📚 Comparativa MAC vs DAC vs RBAC vs ABAC

📌 RESUMEN VISUAL RÁPIDO

[MAC → Control de Acceso Obligatorio] 

- Basado en etiquetas de seguridad (ej: Confidencial, Alto Secreto). 

- Las reglas NO las controla el usuario, son impuestas por el sistema. 

- Muy rígido → Ideal para entornos militares y altamente confidenciales. 

- Impide que usuarios altos bajen el nivel de seguridad (no "downgrade"). 

- Ejemplo: Sistema que clasifica archivos como "Secreto" y solo autoriza su lectura a usuarios con ese nivel o superior. 


[DAC → Control de Acceso Discrecional] 

- Basado en la propiedad → El dueño del recurso decide quién accede. 

- Muy flexible pero más débil → usuarios pueden ser imprudentes. 

- Propenso a amenazas internas y abuso de cuentas. 

- Ejemplo: En Windows, el dueño de un archivo define los permisos para otros usuarios. 


[RBAC → Control de Acceso Basado en Roles] 

- Basado en la función o rol dentro de la organización. 

- Permisos agrupados en roles → Los usuarios heredan permisos. 

- Menos flexible que DAC pero más organizado. 

- Ejemplo: "Usuarios de Finanzas" pueden ver reportes financieros. "Administradores" pueden cambiar configuraciones. 


[ABAC → Control de Acceso Basado en Atributos] 

- Basado en múltiples atributos (usuario, objeto, entorno, tiempo). 

- Extremadamente flexible → Las políticas son complejas y dinámicas. 

- Ideal para entornos Zero Trust y Cloud. 

- Ejemplo: Solo permitir acceso si el usuario es de "Ventas", está en la red corporativa, y es horario laboral.


✅ RESUMEN PRÁCTICO

- MAC: Rígido, sistema impone reglas → Alta seguridad, baja flexibilidad. 

- DAC: Propietario decide → Muy flexible pero más vulnerable. 

- RBAC: Basado en roles → Balance entre seguridad y facilidad de administración. 

- ABAC: Basado en atributos → Máxima flexibilidad y detalle, pero difícil de gestionar.

🟣 Purple Team → ¿Cómo se ataca y cómo se defiende?

🛡️ Ataques comunes:

  • DAC → Abusar de usuarios que dan permisos excesivos ("privilege creep").

  • RBAC → Elevar privilegios asignándose roles no controlados.

  • ABAC → Manipular atributos (ej: IP falsa o geolocalización falseada).

  • MAC → Muy difícil de atacar, solo mediante explotación de sistema (privilegios de root).

🧹 Defensas:

  • DAC → Auditoría continua de permisos de usuarios.

  • RBAC → Revisiones periódicas de roles y asignaciones.

  • ABAC → Validación estricta de atributos, uso de autenticadores fiables.

  • MAC → Políticas estrictas de gestión de cambios y acceso administrativo.

    Modelos de Control de Acceso (Resumen Claro y Práctico)

    🎯 Objetivo General

    Controlar QUIÉN puede hacer QUÉ en los recursos (archivos, bases de datos, servicios, etc.).

    🟢 MAC - Control de Acceso Obligatorio

    • Sistema impone reglas rígidas.

    • Los usuarios no pueden cambiar permisos.

    • Basado en etiquetas de seguridad (ejemplo: Confidencial, Secreto, Alto Secreto).

    • Máxima seguridad pero mínima flexibilidad.

    • Ideal para entornos altamente regulados (Gobierno, Militar).

    🟡 DAC - Control de Acceso Discrecional

    • El propietario del recurso decide quién accede.

    • Muy flexible, pero poco seguro.

    • Los usuarios pueden compartir acceso sin restricciones.

    • Vulnerable a abusos internos o errores de configuración.

    • Ejemplos comunes: permisos de archivos en Windows, Linux.

    🟠 RBAC - Control de Acceso Basado en Roles

    • Los permisos se asignan según roles organizativos.

    • Los usuarios se asignan a roles y heredan permisos.

    • No es tan flexible como DAC, pero más seguro.

    • Evita que los usuarios gestionen permisos directamente.

    • Ideal para empresas con jerarquías claras.

    🔵 ABAC - Control de Acceso Basado en Atributos

    • Las decisiones de acceso se basan en múltiples atributos:

      • Atributos de usuario (rol, departamento, nivel de autorización).

      • Atributos de recurso (tipo, clasificación).

      • Atributos contextuales (hora, localización, IP).

    • Muy potente y flexible, pero complejo de implementar.

    • Ideal para entornos Cloud y Zero Trust.


    🚨 Red Team (Cómo se podría atacar)

    • MAC → Muy difícil salvo vulnerabilidades o escaladas de privilegios.

    • DAC → Fácil abuso mediante permisos mal configurados o usuarios comprometidos.

    • RBAC → Moderado. Intentar ganar roles privilegiados (escaladas).

    • ABAC → Complejo. Falsificación de atributos (spoofing IP, geolocalización falsa).


    🛡️ Blue Team (Cómo defender)

    • MAC → Hardening del sistema y monitorización de accesos.

    • DAC → Auditorías frecuentes de permisos y herencias.

    • RBAC → Control estricto de asignación de roles y revisión de roles antiguos.

    • ABAC → Validación fuerte de atributos y detección de anomalías contextuales.


    🟣 Purple Team → Cómo se ataca y cómo se defiende

    • Simular abusos en DAC y RBAC para detectar errores.

    • Probar bypass en reglas de ABAC (ejemplo: falsificar contexto).

    • Evaluar sistemas MAC en búsqueda de posibles excepciones o errores de configuración.

    • Implementar pruebas continuas y políticas claras.


    ✅ Resumen Ultra Práctico

    MAC → Seguridad máxima, flexibilidad mínima → Etiquetas y niveles. Ideal militar/gobierno.

    DAC → Propietario manda, muy flexible → Riesgo de abuso. Ideal para entornos simples.

    RBAC → Roles asignados → Balanceado. Ideal para empresas con jerarquías claras.

    ABAC → Basado en atributos dinámicos → Muy potente. Ideal para Cloud/Zero Trust.

    Modelos de Control de Acceso

    MAC (Mandatory Access Control - Obligatorio)
    → 🔐 Quién manda: El sistema (reglas rígidas, etiquetas de seguridad).
    → 🎯 Ejemplo real: Gobierno, Militar → Documentos clasificados (Top Secret, Secret, Confidential).
    → 🚫 Nota clave: Los usuarios no pueden cambiar permisos.

    DAC (Discretionary Access Control - Discrecional)
    → 🔐 Quién manda: El dueño del recurso (usuario propietario).
    → 🎯 Ejemplo real: Archivos personales en Windows, Linux → Yo decido quién lee/mueve mi archivo.
    → 🚫 Nota clave: Flexible pero menos seguro → el dueño puede cometer errores.

    RBAC (Role-Based Access Control - Basado en Roles)
    → 🔐 Quién manda: La organización define roles (Administradores, Contables, RRHH...).
    → 🎯 Ejemplo real: Empresas → Active Directory asigna accesos según el puesto o departamento.
    → 🚫 Nota clave: Muy práctico para grandes organizaciones → gestión centralizada.

    ABAC (Attribute-Based Access Control - Basado en Atributos)
    → 🔐 Quién manda: Políticas dinámicas basadas en atributos (hora, localización, dispositivo, departamento...).
    → 🎯 Ejemplo real: Cloud (AWS, Azure), Zero Trust → Solo se permite crear servidores si es en horario laboral y desde IP segura.
    → 🚫 Nota clave: Muy potente → pero complejo → ideal para cloud y políticas finas de acceso.

