IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

CIS Control 6: Control de acceso, que cada quien pueda solo lo que necesita

14/07/2026 3 min de lectura Rubén Espinoza

Si el Control 5 se ocupa de qué cuentas existen, el sexto Control CIS se ocupa de la pregunta siguiente y decisiva: ¿qué puede hacer cada cuenta? El control de acceso define los permisos, y su principio rector es uno de los más importantes de toda la seguridad: el privilegio mínimo. Cada usuario, cada sistema, debe poder acceder únicamente a lo que necesita para su trabajo. Ni un permiso de más.

Por qué el privilegio mínimo lo cambia todo

Cuando una cuenta tiene más permisos de los que necesita, esos permisos de más no ayudan a su dueño —que no los usa— pero sí ayudan a quien comprometa esa cuenta. Si el atacante roba las credenciales de alguien de contabilidad y esa cuenta, por comodidad, tenía acceso a media empresa, el daño es enorme. Si esa cuenta solo podía tocar lo de contabilidad, el daño queda contenido. El privilegio mínimo no evita que te comprometan una cuenta; limita cuánto daño puede hacer quien la comprometa. Es la diferencia entre un incidente contenido y una catástrofe.

El otro pilar: autenticación multifactor (MFA)

El control de acceso también exige verificar de verdad que quien usa una cuenta es su dueño, y ahí la medida estrella es la autenticación multifactor (MFA): además de la contraseña, un segundo factor (un código, una app, una llave física). Su valor es brutal: aunque un atacante robe o adivine la contraseña, sin el segundo factor no entra. La MFA es, medida por medida, una de las defensas más eficaces que existen contra el robo de credenciales, que es una de las vías de ataque más comunes. Si tuvieras que elegir una sola cosa para mejorar tu seguridad hoy, MFA estaría en la conversación.

Qué pide en la práctica

  • Privilegio mínimo: otorgar solo el acceso necesario, y revisarlo (los permisos tienden a acumularse con el tiempo).
  • MFA donde importa: accesos remotos, cuentas administrativas, aplicaciones sensibles, y cada vez más, en todo.
  • Control especial del acceso privilegiado: las cuentas de administrador se gestionan con rigor extra —es el terreno de la gestión de accesos privilegiados (PAM)—.
  • Revisar accesos periódicamente: quitar lo que sobra, sobre todo cuando alguien cambia de rol y arrastra permisos viejos.

El aterrizaje honesto

El enemigo del privilegio mínimo es la comodidad: dar acceso amplio "para que no molesten pidiendo permisos" es fácil y tentador, y es exactamente cómo se acumula el riesgo. La disciplina de dar poco y ampliar solo cuando se justifica es más trabajo al principio y muchísimo menos daño después. Y activar MFA, que a veces genera resistencia por la fricción del segundo paso, es de las decisiones con mejor retorno de seguridad que una organización puede tomar. Junto con la gestión de cuentas, este control es el corazón de tratar la identidad como el perímetro real de tu seguridad.

#ciberseguridad #cis #acceso #mfa

Preguntas frecuentes

¿MFA es infalible contra el robo de cuentas?

No infalible, pero sí extraordinariamente efectiva: detiene la gran mayoría de los ataques basados en contraseñas robadas o adivinadas, porque el atacante no tiene el segundo factor. Existen técnicas para eludir ciertos tipos de MFA, por lo que algunos factores son más fuertes que otros, pero tener MFA es incomparablemente mejor que no tenerla. Es de las medidas de mayor impacto y menor costo disponibles.

¿El privilegio mínimo no vuelve todo lento y burocrático?

Bien implementado, no debería. La idea no es negar accesos legítimos, sino no otorgar los innecesarios y poder concederlos ágilmente cuando se justifican. El costo de un poco más de gestión de permisos es minúsculo comparado con el de una cuenta con acceso excesivo que es comprometida. La comodidad de dar acceso amplio se paga carísima el día del incidente.

¿Debo poner MFA en absolutamente todo?

La prioridad es donde más importa: accesos remotos, cuentas de administrador, correo y aplicaciones con datos sensibles. La tendencia moderna es extender MFA lo más ampliamente posible, idealmente a todos los accesos, porque el robo de credenciales es un vector muy común. Empieza por lo crítico y expándelo. Cada sistema importante sin MFA es una cuenta a un solo factor de ser comprometida.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)