La autentificación es una tecnología fundamental para los programas de ciberseguridad. Comprender qué es y qué no es refuerza su importancia. Este artículo presenta una revisión en profundidad de cómo se utiliza la autenticación, así como de sus numerosos tipos y componentes. También explica la relación entre autenticación y autorización que, contrariamente a lo que muchos piensan, no son lo mismo.
Definición de autenticación
La autenticación verifica la identidad de un usuario (ya sea humana y/o digital), proceso o dispositivo, a menudo como un requisito previo para permitir la interacción con los recursos de TI. La autenticación es una herramienta de control de accesos, que también se utiliza para proteger los sistemas de comunicación contra la aceptación de transmisiones fraudulentas al establecer la validez de una transmisión, mensaje o autor, así como al verificar la elegibilidad de un individuo para recibir categorías específicas de información.
Además, la autenticación se puede utilizar para garantizar el origen y la integridad de los datos almacenados o transmitidos.
¿Cómo funciona la autentificación?
El proceso de autentificación varía según el caso de uso, pero a continuación se ofrece una revisión avanzada su funcionamiento:
- Los administradores ayudan a los usuarios a configurar un nombre de usuario y una contraseña. Muchas organizaciones también configuran componentes de autenticación multifactor (MFA/2FA) (por ejemplo, registrar el teléfono móvil y los datos biométricos).
- El usuario solicita acceso a un recurso de TI y se le solicita que proporcione factores de autenticación (autentificación), según la política de seguridad.
- Los factores de autenticación son verificados por sistemas backend, como servidores de autenticación/IdP, que validan credenciales, señales del dispositivo y, si aplica, el segundo factor.
- Si se validan los factores de autenticación, se concede acceso al usuario. De lo contrario, se deniega el acceso y se puede bloquear temporalmente el derecho a nuevos intentos hasta que el usuario sea validado por otros medios, como responder preguntas de seguridad o completar un proceso de recuperación.
La mayoría de los sistemas de autenticación mantienen un registro del acceso de los usuarios para facilitar el análisis de la causa raíz en caso de un incidente de seguridad y para respaldar las auditorías de cumplimiento.
Factores de autenticación
Un factor de autenticación es un punto de datos o atributo utilizado para verificar la identidad de un usuario que solicita acceso a un recurso de TI.
Los tres principales factores de autenticación
- Credenciales basadas en información que solo debería conocer el usuario.
- Respuesta a una pregunta secreta
- Frases de contraseña
- Contraseñas
- Número de identificación personal (PIN)
- Factor de posesión (“algo que el usuario tiene”). Credenciales ligadas a un dispositivo físico que el usuario posee.
- Factor de inherencia (“algo que el usuario es”). Credenciales basadas en rasgos biométricos o patrones del usuario.
- Reconocimiento facial
- Huellas dactilares
- Escaneos de iris
- Patrones de voz
Factores de autenticación secundarios
Los factores de autenticación primarios pueden complementarse con factores de autenticación secundarios. Estos factores de autenticación suplementarios incluyen los siguientes:
- Factor de ubicación: Si bien la ubicación no se puede utilizar por sí sola para la autenticación, se puede emplear para reforzar el proceso de verificación cuando se utilizan factores de autenticación primarios. Los datos del sistema de posicionamiento global (GPS) y las direcciones IP (protocolo de Internet) se pueden utilizar para verificar la ubicación de un usuario y determinar si coincide con su perfil.
- Factor de tiempo: Al igual que el factor de ubicación, el de tiempo no se puede utilizar por sí solo para la autenticación, pero puede complementar los factores de autenticación principales. Los factores de tiempo pueden incluir cuándo se autoriza el acceso a un recurso por parte de un usuario o los tiempos de acceso habituales de un usuario.
Tipos de autenticación
Autenticación de aplicaciones
Las interfaces de programación de aplicaciones (API) permiten que las aplicaciones intercambien servicios y datos. Antes de permitir los intercambios, se debe completar la autenticación de la aplicación. Los métodos de autenticación de aplicaciones más comunes son las claves API, la autenticación básica del Protocolo de Transferencia de Hipertexto (HTTP) y la autorización abierta (OAuth).
Autenticación conductual
La autenticación conductual utiliza las acciones dinámicas de los individuos como método de verificación de identidad. La inteligencia artificial (IA) y el aprendizaje automático (ML) se emplean para reconocer patrones únicos de características de comportamiento inmutables, como:
- Reconocimiento de la marcha, que analiza la forma en que camina el usuario
- Dinámica de pulsaciones de teclas, que analiza la velocidad y los patrones de escritura
- Biometría del ratón, que analiza la forma en que el usuario interactúa con el ratón
Autenticación biométrica
La autenticación biométrica utiliza las características físicas de un individuo para verificar su identidad. Los tipos de autenticación biométrica incluyen:
- Coincidencia de ADN
- Reconocimiento de la forma de la oreja
- Reconocimiento facial
- Reconocimiento de huellas dactilares
- Reconocimiento de la geometría de mano
- Reconocimiento de iris
- Reconocimiento de retina
- Reconocimiento de firma
- Reconocimiento de patrones venosos
- Reconocimiento de voz
Autenticación basada en certificados
La autenticación basada en certificados (CBA) verifica la identidad de usuarios, dispositivos y máquinas mediante un certificado digital de clave pública. Este método utiliza PKI (infraestructura de clave pública) para validar certificados X.509, firmar desafíos y establecer confianza mutua entre cliente y servidor, reduciendo el riesgo de suplantación y fortaleciendo el control de acceso en entornos empresariales.
Autenticación continua
La autenticación continua rastrea el comportamiento del usuario y otros datos de contexto durante toda la sesión en línea. Con este método, el sistema calcula puntuaciones de riesgo de forma constante para verificar que el usuario sigue coincidiendo con la identidad autenticada (autentificada), habilitando autenticación adaptativa y Zero Trust.
El usuario debe volver a autenticarse si la autenticación continua se desvía del umbral aprobado. Los puntos de datos de la autenticación continua incluyen:
- Características de comportamiento
- Biometría
- Actividad del navegador
- Datos de GPS
- Direcciones IP
- Movimientos del ratón
- Hora de acceso
- Velocidad y patrones de escritura
Autenticación de máquinas
Se requiere autenticación para que las máquinas realicen acciones automatizadas dentro de una red. La autenticación de máquinas se puede realizar con credenciales primarias o certificados digitales.
Autenticación móvil
La autenticación móvil verifica o bien a los usuarios a través de sus dispositivos, o bien a los dispositivos mismos, para permitirles acceder a redes y recursos seguros desde cualquier lugar.
Contraseña de un solo uso (OTP)
Una OTP se utiliza para el inicio de sesión único o la autenticación de transacciones. También conocida como contraseña dinámica, una OTP es una cadena de caracteres numérica o alfanumérica que se genera automáticamente y se utiliza para autenticar a un usuario.
Las OTP generalmente se activan después de que un usuario completa una o más partes de la autenticación multifactor. Se envía una OTP al teléfono móvil o correo electrónico registrado de un usuario, quien luego ingresa el código para completar el proceso de autenticación.
Autenticación sin contraseña
La autenticación sin contraseña no requiere un factor de autenticación basado en conocimientos (por ejemplo, contraseña, frase de contraseña, número de identificación personal o PIN, o una respuesta a una pregunta secreta). Los usuarios ingresan su ID de usuario y luego se les solicita que ingresen uno o más de tres tipos de factores de autenticación para obtener acceso a los recursos de TI.
Los tres tipos de factores utilizados para la autenticación sin contraseña son:
- Factores de inherencia que incluyen datos biométricos, como reconocimiento facial, huellas dactilares, escaneos del iris y patrones de voz.
- Factores de posesión como un llavero electrónico, un teléfono móvil o un token de seguridad
- Enlaces mágicos, que son localizadores uniformes de recursos (URL) de un solo uso que se envían a los usuarios por correo electrónico o teléfono móvil para su autenticación; en lugar de ingresar una contraseña para la autenticación, el usuario simplemente hace clic en la URL para obtener acceso a los recursos de TI.
Ten en cuenta que la MFA puede ser una autenticación sin contraseña, pero no siempre. Las implementaciones de MFA pueden usar o no contraseñas como parte de la autenticación. Además, se puede configurar la autenticación sin contraseña para la MFA o la autenticación de factor único.
Autenticación de inicio de sesión único (SSO)
La autenticación de SSO permite a los usuarios iniciar sesión y acceder a múltiples cuentas y aplicaciones con un único conjunto de credenciales ingresadas una vez. Con la SSO, las aplicaciones delegan el proceso de autenticación a un tercero de confianza que ya ha autenticado previamente al usuario.
Autenticación de un solo factor
La autenticación de un solo factor (SFA) compara una única credencial para obtener acceso a un recurso informático. Cuando esa credencial consiste en un nombre de usuario y una contraseña, se considera una forma débil de autenticación, ya que esta combinación puede verse comprometida y ofrece una sola barrera de entrada frente a usuarios no autorizados. Sin embargo, cuando la SFA se basa en autenticación sin contraseña, se considera más confiable, ya que este tipo de autenticación utiliza factores mucho más difíciles de vulnerar.
Autenticación de dos factores
La autenticación de dos factores (2FA) agrega una capa más de protección al proceso de autenticación. Este tipo de autenticación utiliza dos de los tres tipos de factores de autenticación (es decir, conocimiento, posesión e inherencia).
Autenticación de tres factores
La autenticación de tres factores (3FA) es un tipo de MFA que requiere el uso de los tres tipos de factores de autenticación.
Autenticación multifactor
La autenticación multifactor (MFA) incluye la 2FA y 3FA y puede requerir más factores de autenticación de los tres grupos principales.
Autenticación frente a autorización
Aunque a menudo se usan como sinónimos, la autenticación y la autorización no son lo mismo.
Autenticación | Autorización |
|---|---|
La autenticación es el proceso de verificar quién es un usuario. | La autorización es el proceso de verificar a qué puede acceder un usuario. |
A los usuarios se les niega el acceso si no pueden demostrar su identidad. | A los usuarios se les niega el acceso si no están autorizados a acceder a un recurso. |
Verifica las credenciales de un usuario. | Otorga o niega los permisos de un usuario. |
Los usuarios pueden ver el proceso de autenticación. | Los usuarios no pueden ver el proceso de autorización. |
Los usuarios pueden realizar algunos cambios en sus elementos de autenticación. | Los usuarios no pueden realizar cambios en sus permisos de autorización. |
La importancia de la autenticación
Hay muchas razones por las que la autenticación es esencial y por las que las organizaciones deben dar prioridad a la implementación de sistemas de autenticación robustos. La autenticación permite a las organizaciones mantener la seguridad de sus redes al permitir que solo los usuarios o procesos autenticados tengan acceso a los recursos de TI, lo que ofrece muchas ventajas, entre ellas:
- Minimizar las filtraciones de datos
- Proteger los datos confidenciales
- Proporcionar una capa adicional de seguridad más allá de los sistemas de la organización
- Reducir el riesgo
- Apoyar los esfuerzos de cumplimiento y las auditorías
Casos de uso de la autenticación
La autenticación se puede utilizar de diversas maneras, incluidos los siguientes casos de uso.
- Autenticación de aplicaciones: para controlar el acceso a las aplicaciones.
- Autenticación de servicios en la nube y SaaS: para controlar el acceso a aplicaciones y recursos basados en la nube.
- Autenticación de dispositivos: para controlar el acceso a dispositivos (por ejemplo, ordenadores, Internet de las cosas (IoT) y dispositivos móviles)
- Autenticación de red: para controlar el acceso a las redes, incluidas las redes de área local (LAN), las redes de área amplia (WAN) e Internet
- Infraestructura de escritorio virtual (VDI): para controlar el acceso a entornos virtualizados
Una breve historia de la autenticación
Autentificación en los años 60
En 1961, Fernando Corbató (MIT) creó un programa de contraseñas considerado el primer sistema de autenticación digital. Permitía gestionar el acceso a archivos del ordenador central y el tiempo de uso de cada cuenta. Era un sistema rudimentario: las contraseñas se almacenaban en texto plano dentro del sistema de archivos.
Autenticación en los años 70
En 1972, Robert Morris (Bell Labs) desarrolló el hash de contraseñas, un método de cifrado unidireccional: fácil de calcular, difícil de revertir. Junto con Ken Thompson, introdujo el salting, añadiendo cadenas aleatorias a la contraseña almacenada para reforzar la seguridad del proceso de autenticación/autentificación.
En la misma década surgió otro hito: James Ellis, Clifford Cocks y Malcolm J. Williamson (gobierno del Reino Unido) describieron la criptografía asimétrica, basada en dos claves (pública y privada). La clave pública puede compartirse para probar identidad, mientras que la privada se utiliza para firmas digitales que la verifican. Aunque fue desarrollada en los 70, no se hizo pública hasta los 90, ya que se mantuvo en secreto hasta 1997.
Autenticación en los años 80
En la década de 1980, las contraseñas tradicionales se convirtieron en formas de autenticación poco confiables a medida que avanzaban la tecnología y las capacidades de los ciberdelincuentes. Para abordar las deficiencias de las contraseñas tradicionales, se introdujeron contraseñas dinámicas.
Esta forma de autenticación, conocida como contraseñas de un solo uso (OTP), genera aleatoriamente contraseñas impredecibles que solo los sistemas pueden reconocer como correctas. Se introdujeron dos tipos de OTP:
- HOTP (contraseña de un solo uso basada en hash) o HMAC (código de autenticación de mensajes basado en hash)
- TOTP (contraseña temporal de un solo uso)
Autenticación en los años 90
Cuando la criptografía asimétrica se hizo pública en 1997, se desarrolló un estándar de infraestructura de clave pública (PKI). La PKI define cómo crear, almacenar y enviar certificados digitales, que son una combinación de un certificado de clave pública firmado con una clave privada que verifica la identidad.
Los elementos que posibilitan la autenticación de PKI son:
- Un directorio central para almacenamiento de claves
- Una autoridad certificadora que emite y firma certificados digitales
- Un sistema de gestión de certificados para gestionar actividades operativas, como el acceso a certificados almacenados.
- Una política de certificados que aborda todos los aspectos asociados con la generación, producción, distribución, contabilidad, recuperación ante riesgos y administración de certificados digitales.
- Una autoridad de registro que verifica la identidad de los usuarios que envían la solicitud de certificado digital.
Autenticación en la década de los 2000
En la década de los 2000, se añadieron capas de verificación adicionales para la autenticación multifactor (MFA). También surgió el inicio de sesión único (SSO) para agilizar el proceso de autenticación de los usuarios.
(Nota: Encontrarás más información sobre estos temas en la sección «Tipos de autenticación» a continuación).
Autenticación en las décadas de 2010 y 2020
En las últimas dos décadas se ha observado un aumento significativo en el uso comercial de la autenticación biométrica y conductual, que se limitaba en gran medida al uso gubernamental debido a la complejidad y la potencia de procesamiento requeridas. Los avances en inteligencia artificial (IA), aprendizaje automático (ML) y capacidades informáticas avanzadas impulsaron el crecimiento de estos tipos de autenticación.
Una autenticación cada vez más sofisticada proporciona una potente defensa cibernética
Abundan los informes sobre cómo los delincuentes están ganando terreno en su lucha contra las defensas de seguridad. Es cierto que han mejorado, pero también lo han hecho las soluciones de seguridad disponibles para mantenerlos a raya.
Desde su introducción en la década de 1960, la autenticación ha evolucionado rápida y continuamente, volviéndose cada vez más fuerte. La autenticación (o autentificación) ha madurado desde contraseñas básicas hasta MFA, 2FA y métodos resistentes a phishing, reforzando el control de acceso en entornos empresariales.