesos de identificación, autenticación y autorización, empleando credenciales como usuarios, contraseñas, certificados o roles.

📌 Mecanismos comunes:

  • Usuario y contraseña
  • Autenticación Multifactor (MFA/2FA)
  • Certificados digitales y PKI
  • Biometría de comportamiento
  • Control de Acceso Basado en Roles (RBAC)
  • Single Sign-On (SSO)
  • Listas de Control de Acceso (ACL)
Ejemplo: Autenticación y autorización en Linux
┌─[usuario@sistema]─[~]
└──╼ $ # Verificación de permisos de acceso
└──╼ $ id -Z
username=admin, role=administrator, type=unconfined
└──╼ $ sudo systemctl status ssh
● ssh.service - OpenBSD Secure Shell server
Active: active (running)
✓ Permiso concedido por rol 'administrator'

ISO/IEC 27001:2022 - Enfoque

El control de acceso en ISO 27001:
No es un control aislado, sino parte del tratamiento del riesgo dentro del SGSI. La norma no pide "poner controles porque sí", sino justificar cada control de acceso con base en riesgos identificados, activos protegidos y escenarios de amenaza.

Basado en Riesgos

Cada control de acceso debe justificarse por el riesgo identificado. No importa cuántos controles tengas, sino por qué existen y qué riesgo mitigan.

Tecnológicamente Neutral

ISO/IEC 27001:2022 no obliga a usar MFA, LDAP, Active Directory o IAM comercial. Exige mecanismos proporcionales al riesgo.

Documentación Obligatoria

Políticas, procedimientos, matrices de acceso y evidencias de revisión periódica son tan importantes como el control técnico.

Accesos Privilegiados

Las cuentas administrativas deben tener controles reforzados, uso restringido y monitoreo específico por su alto riesgo.

Recomendaciones para Acceso Lógico

1

Reglas formales de control de acceso

Establecer políticas claras que indiquen quién puede acceder a qué sistemas, bajo qué condiciones y con qué nivel de privilegio, alineadas al análisis de riesgos.

2

Principio de mínimo privilegio

Los usuarios deben contar únicamente con los permisos estrictamente necesarios para realizar sus funciones, evitando accesos excesivos.

3

Gestión controlada de identidades

Cada usuario debe tener una identidad única, evitando cuentas compartidas y manteniendo trazabilidad clara de las acciones.

4

Autenticación robusta

Implementar mecanismos fuertes de autenticación (contraseñas seguras, MFA) para reducir el riesgo de accesos no autorizados.

5

Gestión del ciclo de vida de accesos

Los accesos deben otorgarse, modificarse y revocarse de forma controlada cuando cambian los roles o el usuario deja la organización.

6

Separación de funciones

Evitar que una sola persona tenga control total sobre procesos críticos, reduciendo el riesgo de fraude o abuso de privilegios.

7

Control de acceso a sistemas y aplicaciones

Limitar explícitamente el acceso a sistemas, servicios y aplicaciones según roles definidos, evitando accesos genéricos.

8

Registro y monitoreo de accesos

Registrar eventos de acceso (exitosos y fallidos) para auditoría, detección de incidentes y análisis forense.

9

Protección de credenciales

Asegurar que contraseñas, claves y tokens se almacenen y transmitan de forma segura, evitando texto plano o configuraciones débiles.

10

Revisión periódica de permisos

Realizar revisiones regulares de los accesos asignados para verificar que siguen siendo válidos, necesarios y acordes al rol del usuario.

Comparativa y Laboratorio Práctico

Característica Control de Acceso Físico Control de Acceso Lógico
Objeto de protección Instalaciones, equipos, centros de datos Sistemas, aplicaciones, datos, redes
Mecanismos típicos Cerraduras, tarjetas, biometría, guardias Contraseñas, MFA, certificados, RBAC
Base de identificación Identidad física (persona) Identidad digital (usuario/rol)
Evidencia de acceso Registros de entrada/salida, CCTV Logs de sistema, auditorías
Riesgo principal Acceso no autorizado a áreas sensibles Acceso no autorizado a datos/sistemas
Comentarios adicionales importantes:
El control de acceso no es un control aislado, sino parte del tratamiento del riesgo dentro del SGSI. En auditorías ISO 27001, lo importante no es cuántos controles tienes, sino por qué existen y qué riesgo mitigan.
Ejercicios para realizar:
1. Identifica los controles de acceso físico en tu entorno de trabajo o estudio.
2. Revisa los logs de autenticación en Linux: cat /var/log/auth.log | grep "Failed"
3. Crea un usuario y asigna permisos específicos con useradd y chmod.
4. Documenta una política básica de control de acceso para un pequeño negocio.
5. Investiga cómo implementar MFA en un servicio como SSH o correo electrónico.
Linux - Control de Acceso Lógico
┌─[root@linux]─[~]
└──╼ $ sudo useradd -m -G wheel auditor
└──╼ $ sudo passwd auditor
Enter new UNIX password: ••••••••
Retype new UNIX password: ••••••••
passwd: password updated successfully
└──╼ $ sudo chmod 750 /home/auditor
└──╼ $ sudo tail -10 /var/log/auth.log
Apr 30 10:30:15 server sshd[1234]: Failed password for invalid user admin
Apr 30 10:32:45 server sudo: auditor : TTY=pts/0 ; PWD=/home/auditor
✓ Usuario creado con mínimo privilegio

Preguntas de Reflexión

1. ¿Qué relación existe entre el control de acceso físico y lógico en un centro de datos?
2. ¿Por qué la autenticación multifactor (MFA) es recomendada sobre solo contraseña?
3. ¿Cómo documentarías la revisión periódica de permisos en tu organización?
4. ¿Qué riesgos mitiga la separación de funciones?

Comandos Rápidos de Referencia

  • sudo tail -f /var/log/auth.log - Monitoreo de autenticaciones en tiempo real
  • lastlog - Muestra último inicio de sesión de usuarios
  • faillog - Muestra intentos fallidos de autenticación
  • sudo cat /etc/shadow - Archivo de contraseñas (requiere root)
  • sudo cat /etc/sudoers - Configuración de privilegios sudo
  • getfacl /ruta/archivo - Ver ACL de archivo

¡Has completado el tutorial!

Ahora conoces los fundamentos del Control de Acceso Físico y Lógico, las recomendaciones de ISO/IEC 27001:2022, los principios de mínimo privilegio, separación de funciones y autenticación robusta. Recuerda que la documentación y la justificación basada en riesgos son tan importantes como los controles técnicos.

Ver más tutoriales