Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Español
Entry № 092

Autorización

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Autorización?

AutorizaciónProceso que determina qué puede hacer una identidad ya autenticada: qué recursos, acciones y condiciones le están permitidos.

La autorización (AuthZ) sigue a la autenticación: una vez que un usuario, servicio o dispositivo ha demostrado quién es, el sistema debe decidir si esa identidad puede ejecutar la acción solicitada sobre un recurso concreto. Las decisiones pueden basarse en roles (RBAC), atributos y políticas (ABAC), clasificaciones (MAC) o el criterio del propietario (DAC), y normalmente se aplican mediante un policy decision point que evalúa el sujeto, el recurso, la acción y el entorno, con un policy enforcement point que controla la solicitud. Las arquitecturas modernas externalizan la política con estándares como los scopes de OAuth 2.0 (RFC 6749), los claims de OpenID Connect, XACML o Rego/Open Policy Agent (OPA), manteniendo las reglas fuera del código de la aplicación.

La autorización es el control más propenso a fallos de toda la web. OWASP clasificó el control de acceso roto (Broken Access Control) como A01 — el riesgo número 1 — en su Top 10 de 2021, presente en el 94 % de las aplicaciones analizadas, una posición que conserva en la edición de 2025. El fallo clásico es IDOR (Insecure Direct Object Reference): cambiar un id numérico en una URL o en una llamada a la API para leer datos de otro inquilino. En 2022, la brecha de Optus en Australia expuso los registros de aproximadamente 10 millones de clientes a través de un endpoint de API no autenticado y enumerable, y el IDOR de Instagram de 2019 expuso publicaciones e historias privadas.

Una clase más sutil es el confused deputy, en el que un componente con más privilegios es engañado para que abuse de su autoridad en favor del atacante: es la raíz conceptual de CSRF y SSRF. Defensas: denegar por defecto, aplicar la autorización en el servidor en cada solicitud (nunca confiar en el cliente), comprobar la propiedad del objeto y no solo la autenticación, preferir identificadores no adivinables, registrar las decisiones de acceso y probar de forma continua la escalada de privilegios horizontal y vertical.

flowchart LR
  U[Solicitud autenticada] --> PEP[Policy Enforcement Point]
  PEP --> PDP[Policy Decision Point]
  CTX[Sujeto recurso accion entorno] --> PDP
  POL[(Politica RBAC ABAC Rego)] --> PDP
  PDP -->|Permitir| R[Acceder al recurso]
  PDP -->|Denegar| X[403 Forbidden y registro de auditoria]

Ejemplos

  1. 01

    Conceder a un agente de soporte acceso de solo lectura a los tickets de clientes pero no a los datos de facturación.

  2. 02

    Tokens de acceso OAuth 2.0 emitidos con scopes limitados como "orders:read".

Preguntas frecuentes

¿Qué es Autorización?

Proceso que determina qué puede hacer una identidad ya autenticada: qué recursos, acciones y condiciones le están permitidos. Pertenece a la categoría de Identidad y acceso en ciberseguridad.

¿Qué significa Autorización?

Proceso que determina qué puede hacer una identidad ya autenticada: qué recursos, acciones y condiciones le están permitidos.

¿Cómo defenderse de Autorización?

Las defensas contra Autorización combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Autorización?

Nombres alternativos comunes: AuthZ, Control de acceso.

Términos relacionados

Véase también