Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > ABAC vs. RBAC para el control de acceso de agentes de IA: Por qué los roles no son suficientes

ABAC vs. RBAC para el control de acceso de agentes de IA: Por qué los roles no son suficientes

by Tim Freestone updated marzo 25, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

La mayoría de las arquitecturas de control de acceso empresariales se basan en roles. Un profesional de la salud tiene acceso a los historiales de pacientes. Un empleado autorizado tiene acceso a los repositorios de CUI. Un asesor financiero tiene acceso a los portafolios de clientes. El rol se asigna durante la provisión, el acceso sigue al rol y el modelo funciona razonablemente bien para personas cuyas funciones laborales son estables y cuyos horarios de trabajo están definidos.

Los agentes de IA no tienen funciones laborales estables. Se implementan para tareas específicas, operan sobre conjuntos de datos variables, ejecutan a velocidad de máquina y pueden estar corriendo docenas de instancias de flujos de trabajo en paralelo al mismo tiempo. Un rol de «agente de documentación clínica» que otorga acceso al repositorio de PHI no expresa que esta instancia particular del agente está autorizada para acceder a tres registros de encuentros específicos de un paciente concreto, para una tarea de documentación específica, delegada por un profesional determinado, y que expira al final de la sesión actual. RBAC fue creado para el primer tipo de acceso. ABAC está diseñado para el segundo.

Este artículo explica la diferencia arquitectónica entre ambos modelos, dónde falla RBAC en entornos con agentes y por qué el control de acceso basado en atributos es el modelo que realmente cumple con lo que HIPAA, CMMC y otros marcos regulatorios exigen para el acceso de datos por parte de agentes de IA.

Resumen Ejecutivo

Idea principal: RBAC asigna el acceso según quién es el usuario. ABAC lo asigna según quién es el usuario, qué intenta hacer, qué datos solicita y el contexto del flujo de trabajo actual, evaluando todo esto simultáneamente en cada solicitud. Para usuarios humanos con roles estables, el modelo RBAC más simple suele ser suficiente. Para agentes de IA con tareas dinámicas y a gran escala, RBAC no puede garantizar el acceso mínimo necesario a nivel de operación. ABAC sí puede.

Por qué te interesa: El principio de mínimo necesario de HIPAA, el AC.2.006 de CMMC y la práctica 3.1.2 de NIST 800-171 exigen que el acceso se limite a lo requerido para la tarea autorizada específica, no solo a lo que permite el rol del usuario en general. Para un agente de IA, esos requisitos solo pueden cumplirse con un modelo de políticas que evalúe el contexto en cada solicitud. RBAC no lo hace. Una implementación de IA gobernada solo por RBAC es estructuralmente incapaz de cumplir con estos requisitos, sin importar cuán bien definidos estén los roles.

Puntos Clave

  1. RBAC otorga acceso según el rol; ABAC lo hace según el contexto evaluado. La diferencia está en cuándo se toma la decisión de acceso. RBAC la toma en el momento de la provisión. ABAC la toma en el momento de la solicitud, con visibilidad completa de quién solicita, qué solicita, por qué y bajo qué circunstancias.
  2. El acceso mínimo necesario no puede garantizarse a nivel de operación solo con RBAC. Un rol otorga una categoría de acceso. No puede evaluar si esta operación específica sobre este registro puntual está dentro del alcance autorizado de este flujo de trabajo concreto. Esa evaluación requiere atributos, y ABAC es el modelo que los utiliza.
  3. Los agentes de IA hacen que las limitaciones de RBAC sean estructurales, no de configuración. Con usuarios humanos, los roles con permisos excesivos son un riesgo que puede minimizarse con una provisión disciplinada. Con agentes de IA operando a velocidad y en miles de interacciones diarias, la distancia entre el acceso a nivel de rol y la autorización a nivel de tarea no es una brecha de políticas: es una exposición sistémica de cumplimiento que ningún rediseño de roles puede cerrar.
  4. ABAC y RBAC no son excluyentes. Las arquitecturas de control de acceso más efectivas para entornos regulados usan ambos: RBAC para establecer el límite externo de lo que un tipo de agente puede acceder, y ABAC para hacer cumplir la autorización específica de cada operación dentro de ese límite. RBAC marca el techo; ABAC hace el trabajo en el suelo.
  5. ABAC es lo que hace operativa la cadena de delegación. Saber que el Agente A fue autorizado por el Usuario B para realizar la Tarea C no sirve de nada si la capa de control de acceso no puede evaluar esa autorización en cada solicitud de datos. ABAC es el motor de políticas que lee la cadena de delegación y la aplica a cada decisión de acceso en tiempo real.

