El control de acceso basado en atributos (ABAC) es un modelo de control de acceso en el que la decisión de conceder o denegar el acceso se toma en función de los atributos que describen al usuario, al recurso, a la acción y al contexto de la operación. A diferencia de los modelos basados únicamente en roles, ABAC no se limita a asignar al usuario a un grupo o a un puesto. En su lugar, evalúa un conjunto de reglas de política de acceso, por ejemplo, si el operador forma parte del equipo de compliance, trabaja desde una estación dentro de la red interna, tiene autorización para revisar material probatorio y si el material pertenece a un caso concreto o tiene un estado de retención determinado.
Control de acceso basado en atributos (ABAC): definición
ABAC está descrito formalmente en las publicaciones del NIST, sobre todo en NIST Special Publication 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations, de 2014. El NIST define ABAC como un método de control de acceso en el que la autorización se determina mediante la evaluación de los atributos del sujeto, del objeto, de la operación y del entorno frente a políticas. En la práctica, esto significa que el sistema no solo pregunta “¿quién eres?”, sino también “¿a qué quieres acceder?”, “¿qué quieres hacer?” y “¿en qué condiciones?”.
En el contexto de la anonimización de fotos y grabaciones de vídeo, ABAC tiene relevancia operativa. El material original, antes del difuminado de rostros o matrículas, contiene datos personales. El acceso a ese material debería ser más restrictivo que el acceso a la versión ya anonimizada. Por ello, ABAC permite separar permisos entre las distintas etapas de trabajo con el archivo: importación, revisión del material sin procesar, ejecución de la detección, corrección manual de máscaras, exportación y eliminación de archivos temporales.
En un sistema de anonimización de vídeo e imágenes, la política ABAC puede tener en cuenta no solo al usuario, sino también la clase de material, la base jurídica del tratamiento, la jurisdicción, la fase del procedimiento y la ubicación del entorno. Esto es especialmente importante en implementaciones on-premise, donde la organización es responsable de las medidas técnicas y organizativas de seguridad, de conformidad con los artículos 24, 25 y 32 del RGPD.
El papel de ABAC en la anonimización de fotos y grabaciones de vídeo
El modelo ABAC resulta útil allí donde un mismo archivo de vídeo pasa por varias etapas de procesamiento y, en cada una de ellas, debería ser visible para un grupo distinto de personas. Esto se aplica especialmente a material de videovigilancia, grabaciones de cámaras corporales, documentación de inspección, materiales formativos y contenidos preparados para su publicación.
En este escenario, ABAC puede imponer restricciones de acceso precisas:
- al material sin procesar: solo para personas con una justificación funcional legítima, por ejemplo, el operador responsable del caso o una persona que desempeñe la función de delegado de protección de datos, si ello está justificado por el alcance de sus funciones,
- a la función de detección automática: para usuarios con permiso para iniciar el proceso de detección de rostros y matrículas,
- a la edición manual: para operadores responsables de corregir áreas que el sistema no detecta automáticamente, como documentos o contenido mostrado en monitores,
- a la exportación de la versión anonimizada: para las personas que publican o remiten el material a terceros,
- a la eliminación de archivos originales: para el administrador de retención o la persona que aprueba el cierre del caso.
En la práctica, esto reduce el riesgo de acceso excesivo a datos personales. Es coherente con el principio de minimización y con el principio de integridad y confidencialidad del artículo 5, apartado 1, letras c) y f) del RGPD.
Atributos y políticas ABAC en sistemas de anonimización
La eficacia de ABAC depende de la calidad de los atributos y de la precisión de las políticas. Los atributos deben estar actualizados, ser medibles y verificables por el sistema. En entornos que procesan imágenes y vídeo suelen utilizarse varias clases de atributos.
Clase de atributo | Ejemplos | Uso en la anonimización
|
|---|---|---|
Sujeto | rol profesional, departamento, certificación, nivel de permisos, estado laboral | determina quién puede ver el material original y quién puede exportar el resultado |
Objeto | tipo de archivo, clasificación de confidencialidad, origen de la grabación, identificador del caso, estado de retención | distingue, por ejemplo, entre material probatorio y material destinado a publicación |
Operación | lectura, anotación, ejecución de la detección, edición, exportación, eliminación | permite conceder acceso solo a acciones concretas |
Entorno | dirección IP, segmento de red, hora del día, estación de trabajo, país de tratamiento | limita las operaciones a un entorno on-premise seguro |
Una política de ejemplo podría ser la siguiente: el acceso a una grabación sin procesar de videovigilancia solo está permitido cuando el usuario tiene la condición de empleado activo, pertenece a la unidad responsable del caso, utiliza un dispositivo gestionado por la organización y se encuentra dentro de la red interna. La exportación de la versión anonimizada puede autorizarse a un grupo más amplio, pero sin derecho a descargar el material original.
Contexto técnico de ABAC y detección de rostros y matrículas
En los sistemas de anonimización, la decisión de acceso y el propio proceso de detección son dos capas diferentes. ABAC no sirve para reconocer rostros ni matrículas. Sirve para controlar quién y en qué condiciones puede iniciar y utilizar estas funciones. La detección de rostros y matrículas suele basarse en modelos de aprendizaje automático, normalmente de deep learning. El modelo de IA se entrena previamente con datos adecuados y después se utiliza para localizar objetos en la imagen o en fotogramas sucesivos de vídeo que deben difuminarse.
