En seguridad de la información , el control de acceso basado en roles ( RBAC ) [ 1 ] [ 2 ] o seguridad basada en roles [ 3 ] es un enfoque para restringir el acceso al sistema a usuarios autorizados. Se trata de un mecanismo de control de acceso informático independiente de políticas, definido en torno a roles y privilegios. Los componentes de RBAC, como los permisos de rol, las relaciones usuario-rol y rol-rol, simplifican la asignación de usuarios. RBAC puede utilizarse para facilitar la administración de la seguridad en grandes organizaciones con cientos de usuarios y miles de permisos.
Si bien el control de acceso basado en roles (RBAC) difiere de los marcos de control de acceso obligatorio y de control de acceso discrecional (DAC), puede aplicar estas políticas. Su enfoque también difiere del control de acceso basado en contexto y de las listas de control de acceso . El control de acceso basado en atributos y el control de acceso basado en relaciones son modelos que se basan en el concepto de RBAC.
Un estudio de la década de 1990 realizado por el NIST demostró que el RBAC satisface muchas necesidades de las organizaciones comerciales y gubernamentales. [ 4 ] El RBAC todavía se considera comúnmente una buena práctica en la gestión de la seguridad de la información , incluida la implementación de estándares de seguridad de la información relacionados con el control de acceso.
Diseño

Dentro de una organización, se crean roles para diversas funciones laborales. Los permisos para realizar ciertas operaciones se asignan a roles específicos. Dado que los usuarios no reciben permisos directamente, sino que los adquieren a través de su rol (o roles), la gestión de los derechos de usuario individuales se reduce a simplemente asignar los roles apropiados a la cuenta del usuario; esto simplifica las operaciones comunes, como agregar un usuario o cambiar su departamento.
Se definen tres reglas principales para el RBAC:
- Asignación de rol: Un sujeto solo puede ejercer un permiso si ha seleccionado o se le ha asignado un rol.
- Autorización de roles: El rol activo de un sujeto debe estar autorizado para dicho sujeto. Con la regla 1 anterior, esta regla garantiza que los usuarios solo puedan asumir los roles para los que están autorizados.
- Autorización de permisos: Un usuario solo puede ejercer un permiso si este está autorizado para su rol activo. Con las reglas 1 y 2, esta regla garantiza que los usuarios solo puedan ejercer los permisos para los que están autorizados.
También se pueden aplicar restricciones adicionales, y los roles se pueden combinar en una jerarquía donde los roles de nivel superior engloban los permisos que poseen los subroles.
Mediante los conceptos de jerarquía de roles y restricciones, se puede controlar el control de acceso basado en roles (RBAC) para crear o simular el control de acceso basado en retículos (LBAC). Por lo tanto, RBAC puede considerarse un superconjunto de LBAC.
Al definir un modelo RBAC, las siguientes convenciones resultan útiles:
- S = Sujeto = Una persona o agente automatizado
- R = Rol = Función o título del puesto que define un nivel de autoridad.
- P = Permisos = Aprobación de un modo de acceso a un recurso
- SE = Sesión = Un mapeo que involucra S, R y/o P
- SA = Asignación de asignatura
- PA = Asignación de permisos
- RH = Jerarquía de roles parcialmente ordenada. RH también se puede escribir como: ≥ (La notación: x ≥ y significa que x hereda los permisos de y).
- Un sujeto puede desempeñar múltiples roles.
- Un rol puede tener múltiples temas.
- Un rol puede tener muchos permisos.
- Se puede asignar un permiso a varios roles.
- Una operación puede estar asociada a varios permisos.
- Se puede asignar un permiso a varias operaciones.
Una restricción impone una regla limitante sobre la posible herencia de permisos entre roles opuestos. De este modo, puede utilizarse para lograr una separación de funciones adecuada . Por ejemplo, una misma persona no debería tener permitido crear una cuenta de inicio de sesión y, al mismo tiempo, autorizar su creación.