Cómo funciona RBAC y dónde falla para agentes de IA

El control de acceso basado en roles asigna permisos a roles y luego asigna esos roles a usuarios o sistemas. Un agente de documentación clínica puede recibir un rol de «Lectura de PHI» que otorga acceso de solo lectura al sistema de historiales de pacientes. Un agente de procesamiento de CUI puede recibir un rol de «Acceso a Repositorio CUI». La asignación se realiza al momento de la provisión; el acceso se otorga automáticamente.

Para un profesional humano, este modelo es viable. El rol del profesional refleja su función laboral, el acceso que otorga es apropiado para esa función y el juicio profesional humano determina lo que realmente accede dentro del alcance permitido. El rol es un buen proxy para el acceso autorizado porque las funciones laborales humanas son estables y relativamente predecibles.

Para un agente de IA, el mismo modelo produce un resultado diferente. El rol de «Lectura de PHI» otorga al agente acceso de lectura a todos los historiales de pacientes que cubre el rol, no solo a los relevantes para la tarea actual. El rol de «Acceso a Repositorio CUI» otorga acceso a todo el repositorio, no solo a los documentos específicos que requiere el flujo de trabajo en curso. El rol es una aproximación burda de lo que el agente realmente está autorizado a hacer en cada momento. Y como los agentes operan a gran velocidad y en muchos flujos de trabajo paralelos, el exceso de acceso agregado no es un simple margen de error: es el estado predeterminado de la implementación.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Lee ahora

Las tres brechas de cumplimiento que RBAC crea para agentes de IA

Brecha Cómo se manifiesta Requisito de marco incumplido
Exceso de permisos en el alcance El rol del agente otorga acceso a todo el repositorio; la tarea requiere tres registros. Técnicamente, el agente tiene acceso a miles de registros para los que no tiene autorización vigente. HIPAA mínimo necesario (§164.502(b)); CMMC AC.2.006; NIST 800-171 3.1.2
Ceguera al tipo de operación El rol otorga acceso de «Lectura de PHI» pero no distingue entre leer un registro y descargarlo, moverlo o reenviarlo. Un agente que realiza una tarea de resumen de solo lectura tiene el mismo acceso que un agente que realiza una tarea de extracción de datos. CMMC AC.2.006; NIST 800-171 3.1.1 y 3.1.2
Insensibilidad al contexto El rol no toma en cuenta el contexto del flujo de trabajo, la hora del día, el nivel de sensibilidad de los datos ni si el agente solicitante tiene una delegación válida. El acceso es el mismo sin importar las circunstancias. NYDFS Sección 500.7; obligación de supervisión de la SEC; NIST 800-171 3.1.3

Cómo ABAC resuelve lo que RBAC no puede

El control de acceso basado en atributos toma la decisión de acceso en el momento de la solicitud, usando una política que evalúa múltiples atributos simultáneamente. La política no es una asignación estática, es una expresión condicional que considera al solicitante, el recurso, la acción y el entorno antes de devolver un permiso o una denegación.

