Doble validación (control dual)

La doble validación (también llamada control dual o principio de "cuatro ojos") es una opción de seguridad que puedes activar en tu cuenta para que las acciones más peligrosas no se ejecuten al instante: en su lugar, quedan en espera hasta que un segundo administrador distinto las apruebe. Así, ninguna persona por sí sola puede destruir datos críticos.

Qué es

La doble validación introduce un segundo par de ojos en las decisiones irreversibles. Cuando está activa, al solicitar una acción destructiva la cuenta no la lleva a cabo de inmediato: crea una solicitud pendiente de aprobación y notifica al resto de administradores. La acción solo se ejecuta cuando otro administrador la revisa y la aprueba.

Es un control de segregación de funciones: separa a quien inicia una acción de quien la autoriza. De este modo, un descuido, una credencial comprometida o una decisión precipitada de una sola persona no bastan para causar una pérdida irreparable.

Qué acciones protege

La doble validación se aplica únicamente a las operaciones de mayor impacto, aquellas que pueden suponer una pérdida de datos definitiva:

• Borrar un bucket: eliminar un bucket completo.
• Borrado definitivo (purgar) de un bucket: el vaciado irreversible que elimina su contenido sin posibilidad de recuperación.
• Deshabilitar la retención legal (Legal Hold) de un bucket: levantar el bloqueo que mantiene un bucket congelado por motivos legales o de cumplimiento.

Las operaciones del día a día —subir y descargar objetos, crear buckets, gestionar claves de acceso— no se ven afectadas y siguen funcionando con normalidad. La doble validación se reserva para lo que de verdad no tiene marcha atrás.

Cómo funciona

• Solicitud: un administrador inicia una de las acciones protegidas. En lugar de ejecutarse, queda registrada como una solicitud pendiente.
• Aprobación: un segundo administrador la revisa y decide si la aprueba o la rechaza.
• Ejecución: solo tras la aprobación de ese segundo administrador, la acción se lleva a cabo.

Las solicitudes pendientes caducan automáticamente a los 7 días si nadie las aprueba, para que no queden autorizaciones "colgando" indefinidamente. Si una solicitud caduca, simplemente vuelve a iniciarse cuando proceda.

Quien la inicia no puede aprobarla

La regla central es simple y no admite excepciones: el administrador que solicita una acción nunca puede aprobar su propia solicitud. La aprobación debe venir siempre de otra persona con permisos de administración.

No existe ningún mecanismo de emergencia para saltarse este control: no hay "break-glass" ni atajos. Esa rigidez es deliberada, porque es justo lo que convierte a la doble validación en una salvaguarda real frente a errores y abusos.

Requisitos para activarla

• La activa el propietario de la cuenta: es completamente opcional (opt-in). Si no la necesitas, tu cuenta funciona exactamente igual que hasta ahora.
• La cuenta debe tener al menos dos administradores. Sin un segundo administrador no habría quien aprobara las solicitudes, así que es un requisito para poder activarla.

Trazabilidad y auditoría

Todo el ciclo queda reflejado en el registro de auditoría de la cuenta: quién solicitó cada acción, quién la aprobó o la rechazó y cuándo ocurrió. Tienes un rastro completo y verificable de cada decisión sobre datos críticos, listo para revisiones internas o auditorías externas.

Encaje con cumplimiento

La doble validación implementa un control habitual en los marcos de cumplimiento empresarial: la segregación de funciones y la gestión de cambios. Es exactamente el tipo de salvaguarda que esperan estándares como SOC 2 o ISO 27001, donde se valora que las operaciones de alto riesgo requieran la intervención de más de una persona.

Si tu organización debe demostrar ante auditores que nadie puede destruir información por su cuenta, la doble validación ofrece tanto el control como las evidencias para acreditarlo.

Defensa en profundidad

La doble validación no sustituye a tus otras protecciones: las complementa. Mientras la papelera (OtterTrash) te permite recuperar buckets borrados durante un periodo de gracia, la doble validación actúa antes, evitando que un borrado peligroso llegue a ejecutarse sin un segundo visto bueno.

Combinada con el versionado, el Object Lock y el Legal Hold, la doble validación añade una capa más a una estrategia de defensa en profundidad: varias barreras independientes que, juntas, hacen mucho más difícil perder datos por error o por abuso.

Cómo activarla

La doble validación la gestiona el propietario de la cuenta desde la consola web:

• Asegúrate de que la cuenta tiene al menos dos administradores.
• Entra en la consola y abre los ajustes de seguridad de la cuenta.
• Activa la doble validación. A partir de ese momento, las acciones destructivas requerirán la aprobación de un segundo administrador.

Para más detalles sobre protección de datos, consulta la guía de seguridad o el resto de la documentación.