¿Cómo funciona el control de acceso (RBAC, privilegio mínimo)?

Question

Accepted Answer

**Control de acceso** rige qué pueden hacer los usuarios autenticados — a través de modelos como **RBAC** (Control de Acceso Basado en Roles) y principios como **privilegio mínimo**. El control de acceso adecuado es crítico, ya que el control de acceso roto es la vulnerabilidad #1 de OWASP.

## Modelos de control de acceso

```text
RBAC (Role-Based Access Control) → assign users to ROLES; roles have PERMISSIONS:
  → user → role(s) (admin, editor, viewer) → permissions → access decisions
  → manageable, common; change a role's permissions, all its users update
ABAC (Attribute-Based) → decisions based on ATTRIBUTES (user, resource, context) → flexible,
  fine-grained (e.g. "editors can edit docs in their department during business hours")
ACLs → per-resource lists of who can do what
```

## El principio del privilegio mínimo

```text
LEAST PRIVILEGE → grant the MINIMUM access needed to do the job, nothing more:
  → limits the BLAST RADIUS if an account/component is compromised
  → applies to users, services, processes, database accounts, API keys, etc.
→ a foundational security principle (default to LESS access; grant more only as needed)
```

## Implementación segura del control de acceso

```text
⚠️ BROKEN ACCESS CONTROL is OWASP #1 — common and serious:
✓ ENFORCE authorization on the SERVER for EVERY protected action/resource (never trust
  the client; don't rely on hiding UI elements)
✓ Check the user is authorized for the SPECIFIC resource (prevent IDOR — accessing
  others' data by changing an ID)
✓ DENY by default; verify on each request; centralize authorization logic
✓ Test access control (a common gap — easy to miss authorization checks)
```

## Por qué es importante

Comprender el control de acceso es importante porque **rige qué pueden hacer los usuarios y es crítico para la seguridad** — el control de acceso roto es la vulnerabilidad #1 de OWASP — por lo que es conocimiento de seguridad valioso y prácticamente crítico.

El control de acceso determina qué pueden hacer los usuarios autenticados, y hacerlo correctamente es esencial.

Comprender los **modelos** — **RBAC** (asignar usuarios a roles que tienen permisos — manejable y común), **ABAC** (decisiones basadas en atributos para control flexible y granular), y ACLs (listas de permisos por recurso) — proporciona los marcos para estructurar permisos, siendo RBAC el más común de entender.

Comprender el **principio del privilegio mínimo** — otorgar el **acceso mínimo necesario**, que **limita el radio de explosión si una cuenta o componente se ve comprometido** — es un principio de seguridad fundamental que se aplica ampliamente (usuarios, servicios, cuentas de base de datos, claves API), y uno de los conceptos de seguridad más importantes.

Críticamente, comprender cómo **implementar el control de acceso de forma segura** aborda la vulnerabilidad #1: **hacer cumplir la autorización en el servidor para cada acción protegida** (nunca confiar en el cliente ni depender de la interfaz de usuario oculta — un error común), **verificar la autorización para el recurso específico** (previniendo IDOR, donde los usuarios acceden a datos de otros cambiando un ID — un defecto frecuente de control de acceso roto), **denegar por defecto**, verificar en cada solicitud, y **probar el control de acceso** (una brecha común, ya que las verificaciones de autorización faltantes son fáciles de pasar por alto).

Ya que el control de acceso rige qué pueden hacer los usuarios y el control de acceso roto es la vulnerabilidad principal (común y grave), y dado que comprender los modelos (RBAC), el principio del privilegio mínimo, e implementación segura (cumplimiento en el servidor, verificaciones específicas de recursos, denegar por defecto) es crítico para la seguridad, comprender el control de acceso es conocimiento de seguridad valioso y prácticamente crítico — abordando el riesgo de seguridad #1, fundamental para controlar qué pueden hacer los usuarios, y esencial para evitar los defectos de control de acceso roto (como IDOR y verificaciones de autorización faltantes) que se encuentran entre las vulnerabilidades más comunes y graves.