En la práctica, esto implica una separación de responsabilidades:
- la capa de IA se encarga de la detección de rostros y matrículas,
- la capa de políticas ABAC se encarga de determinar quién puede iniciar la detección, ver el resultado y aprobar la exportación.
En Gallio PRO, es importante definir correctamente estos límites. El software difumina automáticamente rostros y matrículas, pero no detecta automáticamente logotipos, tatuajes, placas identificativas, documentos ni la imagen mostrada en pantallas de monitor. Estos elementos pueden difuminarse manualmente en el editor. Desde la perspectiva de ABAC, esto significa que la política puede separar el permiso de anonimización automática del permiso de intervención manual sobre el material.
Parámetros y métricas clave de ABAC
ABAC no se evalúa solo desde la perspectiva de la seguridad, sino también de la eficiencia y la auditabilidad. En sistemas que trabajan con archivos de vídeo de gran tamaño, una autorización demasiado lenta puede reducir la eficacia de los procesos. Por eso conviene medir los parámetros básicos del funcionamiento de las políticas.
Parámetro | Significado | Sentido práctico
|
|---|---|---|
Decision latency | tiempo de evaluación de la política de acceso | influye en la fluidez de la apertura de archivos y de la ejecución de operaciones |
Policy coverage | porcentaje de casos cubiertos por una política formal | muestra si existen vías de acceso fuera del control |
False allow / false deny | concesión o denegación de acceso errónea | mide el riesgo operativo y el impacto en el trabajo del equipo |
Audit completeness | integridad del rastro de auditoría | permite demostrar quién realizó una determinada operación |
Attribute freshness | actualización de los atributos | reduce el riesgo de mantener accesos tras un cambio de rol o de proyecto |
Conviene diferenciar las métricas de ABAC de las métricas del modelo de detección. La eficacia de la detección de rostros o matrículas se mide con otros indicadores, como precision, recall o intersection over union. ABAC no mejora la calidad de la detección, pero limita la exposición de los datos antes y después de la anonimización.
ABAC, RGPD, seguridad de los datos e implementaciones on-premise
ABAC contribuye al cumplimiento de los requisitos del RGPD, pero por sí mismo no garantiza el cumplimiento automático. Es una medida técnica que ayuda a aplicar las reglas de acceso a materiales que contienen imágenes de personas o matrículas. Esto es especialmente importante allí donde la organización procesa el material localmente, sin transferirlo a servicios en la nube.
En un entorno on-premise, ABAC puede limitar el acceso a los datos originales a un grupo muy reducido de usuarios. Esto es especialmente beneficioso en materiales de alto riesgo, como grabaciones de intervenciones, material probatorio o grabaciones realizadas en espacios públicos. Al mismo tiempo, la organización debe garantizar la coherencia de ABAC con la gestión de identidades, la retención y la política de estaciones de trabajo.
También conviene recordar que el rastro de auditoría debe documentar operaciones administrativas y de proceso, pero no debería convertirse por sí mismo en un conjunto de datos personales que exceda la finalidad. En el contexto de Gallio PRO, es importante señalar que el software no guarda en los registros los resultados de la detección de rostros y matrículas; no obstante, el alcance de los registros puede seguir incluyendo otros datos operativos, según la configuración del sistema.
Retos y limitaciones de ABAC
ABAC ofrece una gran flexibilidad, pero requiere un modelo maduro de gestión de atributos. Cuantas más políticas y excepciones existan, mayor será el riesgo de errores de configuración. También puede surgir el problema de la falta de coherencia entre las fuentes de atributos, por ejemplo, cuando el departamento de RR. HH., el sistema IAM y el repositorio de casos tienen datos distintos sobre el mismo usuario.
Las limitaciones más frecuentes son las siguientes:
- la complejidad de las políticas crece con el número de excepciones organizativas,
- atributos erróneos o desactualizados conducen a decisiones de acceso incorrectas,
- resulta difícil probar el conjunto completo de combinaciones de condiciones,
- ABAC no sustituye las revisiones de permisos, la segmentación de red ni el cifrado de datos,
- ABAC no resuelve los problemas de calidad de la detección con IA ni sustituye el control manual del resultado de la anonimización.
Referencias normativas y fuentes
El concepto de ABAC y su aplicación práctica deben basarse en documentos fuente y en la normativa que regula la seguridad del tratamiento. Para los sistemas de anonimización de fotos y grabaciones de vídeo, son especialmente relevantes las siguientes publicaciones:
- NIST SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations, National Institute of Standards and Technology, 2014,
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, RGPD, en particular los artículos 5, 24, 25 y 32,
- ISO/IEC 27001:2022, requisitos para un sistema de gestión de la seguridad de la información,
- ISO/IEC 27002:2022, controles de seguridad, incluido el control de acceso y la gestión de identidades.
Si una organización aplica ABAC al tratamiento de materiales que contienen la imagen de personas, conviene documentar la lógica de las políticas, las fuentes de atributos, los procedimientos de revisión de permisos y la relación entre el acceso al material original y al material anonimizado. Esto facilita demostrar la responsabilidad proactiva y evaluar la adecuación de las medidas de seguridad.