    ✅ Ejemplo real combinado en una empresa grande:

    Empresa multinacional (ejemplo hipotético):

    Área Control de Acceso
    Información clasificada (Ejecutivos, Legal) MAC
    Carpetas compartidas de proyecto (Usuarios finales) DAC
    Acceso a ERP, CRM y aplicaciones (Empleados por puesto) RBAC
    Recursos Cloud y acceso remoto con políticas de hora y lugar ABAC

    📌 CONCEPTO CLAVE → Se combinan como capas

    No son excluyentes. En una organización moderna:

    • MAC → Protección muy rígida para datos críticos.

    • DAC → Control individual sobre archivos propios.

    • RBAC → Gestión de accesos para tareas/roles.

    • ABAC → Control dinámico en entornos modernos y Zero Trust.

    🎯 Principio clave: Se combinan según el contexto y el objetivo de seguridad

    Cada modelo de control de acceso tiene ventajas y debilidades.
    Por eso, las organizaciones los combinan de manera estratégica y en capas, dependiendo de:

    👉 Quién accede (rol o usuario)
    👉 Qué activo es (importancia/confidencialidad)
    👉 Dónde está (local, nube, clasificado, público)
    👉 Qué riesgo tiene el acceso (interno, externo, terceros)

    🚀 Ejemplos de combinación en la vida real

    🔐 Información altamente clasificada (Gobierno, Militar, Datos ultra sensibles)

    • MAC → Nadie puede cambiar las reglas → acceso rígido según clasificación.

    📂 Archivos personales de empleados o de uso cotidiano

    • DAC → Los usuarios son dueños de sus propios archivos y controlan el acceso.

    🏢 Aplicaciones empresariales (ERP, CRM, sistemas de RRHH)

    • RBAC → Cada empleado tiene permisos según su puesto → financiero, marketing, IT...

    ☁️ Servicios en la nube, acceso remoto, Zero Trust

    • ABAC → Necesitas acceso solo si:

      • Estás en el país correcto.

      • Es horario laboral.

      • Tu endpoint es seguro.

      • Tienes el rol adecuado.

    📌 Conclusión y Mentalidad Purple Team / CISO

    No se elige solo uno.

    • Se usan todos a la vez según la situación → creando capas.

    • Es como un castillo con:

      • 🚪 Puerta rígida de entrada (MAC) para lo más sensible.

      • 🗝️ Puertas individuales en las habitaciones (DAC) para uso personal.

      • 🛡️ Guardias que permiten pasar según el uniforme (RBAC) para el trabajo diario.

      • 📡 Sensores inteligentes que bloquean acceso fuera de horario (ABAC) para máxima seguridad.

    El gran reto (y tu futura labor como Purple Team/CISO) es:
    👉 Diseñar qué modelo va en cada sitio.
    👉 No caer en sobrecargar o dejar demasiado laxo.
    👉 Balancear seguridad + usabilidad.

      📌 Cómo combinar (Mentalidad Purple Team)

      👉 Lo ULTRA SENSIBLE → MAC
      👉 Lo PERSONAL / cotidiano → DAC
      👉 Lo CORPORATIVO / organizado → RBAC
      👉 Lo EXPUESTO y DINÁMICO → ABAC

      Estrategia ideal:
      En las organizaciones se mezclan para formar capas de defensa según el riesgo y el contexto.

      Ejemplo real:

      • Base de datos sensible → MAC

      • Acceso diario a proyectos → RBAC

      • Trabajo en la nube con condiciones → ABAC

      • Carpetas personales del usuario → DAC

      Resumen práctico

      MAC → Control total centralizado. Uso en datos altamente clasificados o regulados. 

      DAC → Control del usuario. Uso en archivos personales o grupos pequeños. 

      RBAC → Control por roles. Uso en organizaciones estructuradas con jerarquías claras. 

      ABAC → Control dinámico. Uso en entornos en la nube, Zero Trust y accesos condicionados. 

      Combinación: Se usan juntos como capas de seguridad, según tipo de activo, usuario, riesgo y contexto. 

      Es la estrategia recomendada para proteger todos los frentes.  

      Purple Mystara - Cristina Martínez Girol
      Todos los derechos reservados 2025
      Creado con Webnode Cookies
      ¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
      Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

      Configuración avanzada

      Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.