Por lo tanto, utilizando la notación de la teoría de conjuntos :
- y es una relación de asignación de roles de muchos a muchos.
- y es una relación de muchos a muchos sujeta a asignación de roles.
Un sujeto puede tener varias sesiones simultáneas con/en diferentes roles.
Niveles estandarizados
El estándar NIST/ANSI/ INCITS RBAC (2004) reconoce tres niveles de RBAC: [ 5 ]
- RBAC básico
- RBAC jerárquico, que añade soporte para la herencia entre roles.
- RBAC restringido, que añade separación de funciones
Relación con otros modelos
RBAC es una tecnología de control de acceso flexible cuya flexibilidad le permite implementar control de acceso discrecional (DAC) [ 6 ] o control de acceso obligatorio (MAC). [ 7 ] DAC con grupos (por ejemplo, como se implementa en los sistemas de archivos POSIX) puede emular RBAC. [ 8 ] MAC puede simular RBAC si el grafo de roles está restringido a un árbol en lugar de un conjunto parcialmente ordenado . [ 9 ]
Antes del desarrollo de RBAC, el modelo Bell-LaPadula (BLP) era sinónimo de MAC, y los permisos del sistema de archivos eran sinónimo de DAC. Estos se consideraban los únicos modelos conocidos para el control de acceso: si un modelo no era BLP, se consideraba un modelo DAC, y viceversa. Investigaciones de finales de la década de 1990 demostraron que RBAC no pertenece a ninguna de las dos categorías. [ 10 ] [ 11 ] A diferencia del control de acceso basado en contexto (CBAC), RBAC no considera el contexto del mensaje (como el origen de una conexión). RBAC también ha sido criticado por conducir a una explosión de roles, [ 12 ] un problema en grandes sistemas empresariales que requieren un control de acceso con una granularidad más fina que la que RBAC puede proporcionar, ya que los roles se asignan inherentemente a las operaciones y los tipos de datos. De manera similar a CBAC, un sistema de control de acceso basado en entidades-relaciones puede proteger instancias de datos considerando su asociación con el sujeto que las ejecuta. [ 13 ]
Comparando con el LCA
Las listas de control de acceso (ACL) se utilizan en los sistemas tradicionales de control de acceso discrecional (DAC) para afectar a objetos de datos de bajo nivel. El control de acceso basado en roles (RBAC) se diferencia de las ACL en que asigna permisos a operaciones que modifican las relaciones directas entre varias entidades (véase ACLg más adelante). Por ejemplo, una ACL podría utilizarse para conceder o denegar el acceso de escritura a un archivo del sistema específico, pero no dictaría cómo se podría modificar dicho archivo. En un sistema basado en RBAC, una operación podría ser la transacción de "crear una cuenta de crédito" en una aplicación financiera o la de "rellenar un registro de prueba de nivel de glucosa en sangre" en una aplicación médica. Un rol es, por lo tanto, una secuencia de operaciones dentro de una actividad mayor. Se ha demostrado que el RBAC es especialmente adecuado para los requisitos de separación de funciones (SoD), que garantizan que dos o más personas deban participar en la autorización de operaciones críticas. Se han analizado las condiciones necesarias y suficientes para la seguridad de la SoD en el RBAC. Un principio fundamental de la SoD es que ningún individuo debería poder provocar una violación de la seguridad mediante privilegios duales. Por extensión, ninguna persona puede desempeñar un rol que ejerza autoridad de auditoría, control o revisión sobre otro rol que desempeñe simultáneamente. [ 14 ] [ 15 ]
Un "modelo RBAC mínimo", RBACm , se puede comparar con un mecanismo ACL, ACLg , donde solo se permiten grupos como entradas en el ACL. Barkley (1997) [ 16 ] demostró que RBACm y ACLg son equivalentes.