Para una solicitud de acceso a datos por parte de un agente de IA, una evaluación de política ABAC podría verse así:

Categoría de atributo Atributos evaluados Valores de ejemplo
Sujeto (el agente) Identidad del agente, credencial de flujo de trabajo autenticada, autorizador humano, expiración de la delegación Agente: doc-agent-4471; Autorizador: Dra. Chen; Credencial válida hasta: 17:00
Recurso (los datos) Clasificación de datos, identificador de registro, nivel de sensibilidad, regulación aplicable Clasificación: PHI; Registro: Encuentro #4471; Sensibilidad: alta
Acción (la operación) Tipo de operación, si la operación está dentro del alcance delegado Operación: leer; Alcance delegado incluye: solo lectura
Entorno (el contexto) Hora, estado del flujo de trabajo, operaciones previas en esta sesión, señales de anomalía Hora: dentro de la ventana autorizada; Sin señales de anomalía; Sesión en curso

Una solicitud que pasa las cuatro evaluaciones de atributos es permitida. Una que falla en cualquiera es denegada, y la denegación se registra con el atributo específico que la causó. Esta es la delimitación de acceso a nivel de operación que exigen el principio de mínimo necesario de HIPAA y el AC.2.006 de CMMC: no «¿este tipo de agente puede acceder a PHI?», sino «¿esta instancia específica del agente, bajo esta autorización concreta, puede realizar esta operación específica sobre este registro puntual en este momento?»

ABAC como motor de políticas para la cadena de delegación

Aquí es donde ABAC y la identidad autenticada del agente del Artículo 11 se conectan. La cadena de delegación establece la autorización: quién delegó qué a quién, con qué alcance y bajo qué restricciones. ABAC es el mecanismo de aplicación que lee esa delegación y la aplica a cada solicitud de datos en tiempo real. Sin ABAC, la cadena de delegación es solo un registro útil para auditoría, pero no es operativa como control. Con ABAC, la cadena de delegación se convierte en una política activa: cada solicitud del agente se evalúa según los términos específicos de su autorización actual, y cualquier solicitud que exceda esos términos es bloqueada antes de que ocurra el acceso.

RBAC + ABAC: La arquitectura recomendada

Reemplazar RBAC completamente por ABAC no es necesario ni recomendable. RBAC proporciona un límite externo claro y auditable: el tipo de agente «documentación clínica» nunca puede acceder a datos financieros, sin importar lo que diga cualquier credencial individual del agente. Esa exclusión categórica se expresa y aplica eficientemente mediante RBAC. Lo que RBAC no puede hacer es aplicar la delimitación específica, consciente del contexto y de la tarea, dentro de ese límite. Ese es el trabajo de ABAC.

La arquitectura combinada: RBAC define el límite externo de acceso para cada tipo de agente. ABAC hace cumplir la autorización específica de cada operación dentro de ese límite, usando la cadena de delegación como fuente autorizada de lo que el flujo de trabajo actual puede hacer. Las solicitudes que fallan RBAC nunca llegan a la evaluación ABAC. Las que pasan RBAC aún se evalúan contra la política ABAC completa antes de conceder acceso. Ninguna capa por sí sola es suficiente; juntas proporcionan tanto la gobernanza categórica de acceso como la aplicación de cumplimiento a nivel de operación.

Cómo Kiteworks implementa ABAC para el control de acceso de agentes de IA

La Red de Datos Privados de Kiteworks aplica el control de acceso mediante una arquitectura combinada RBAC/ABAC, con el Motor de Políticas de Datos actuando como la capa de evaluación ABAC para cada solicitud de datos de agentes de IA.

Cuando un agente solicita acceso a datos regulados, el Motor de Políticas de Datos evalúa simultáneamente cuatro categorías de atributos: la identidad autenticada del agente y los atributos de la cadena de delegación, la clasificación y sensibilidad de los datos solicitados, la operación específica solicitada y el contexto actual del flujo de trabajo, incluyendo hora, estado de sesión y señales de anomalía. El acceso solo se concede cuando las cuatro categorías resultan en permiso. El acceso se deniega —y se registra con atribución completa— cuando alguna categoría resulta en denegación.

Esta evaluación ocurre en la capa de datos, independiente del modelo. Una actualización del modelo que cambie el comportamiento del agente, una inyección de prompt que redirija las solicitudes del agente o un prompt de sistema mal configurado no pueden anular la evaluación de la política. El Motor de Políticas de Datos no interpreta instrucciones del modelo; evalúa las solicitudes de acceso según la política. La gobernanza se aplica en la capa a la que el modelo no puede llegar.

El resultado es un control de acceso que cumple con el principio de mínimo necesario de HIPAA a nivel de registro, el AC.2.006 de CMMC a nivel de operación y las prácticas 3.1.1 a 3.1.3 de NIST 800-171 para cada interacción de CUI con agentes de IA, con una trazabilidad de auditoría completa e inviolable de cada decisión de permiso o denegación que alimenta directamente el SIEM de la organización.

Para organizaciones reguladas que necesitan control de acceso a nivel de operación para agentes de IA —no solo gestión de acceso a nivel de rol— Kiteworks ofrece la arquitectura que lo hace posible. Descubre más sobre Kiteworks Compliant AI o agenda una demo.

Preguntas frecuentes

El estándar de mínimo necesario de HIPAA exige que el acceso a PHI se limite al mínimo necesario para cumplir el propósito autorizado específico. Un rol otorga una categoría de acceso —el agente puede leer PHI— pero no evalúa si los registros solicitados son necesarios para la tarea en curso. Solo ABAC, que evalúa el recurso, la operación y el contexto del flujo de trabajo en cada solicitud, puede garantizar el acceso mínimo necesario a nivel de registro y operación que exige HIPAA.

CMMC AC.2.006 exige limitar el acceso a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar, no solo a las categorías de datos que cubre un rol. Una evaluación CMMC sobre el acceso de agentes de IA a CUI preguntará si el control mínimo necesario se aplica a nivel de operación: ¿el agente puede leer pero no descargar? ¿Acceder a una carpeta pero no a las adyacentes? Un permiso basado en roles de «Acceso a CUI» no puede aportar evidencia de esta granularidad. La evaluación de políticas ABAC a nivel de operación sí puede —y genera la trazabilidad de auditoría que lo demuestra.

Utiliza RBAC para definir el límite externo de acceso de cada tipo de agente —exclusiones categóricas que nunca cambian sin importar el contexto del flujo de trabajo. Utiliza ABAC para hacer cumplir la autorización específica de cada operación dentro de ese límite, usando la cadena de delegación como entrada de política. Las solicitudes que fallan RBAC se deniegan antes de la evaluación ABAC. Las que pasan RBAC aún se evalúan contra la política ABAC completa. Ninguna capa reemplaza a la otra: RBAC marca el techo, ABAC aplica el control a nivel de operación en el suelo.

Tanto la Regulación S-P de la SEC como la Parte 500 de NYDFS exigen que el acceso a datos de clientes y NPI se limite a propósitos autorizados. ABAC lo garantiza evaluando el contexto del flujo de trabajo en cada solicitud: el agente autorizado para acceder al portafolio del Cliente A para una revisión trimestral no puede acceder a los registros del Cliente B, no puede realizar operaciones fuera del alcance de la revisión y no puede acceder a datos fuera de la ventana de tiempo autorizada. Las firmas de servicios financieros que usan ABAC pueden aportar evidencia de delimitación de acceso por operación para fines de examen, no solo registros de asignación de roles.

La cadena de delegación proporciona los atributos del sujeto que ABAC evalúa: identidad del agente, autorizador humano, alcance de datos autorizado, operaciones permitidas y expiración. ABAC es el mecanismo que hace que la cadena de delegación sea operativa como control: lee esos atributos y evalúa cada solicitud de datos en tiempo real. Sin ABAC, la cadena de delegación es solo un registro de auditoría. Con ABAC, se convierte en una política activa de acceso que aplica los términos específicos de cada autorización en cada operación. Ambos controles trabajan en conjunto: la identidad establece la autorización, ABAC la hace cumplir.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero-Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones están fallando en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juegan a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks