OP.ACC.5 Mecanismo de autenticación
Finalidad
Este documento define los mecanismos de autenticación conforme al control OP.ACC.5 del Anexo II del Real Decreto 311/2022, aplicable a un sistema de categoría ALTO. El mecanismo de autenticación permite validar la identidad de un usuario, lo cual es crítico porque la identificación del usuario es, en general, fácilmente accesible.
Factores de autenticación
Los mecanismos de autenticación recurren a uno o varios de los siguientes factores:
- Algo que se conoce: un secreto (contraseña, PIN).
- Algo que se tiene: un objeto (tarjeta, token, dispositivo).
- Algo que es propio del usuario: características biométricas.
Para categoría ALTO, el ENS establece los siguientes requisitos por factor:
| Factor de autenticación | Ejemplos | Requisito para categoría ALTO |
|---|---|---|
| Algo que se sabe | Contraseñas, PIN | Uso con cautela; debe combinarse con otro factor |
| Algo que se tiene | Tokens, tarjetas | Elementos criptográficos acreditados por el CCN |
| Algo que se es | Biometría | Aceptable como factor complementario |
En categoría ALTO se requiere autenticación de doble factor para todos los accesos.
Política de contrasenas
La organización aplica la siguiente política de contrasenas, diferenciando entre usuarios estándar y usuarios con privilegios de administración:
| Parámetro | Usuario estándar | Usuario con privilegios |
|---|---|---|
| Longitud mínima | 12 caracteres | 16 caracteres |
| Complejidad | Mayúsculas, minúsculas, números y caracteres especiales | Mayúsculas, minúsculas, números y caracteres especiales |
| Historial | No repetir las últimas 12 | No repetir las últimas 24 |
| Caducidad | 90 días | 60 días |
| Intentos fallidos antes de bloqueo | 3 | 3 |
| Duración del bloqueo | 30 minutos | Desbloqueo manual por el Responsable del Sistema |
Las contrasenas se verifican contra diccionarios de contrasenas comprometidas y se rechazan si contienen patrones predecibles o información personal obvia.
Gestión de credenciales
- Las credenciales se activan una vez estén bajo control efectivo del usuario (por ejemplo, contrasena temporal de un solo uso).
- Las credenciales son únicas y exclusivas para cada usuario; queda prohibida su divulgación o uso compartido.
- El usuario reconoce la recepción de sus credenciales y acepta el deber de custodia diligente, protección de su confidencialidad e información inmediata en caso de pérdida.
- Las credenciales caducan con la periodicidad marcada por la política, aunque la entidad haga uso habitual de ellas.
- Las credenciales se retiran cuando la entidad termina su relación con el sistema o tras un período definido de no utilización.
Suspensión por inactividad
Para categoría ALTO, las credenciales de cualquier usuario que no acceda al sistema durante un período continuado de 6 meses se suspenden automáticamente. Este control se aplica a todos los servicios del alcance (AWS IAM, Google Workspace, GitHub, etc.).
Proceso de verificación:
- El Responsable del Sistema revisa trimestralmente los registros de último acceso de todas las cuentas.
- Las cuentas con más de 5 meses de inactividad reciben un aviso preventivo al usuario y a su responsable directo.
- Cumplidos los 6 meses sin acceso, la cuenta se suspende (no se elimina) y se notifica al Responsable de Seguridad.
Proceso de reactivación:
- El usuario o su responsable solicita la reactivación justificando la necesidad.
- El Responsable de la Información o del Servicio autoriza la reactivación.
- El Responsable de Seguridad valida que la solicitud es coherente con la política vigente.
- El Responsable del Sistema reactiva la cuenta y fuerza un cambio de contraseña en el primer acceso.
- Se registra la reactivación en el log de auditoría.
La suspensión por inactividad es independiente del bloqueo por intentos fallidos de autenticación. El bloqueo por intentos fallidos protege contra ataques de fuerza bruta y se desbloquea tras el período definido o por intervención del administrador. La suspensión por inactividad protege contra cuentas huérfanas y requiere un proceso formal de reactivación.
Gestión de sesiones
| Parámetro | Usuario estándar | Usuario con privilegios |
|---|---|---|
| Timeout por inactividad | 30 minutos | 15 minutos |
| Duración máxima de sesión | 8 horas | 4 horas |
| Sesiones concurrentes | Máximo 3 | Máximo 1 |
El sistema informa al usuario del último acceso exitoso (fecha y hora) tras la autenticación, permitiendo detectar posibles suplantaciones.
Responsabilidades
| Rol ENS | Responsabilidad |
|---|---|
| Responsable de Seguridad | Definir la política de autenticación, aprobar métodos y tecnologías |
| Responsable del Sistema | Implementar y mantener los mecanismos de autenticación |
| Responsable del Servicio | Garantizar que los usuarios del servicio cumplen la política |
| Responsable de la Información | Garantizar que los usuarios de la información cumplen la política |
Documentos de referencia
- Real Decreto 311/2022, Anexo II, OP.ACC.5
- Guía CCN-STIC-807 - Criptología de empleo en el ENS
- Guía CCN-STIC-436 - Herramientas de análisis de contrasenas
- ISO/IEC 27002:2013: 9.2.4, 9.3.1, 9.4.3
- NIST SP 800-53 rev. 4: IA-2, IA-5, IA-7
- NIST SP 800-63B - Digital Identity Guidelines
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
- Approver: JD-001 General Manager