Pasar al contenido principal

Permisos

En el ámbito de la seguridad informática, el término “permisos” abarca un espectro muy amplio. Conocidos también como derechos y privilegios, los permisos son detalles de acceso indicados por los usuarios o por los administradores de una red que establecen los derechos de acceso a los archivos de esa red o a otro tipo de contenidos. Por ejemplo, una persona que trabaja en el departamento de atención al cliente de una empresa puede tener el privilegio de ver la información de un cliente, que estaría bloqueada para empleados de otras áreas.

Según su contexto de aplicación y uso, hay distintos tipos de permisos:

En el caso de un directorio activo, los permisos definen el nivel de acceso que los usuarios y grupos tienen respecto a un objeto. Existen tres tipos de permisos de dominio:

  • Permisos directos: son asignados directamente a un usuario o grupo. En este caso, los usuarios y grupos tienen permiso sobre un objeto y pueden realizar tareas administrativas sobre el mismo.
  • Permisos heredados: si los usuarios tienen permiso sobre un dominio, heredan el permiso en todos los objetos del dominio, y lo mismo sucede con los grupos. Estos permisos no se pueden revocar, aunque sí que se puede denegar el permiso de acceso a algunos tipos de objetos.
  • Permisos efectivos: son todos los permisos de un usuario o grupo, ya sean directos o heredados.

 Otro tipo de permisos lo encontramos a la hora de acceder a un archivo o carpeta:

  • Permisos de lectura: el usuario o grupo puede ver el contenido de un archivo o carpeta, pero no podrá realizar ninguna acción sobre este.
  • Permisos de escritura: el usuario o grupo puede modificar el contenido de un archivo o carpeta, incluso borrarlo. Tener permiso de escritura implica tener permiso de lectura.
  • Permiso de ejecución: en caso de que el archivo sea una aplicación, este permiso permite la ejecución de un usuario o grupo.

En el caso de Unix, estos permisos pueden especificarse para el usuario activo, para el grupo y para el resto de los usuarios. Tal como se desprende de estas tipologías, no todos los usuarios tienen los mismos privilegios de acceso. Las organizaciones suelen seguir los principios de:

  • Mínimo privilegio (PoLP): este principio se fundamenta en que un usuario debe tener los permisos mínimos para poder desempeñar sus funciones.
  • Defensa en profundidadeste principio se basa en la idea de que todo sistema es vulnerable, por lo tanto, no se puede depender de un único sistema de seguridad.
  • Superficie de exposición: consiste en llevar la cuenta de todos los recursos expuestos con posibilidad de ser atacados.

Siguiendo estos principios, las organizaciones establecen una jerarquía de permisos y clasificación de la información. Los grupos y dominios simplifican la labor de asignación y baja de permisos.

Un ciberataque importante vinculado a los permisos es el de escalada de privilegios. Consiste en explotar un error que permita a un usuario sin privilegios obtener permisos elevados. Un ejemplo de este tipo de ataque podría ser explotar una vulnerabilidad del usuario administrador o root, de esa forma un usuario de la empresa podría conseguir permisos de superusuario. Para protegerse de los ataques que vulneran la estructura de permisos de una organización es importante:

  • Reforzar las políticas de contraseñas.
  • Revisar que la organización cumpla los tres principios de los privilegios de acceso detallados más arriba.
  • Revisar la programación y mantener actualizadas las aplicaciones para evitar vulnerabilidades.
  • Mantener la seguridad en las bases de datos de usuarios, a fin de evitar ataques de inyección SQL.