Para el intercambio de datos y para "comparaciones de alto nivel", los datos ACL se pueden traducir a XACML .
Control de acceso basado en atributos
El control de acceso basado en atributos (ABAC) es un modelo que evoluciona a partir de RBAC para considerar atributos adicionales además de roles y grupos. En ABAC, es posible utilizar atributos de:
- el usuario, por ejemplo, ciudadanía, autorización,
- el recurso, por ejemplo, clasificación, departamento, propietario,
- la acción y
- el contexto, por ejemplo, hora, ubicación, IP.
ABAC se basa en políticas en el sentido de que utiliza políticas en lugar de permisos estáticos para definir qué está permitido y qué no.
Control de acceso basado en relaciones
El control de acceso basado en relaciones (ReBAC) es un modelo que evoluciona a partir del RBAC. En ReBAC, el permiso de un sujeto para acceder a un recurso se define por la existencia de relaciones entre esos sujetos y recursos.
La ventaja de este modelo es que permite permisos muy específicos; por ejemplo, en una red social donde los usuarios pueden compartir publicaciones con otros usuarios específicos. [ 17 ]
Implementación y estándares
El uso de RBAC para gestionar los privilegios de usuario (permisos informáticos) dentro de un mismo sistema o aplicación es ampliamente aceptado como una buena práctica . Un informe de 2010 elaborado para el NIST por el Research Triangle Institute analizó el valor económico de RBAC para las empresas y estimó los beneficios por empleado derivados de la reducción del tiempo de inactividad de los empleados, un aprovisionamiento más eficiente y una administración más eficaz de las políticas de control de acceso. [ 18 ]
En una organización con una infraestructura de TI heterogénea y requisitos que abarcan docenas o cientos de sistemas y aplicaciones, el uso de RBAC para gestionar suficientes roles y asignar membresías de rol adecuadas se vuelve extremadamente complejo sin la creación jerárquica de roles y asignaciones de privilegios. [ 19 ] Los sistemas más recientes extienden el modelo RBAC NIST anterior [ 20 ] para abordar las limitaciones de RBAC para implementaciones a nivel empresarial. El modelo NIST fue adoptado como estándar por INCITS como ANSI/INCITS 359-2004. También se ha publicado una discusión sobre algunas de las decisiones de diseño para el modelo NIST. [ 21 ]
La publicación especial 800-53 del NIST , un estándar de seguridad de la información utilizado por agencias federales estadounidenses y otras organizaciones, incluye el control de acceso basado en roles en sus controles de aplicación de acceso bajo AC-3(7). [ 22 ]
Las implementaciones de los Controles CIS , un conjunto de mejores prácticas, a menudo incorporan el control de acceso basado en roles como parte del cumplimiento del Control 6, Gestión del Control de Acceso. [ 23 ]
Las regulaciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico de EE. UU. (HIPAA) requieren la implementación del control de acceso como parte de las salvaguardas técnicas para la información de salud protegida electrónicamente ( 45 CFR 164.312 ), y el control de acceso basado en roles es un enfoque típico en la industria. [ 24 ]
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) exige a los implementadores que "limiten el acceso a los componentes del sistema y a los datos de los titulares de tarjetas únicamente a aquellas personas cuyo trabajo requiera dicho acceso", lo que incluye garantizar que "la asignación de privilegios se base en la clasificación laboral y la función de cada persona" (Requisito 7), una forma de control de acceso basado en roles. [ 25 ]
Véase también
- RSBAC
- Seguridad basada en capacidades
- Autenticación basada en riesgos
- AGDLP (recomendaciones de Microsoft para la implementación de RBAC)
- Redes basadas en la identidad (IDN)
- PERMIS
- Fortaleza Apache
- Principio del mínimo privilegio
Referencias
- ↑ Ferraiolo, DF y Kuhn, DR (octubre de 1992). "Control de acceso basado en roles" (PDF) . XV Conferencia Nacional de Seguridad Informática : 554–563 .
- ↑ Sandhu, R., Coyne, EJ, Feinstein, HL y Youman, CE (agosto de 1996). "Modelos de control de acceso basados en roles" (PDF) . IEEE Computer . 29 (2): 38– 47. Bibcode : 1996Compr..29b..38S . CiteSeerX 10.1.1.50.7649 . doi : 10.1109/2.485845 . S2CID 1958270 .
{{cite journal}}: CS1 maint: varios nombres: lista de autores ( enlace ) - ↑ ABREU, VILMAR; Santin, Altair O.; VIEGAS, EDUARDO K.; STIHLER, MAICON (2017). "Un modelo de activación de roles multidominio". 2017 IEEE International Conference on Communications (ICC) (PDF) . IEEE Press. pp. 1–6 . doi : 10.1109/ICC.2017.7997247 . ISBN 978-1-4673-8999-0. S2CID 6185138 .
- ↑ Gilbert MD, Lynch N, Ferraiolo FD (1995). "Un examen de las necesidades de políticas de control de acceso federales y comerciales" . Actas de la Conferencia Nacional de Seguridad Informática, 1993 (16.ª): Seguridad de los sistemas de información: Opciones del usuario . DIANE Publishing. pág. 107. ISBN 9780788119248.
- ↑ Alberto Belussi; Barbara Catania; Eliseo Clementini; Elena Ferrari (2007). Datos espaciales en la web: modelado y gestión . Springer. pág. 194. ISBN 978-3-540-69878-4.
- ↑ Ravi Sandhu; Qamar Munawer (octubre de 1998). "Cómo realizar control de acceso discrecional mediante roles". 3er Taller de ACM sobre Control de Acceso Basado en Roles : 47–54 .
- ↑ Sylvia Osborn; Ravi Sandhu y Qamar Munawer (2000). "Configuración del control de acceso basado en roles para aplicar políticas de control de acceso obligatorias y discrecionales". ACM Transactions on Information and System Security : 85–106 .
- ↑ Brucker, Achim D.; Wolff, Burkhart (2005). "Un enfoque de verificación para la seguridad de sistemas aplicados" . Revista internacional sobre herramientas de software para la transferencia de tecnología . 7 (3): 233– 247. doi : 10.1007/s10009-004-0176-3 . hdl : 20.500.11850/52625 . S2CID 6427232 .
- ↑ DR Kuhn (1998). "Control de acceso basado en roles en sistemas MLS sin cambios en el kernel". Actas del tercer taller de ACM sobre control de acceso basado en roles (PDF) . págs. 25–32 . CiteSeerX 10.1.1.55.4755 . doi : 10.1145/286884.286890 . ISBN 978-1-58113-113-0. S2CID 1711956 .
- ↑ "Control de acceso basado en roles: preguntas frecuentes" . csrc.nist.gov . Centro de Investigación de Seguridad Informática. 21 de noviembre de 2016. Consultado el 15 de agosto de 2018 .
- ↑ Ferraiolo, David; Kuhn, Richard (13 de octubre de 1992). "Controles de acceso basados en roles" (PDF) . csrc.nist.gov : 554–563 . Consultado el 15 de agosto de 2018 .
- ↑ AA Elliott y GS Knight (2010). "Explosión de roles: Reconociendo el problema" (PDF) . Actas de la Conferencia Internacional de 2010 sobre Investigación y Práctica en Ingeniería de Software .
- ↑ Korhonen, Kalle. "tapiz-seguridad-jpa" . www.tynamo.org . Consultado el 15 de agosto de 2018 .
- ↑ DR Kuhn (1997). "Exclusión mutua de roles como medio para implementar la separación de funciones en sistemas de control de acceso basados en roles". Actas del segundo taller de la ACM sobre control de acceso basado en roles - RBAC '97 (PDF) . págs. 23–30 . doi : 10.1145/266741.266749 . ISBN 0897919858. S2CID 482687 .
- ↑ Li, Ninghui; Bizri, Ziad; Tripunitara, Mahesh V. (2004). "Sobre roles mutuamente excluyentes y separación de funciones". Actas de la 11.ª conferencia ACM sobre seguridad informática y de comunicaciones (PDF) . págs. 42–51 . CiteSeerX 10.1.1.159.2556 . doi : 10.1145/1030083.1030091 . ISBN 978-1581139617. S2CID 798546 .
- ↑ J. Barkley (1997) " Comparación de modelos simples de control de acceso basados en roles y listas de control de acceso ", En "Actas del segundo taller de ACM sobre control de acceso basado en roles", páginas 127-132.
- ↑ Gates, Carrie (2007). "Requisitos de control de acceso para la seguridad y privacidad de la web 2.0" . IEEE Web . 2 : 12–15 .
- ↑ AC O'Connor y RJ Loomis (marzo de 2002). Análisis económico del control de acceso basado en roles (PDF) . Research Triangle Institute. pág. 145.
- ↑ Sistemas, Hitachi ID. "Más allá de los roles: un enfoque práctico para la gestión de identidades y accesos empresariales" . www.idsynch.com . Consultado el 15 de agosto de 2018 .
- ↑ Sandhu, R., Ferraiolo, DF y Kuhn, DR (julio de 2000). «El modelo NIST para el control de acceso basado en roles» (PDF) . Actas del quinto taller de la ACM sobre control de acceso basado en roles . págs. 47–63 . doi : 10.1145/344287.344301 . ISBN 158113259X. S2CID 14539795 .
{{cite book}}: CS1 maint: varios nombres: lista de autores ( enlace ) - ↑ Ferraiolo, DF, Kuhn, DR y Sandhu, R. (noviembre-diciembre de 2007). "Fundamentos del estándar RBAC: comentarios sobre una crítica del estándar ANSI sobre control de acceso basado en roles" (PDF) . IEEE Security & Privacy . 5 (6): 51–53 . doi : 10.1109/MSP.2007.173 . S2CID 28140142. Archivado del original (PDF) el 17 de septiembre de 2008.
{{cite journal}}: CS1 maint: varios nombres: lista de autores ( enlace ) - ↑ Publicación especial 800-53 Revisión 5 del NIST: Controles de seguridad y privacidad para sistemas y organizaciones de información (PDF) (Informe). Instituto Nacional de Estándares y Tecnología. 23 de septiembre de 2020. pág. 25. doi : 10.6028/nist.sp.800-53r5 . Consultado el 1 de julio de 2026 .
- ↑ Edwards, Jason (2025-03-20). The Cybersecurity Control Playbook: From Fundamentals to Advanced Strategies . John Wiley & Sons. pp. 228–229 . ISBN 978-1-394-33186-4.
- ↑ Amatayakul, Margret (2004). Guía para la auditoría de HIPAA: Herramientas prácticas y consejos para garantizar el cumplimiento . HC Pro, Inc. pág. 145. ISBN 978-1-57839-358-9.
- ↑ "Estándar de seguridad de datos de la industria de tarjetas de pago (PCI): Navegando por PCI DSS: Entendiendo la intención de los requisitos, versión 2.0" (PDF) . Consejo de estándares de seguridad de PCI. Octubre de 2010. pág. 37. Consultado el 27 de marzo de 2026 .
Lecturas adicionales
- David F. Ferraiolo; D. Richard Kuhn; Ramaswamy Chandramouli (2007). Control de acceso basado en roles (2.ª ed.). Artech House. ISBN 978-1-59693-113-8.
Enlaces externos
- Preguntas frecuentes sobre modelos y estándares RBAC
- Controles de acceso basados en roles en el NIST
- Perfil de control de acceso basado en roles jerárquico y del núcleo de XACML
- Modelos de seguridad informática
- Control de acceso