Contabilidad (AAA)
¿Qué es Contabilidad (AAA)?
Contabilidad (AAA)Tercer pilar del modelo AAA: registrar qué hizo una identidad autenticada, cuándo, desde dónde y sobre qué recursos, con fines de auditoría y facturación.
La contabilidad en el modelo AAA (autenticación, autorización y contabilidad) captura y conserva registros de actividad que vinculan cada acción con una identidad verificada, aportando la evidencia necesaria para monitorización, investigación forense, cumplimiento y facturación interna. Los datos típicos incluyen inicios y cierres de sesión, sesiones, comandos ejecutados, bytes transferidos y recursos consultados. Protocolos como RADIUS, TACACS+ y Diameter definen cómo los dispositivos de red envían registros a servidores centralizados, mientras las plataformas SIEM y de logs los consolidan. Una contabilidad sólida exige almacenamiento inalterable, sincronización horaria precisa y retención conforme a la normativa.
La contabilidad estandarizada es anterior a la observabilidad moderna. El accounting de RADIUS (RFC 2866) define paquetes Accounting-Request cuyo Acct-Status-Type es Start, Interim-Update o Stop, y que transportan la duración de la sesión y los Acct-Input/Output-Octets; TACACS+ (RFC 8907) separa la contabilidad de la autenticación y la autorización, de modo que la auditoría a nivel de comandos en los routers puede registrarse de forma independiente; y Diameter (RFC 6733) moderniza el modelo para redes móviles e IMS. En la nube, servicios como AWS CloudTrail, Azure Activity Log y Google Cloud Audit Logs cumplen el mismo papel, registrando cada llamada de API del plano de control con la identidad del solicitante, la IP de origen y la marca de tiempo.
La contabilidad sustenta el no repudio: como cada registro está vinculado a una identidad autenticada, un usuario no puede negar de forma creíble una acción. La normativa la hace obligatoria: el Requisito 10 de PCI DSS exige registrar todo acceso a los datos de titulares de tarjetas, y NIST SP 800-92 (Guide to Computer Security Log Management) ofrece la guía de implementación de referencia. Dado que los atacantes suelen borrar los logs para ocultar su rastro (MITRE ATT&CK T1070, Indicator Removal), una contabilidad robusta envía los registros fuera del host en tiempo casi real a un almacenamiento WORM o de solo anexado, los firma o encadena mediante hashes para garantizar su integridad, y sincroniza los relojes con NTP para poder correlacionar eventos entre sistemas durante la respuesta a incidentes.
flowchart LR U[Usuario / dispositivo] -->|acción| N[Dispositivo de red o aplicación] N -->|Accounting-Request RADIUS / TACACS+| S[Servidor AAA] S --> L[(Almacén de logs inalterable)] L --> M[Correlación en SIEM] M --> R[Auditoría / facturación / forense]
● Ejemplos
- 01
Registros RADIUS de inicio, fin y bytes consumidos de una sesión VPN.
- 02
Logs de auditoría en la nube que registran cada llamada de API con identidad e IP origen.
● Preguntas frecuentes
¿Qué es Contabilidad (AAA)?
Tercer pilar del modelo AAA: registrar qué hizo una identidad autenticada, cuándo, desde dónde y sobre qué recursos, con fines de auditoría y facturación. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Contabilidad (AAA)?
Tercer pilar del modelo AAA: registrar qué hizo una identidad autenticada, cuándo, desde dónde y sobre qué recursos, con fines de auditoría y facturación.
¿Cómo defenderse de Contabilidad (AAA)?
Las defensas contra Contabilidad (AAA) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Contabilidad (AAA)?
Nombres alternativos comunes: Auditoría, Registro de auditoría.