🛡️ Gestión de Identidad y Acceso (IAM)

📘 ¿Qué es?

Cómo diseñar, implementar y mantener sistemas de autenticación y autorización adaptados a entornos locales, en la nube, híbridos y públicos. Dominar la elección de tecnologías como MFA, SSO, biometría, autenticación sin contraseña y federación de identidades en función del equilibrio entre confidencialidad, integridad y disponibilidad (CIA).

🧩 Aplicaciones y herramientas reales

Categoría Ejemplos reales
MFA / 2FA Google Authenticator, Microsoft Authenticator, Authy
Biometría Windows Hello, Face ID, Touch ID
Tokens físicos YubiKey, Titan Key, tarjetas inteligentes NFC
Gestores de contraseñas Bitwarden, 1Password, KeePassXC, LastPass
SSO (Single Sign-On) Active Directory + Kerberos, Okta, Azure AD
Federación / IdP-SSO SAML (AWS, Google Workspace), OAuth (Spotify, GitHub)
IAM Cloud AWS IAM, Azure Active Directory, Google Identity Platform
Control de acceso granular RBAC en Microsoft 365, ABAC en AWS

🎯 ¿Qué hace un líder Red / Blue / Purple Team al respecto?

Equipo Enfoque
🔴 Red Team Explora vectores como phishing, bypass de MFA, abuso de tokens JWT.
🔵 Blue Team Diseña y audita autenticaciones seguras, privilegios mínimos, políticas de expiración, monitoreo de cuentas.
🟣 Purple Team Simula ataques a tokens, claves y roles; luego implementa defensas como PAM, logging de accesos, detección de anomalías.

🛠️ Directrices prácticas para implementación IAM

  1. Evaluar requerimientos CIA según el entorno:

    • ¿Requiere alta confidencialidad? → MFA, biometría, tokens físicos.

    • ¿Alta disponibilidad? → SSO sin interrupciones.

    • ¿Alta integridad? → Firmas digitales, autenticación mutua.

  2. Elegir el modelo de autenticación apropiado:

    • MFA o sin contraseña según el riesgo.

    • Contraseñas robustas + gestor de contraseñas.

    • Verificación en dos pasos como refuerzo adicional.

  3. Diseñar modelo de control de acceso:

    • DAC para entornos de usuario discrecional (equipos personales).

    • MAC para información clasificada o entornos militares.

    • RBAC en empresas con jerarquías claras.

    • ABAC para entornos complejos (nube, Zero Trust).

  4. Principio de mínimo privilegio:

    • Asignar permisos necesarios, ni más ni menos.

    • Revisiones periódicas de cuentas, roles y accesos.

  5. Políticas de acceso condicional:

    • Por IP, geolocalización, horario, tiempo de uso.

  6. Aprovisionamiento y desaprovisionamiento seguro:

    • Emisión de identidades y activos verificada.

    • Revocación inmediata al finalizar contrato/labor.

  7. Interoperabilidad federada:

    • Implementar SAML o OAuth para compatibilidad cloud + SSO.

    • Usar JWT para identidad segura en APIs RESTful.

✅ Resumen práctico

MFA → Protege cuentas con múltiples factores (algo que sé, tengo o soy).
SSO → Un solo inicio de sesión da acceso a múltiples servicios.
SAML / OAuth → Permiten federación segura entre sistemas y nubes.
RBAC / ABAC → Asignan permisos según roles o atributos.
PAM / JIT / ZSP → Limitan y monitorizan los accesos privilegiados.
IAM completo → Implica políticas, autenticación segura, control de accesos, tokens, auditorías y federación.

🧠 Esquema visual práctico

1. Autenticación segura: - MFA - Biometría / Sin contraseña - Gestor de contraseñas 

2. Control de acceso: - DAC / MAC / RBAC / ABAC - Mínimo privilegio - Revisiones periódicas 

3. Gestión de cuentas: - Aprovisionamiento seguro - Desaprovisionamiento inmediato - Accesos temporales y controlados 

4. Acceso federado: - SAML / OAuth / OpenID - SSO entre nubes y servicios locales 

5. Protección avanzada: - PAM / Just-In-Time - Auditorías / Zero Trust

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar