Skip to content

Explica DAC, MAC, RBAC y ABAC. ¿Cuándo elegirías cada uno?

Respuesta breve

DAC permite al propietario de los datos conceder el acceso a su discreción; MAC aplica el acceso de forma centralizada mediante etiquetas/habilitaciones y es no discrecional; RBAC concede el acceso a través de roles laborales; ABAC evalúa atributos (usuario, recurso, entorno) frente a una política para decisiones detalladas y contextuales.

El control de acceso es un dominio central del CISSP, y esta comparación demuestra si sabes asociar un modelo a un entorno real en lugar de recitar acrónimos.

DAC — Control de acceso discrecional

El propietario del recurso decide quién obtiene acceso y a qué nivel, normalmente mediante ACL. Es flexible y común en sistemas operativos comerciales (permisos de archivos), pero escala mal y es arriesgado: un solo usuario puede compartir en exceso, y es vulnerable al malware que actúa con los derechos del usuario.

MAC — Control de acceso obligatorio

El acceso es no discrecional y lo aplica el sistema en función de etiquetas de seguridad (por ejemplo Confidencial, Secreto, Alto secreto) comparadas con la habilitación de un sujeto, además de la necesidad de conocer. Los propietarios no pueden anularlo. Es rígido y de alta garantía, por lo que domina los entornos militares, de inteligencia y otros contextos clasificados.

RBAC — Control de acceso basado en roles

Los permisos se asocian a roles que se corresponden con funciones laborales; los usuarios heredan el acceso al ostentar un rol. Escala bien en la empresa y simplifica los cambios de alta/cambio/baja, pero sufre de explosión de roles cuando se acumulan demasiados roles muy específicos.

ABAC — Control de acceso basado en atributos

Las decisiones se calculan en el momento de la solicitud a partir de los atributos del sujeto, el recurso, la acción y el entorno (hora, ubicación, postura del dispositivo) evaluados frente a una política. Es el modelo más detallado y contextual — «permitir si departamento = finanzas Y en la red Y en horario laboral» — a costa de la complejidad de la política. Sustenta los diseños modernos de zero trust.

Qué buscan los entrevistadores

Identificar correctamente quién controla el acceso en cada modelo (propietario, sistema/etiqueta, rol, política/atributos), señalar MAC como no discrecional y basado en etiquetas, y conectar la explosión de roles de RBAC con la flexibilidad de ABAC, todo anclado en el mínimo privilegio.

Posibles preguntas de seguimiento

  • ¿Por qué se prefiere MAC en entornos militares y clasificados?
  • ¿Qué es la explosión de roles y cómo ayuda ABAC?
  • ¿Cómo se aplica el principio de mínimo privilegio en estos modelos?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.