La autenticación de usuarios es un proceso de control de accesos que verifica que cualquier usuario (es decir, persona o máquina) es la persona o la máquina que dice ser antes de otorgarle acceso a un sistema, red o aplicación. Los pasos para la autenticación de usuarios varían, pero todos tienen el objetivo de proteger la información y los recursos confidenciales del acceso no autorizado.
En algunos casos, la autenticación de usuarios solo requiere un nombre de usuario y una contraseña. En otros, se utilizan combinaciones más complejas para verificar identidades.
¿Cómo funciona la autenticación de usuarios?
En un proceso de autenticación sencillo, una persona introduce sus credenciales, como nombre de usuario y contraseña. El sistema compara esas credenciales con los datos almacenados. Si la coincidencia es correcta, el usuario queda autenticado y obtiene acceso al recurso (p. ej., aplicaciones y sistemas).
Otra parte ligada a la autenticación son los privilegios de acceso. Con la autenticación llegan datos sobre a qué está autorizado el usuario (p. ej., contenidos y controles) y qué acciones puede realizar en el recurso (leer, escribir, editar, eliminar, copiar o compartir). El usuario autenticado queda limitado a los privilegios asignados.
El propósito de la autenticación de usuarios
La autenticación de usuarios protege los datos confidenciales, ayuda con el cumplimiento normativo y permite el acceso personalizado a los recursos.
La autenticación de usuarios asegura y protege sistemas y datos digitales frente a accesos no autorizados y usos indebidos al verificar identidades (personas y máquinas) y aplicar restricciones de acceso. Es un componente clave del marco global de ciberseguridad de una organización.
Funciones específicas de la autenticación de usuarios son las indicadas a continuación.
Control de accesos
La autenticación de usuarios funciona con mecanismos de control de acceso para restringir el acceso a recursos, aplicaciones o datos a usuarios autorizados según sus permisos asignados.
Auditoría
Se mantienen registros mientras se identifican y autentican usuarios y sus actividades. Se rastrea quién accedió a qué información, cuándo y con qué fin. Esta información se emplea para auditoría, cumplimiento y análisis forense.
Protección de datos
La autenticación reduce el riesgo de brechas de datos y otras ciberamenazas al restringir el acceso según credenciales y privilegios válidos, protegiendo la información sensible frente a exposición no autorizada, robo o manipulación.
Personalización
Con la autenticación de usuarios, las experiencias de los usuarios con los recursos se pueden personalizar identificando usuarios concretos y adaptando los servicios, la configuración y el contenido de acuerdo con sus preferencias y permisos.
Evitación de acciones no autorizadas
La autenticación de usuarios se puede utilizar para controlar lo que los usuarios autenticados pueden hacer en el recurso al que acceden para evitar acciones no autorizadas que podrían dañar el sistema, comprometer los datos o dar lugar a un incumplimiento.
Cumplimiento normativo
La mayoría de las organizaciones deben cumplir regulaciones que exigen una protección estricta de los datos confidenciales, como registros financieros, información personal de identificación (PII) e información sanitaria protegida (PHI). La autenticación de usuarios facilita el cumplimiento de estas regulaciones al controlar y monitorear el acceso a datos confidenciales.
Servicios seguros en línea
Muchos servicios en línea, como banca, compras y portales del usuario, recopilan y utilizan información confidencial. La autenticación de usuarios garantiza que las interacciones con estos servicios sean seguras y estén realizadas por el titular legítimo de la cuenta para evitar actividades no autorizadas.
Protocolos de autentificación de usuarios
Los protocolos de autenticación son conjuntos de reglas que determinan cómo se autentican los usuarios antes de acceder a un sistema. Permiten una comunicación segura entre usuarios y servicios definiendo cómo se realiza la autenticación.
Los siguientes son ejemplos de protocolos de autenticación de usuarios. Cada uno tiene sus puntos fuertes y débiles; la elección de cuál es mejor depende de los requisitos de sistema y seguridad de casos de uso específicos.
Challenge-handshake authentication protocol (CHAP)
CHAP es un protocolo de red usado para autenticar un host o usuario ante una entidad de autenticación. Ofrece protección continua al verificar periódicamente la identidad mientras dura la conexión.
CHAP emplea una negociación en tres pasos: el autenticador emite un desafío, el usuario responde con un hash y, finalmente, se valida la respuesta. Ayuda a prevenir ataques de repetición y asegura las comunicaciones. Se utiliza en conexiones PPP, como VPN, y por proveedores de servicios de internet (ISP).
Extensible authentication protocol (EAP)
CHAP es un protocolo de red usado para autenticar un host o usuario ante una entidad de autenticación. Ofrece protección continua al verificar periódicamente la identidad mientras dura la conexión.
CHAP emplea una negociación en tres pasos: el autenticador emite un desafío, el usuario responde con un hash y, finalmente, se valida la respuesta. Ayuda a prevenir ataques de repetición y asegura las comunicaciones. Se utiliza en conexiones PPP, como VPN, y por proveedores de servicios de internet (ISP).
Kerberos
Kerberos es un protocolo de autenticación para entornos cliente-servidor que usa criptografía de clave secreta para autenticación segura. Emite tickets con marca temporal que prueban la identidad del usuario ante los servidores. Es habitual en redes corporativas y en entornos de Microsoft Active Directory.
OAuth
OAuth, estándar abierto para la delegación de acceso, permite que servicios de terceros intercambien recursos web en nombre del usuario sin revelar su contraseña. Se usa para autenticación basada en tokens y para autorizar accesos de terceros, como iniciar sesión en un sitio con credenciales de un proveedor externo.
OpenID Connect (OIDC)
OIDC es un protocolo de autenticación de usuarios basado en OAuth 2.0 que proporciona verificación de identidad para aplicaciones web y móviles. Permite el inicio de sesión único (SSO) y la verificación de identidad basada en la autenticación realizada por un servidor de autorización para mejorar la seguridad y la experiencia de los usuarios.
Password authentication protocol (PAP)
PAP es un método de autenticación utilizado en conexiones PPP. Implica transmitir la contraseña en texto plano del cliente al servidor.
Aunque es sencillo de implementar, se considera inseguro porque las contraseñas pueden interceptarse. EAP ha reemplazado en gran medida a PAP, si bien aún persiste en algunos sistemas heredados.
Remote authorization dial-in user service (RADIUS)
RADIUS es un protocolo de red que se utiliza para prestar servicios centralizados de autenticación, autorización y responsabilidad (AAA) para el acceso a la red. Permite la autenticación segura de usuarios remotos que se conectan a una red para admitir el control de acceso y la gestión de usuarios en diversos entornos de red.
RADIUS fue diseñado para administrar el acceso a redes por línea conmutada, pero ahora se usa para admitir diferentes tipos de redes, incluidas redes inalámbricas y por cable y VPN. Los ISP lo utilizan más comúnmente para administrar el acceso a internet o a los servicios de correo electrónico.
Lenguaje de marcado para confirmaciones de seguridad (SAML)
SAML es un marco basado en XML para intercambiar datos de autenticación y autorización entre partes, normalmente entre un proveedor de identidad y un proveedor de servicios. Se emplea con frecuencia para servicios de SSO.
Secure sockets layer (SSL) y transport layer security (TLS)
SSL y TLS son protocolos de autenticación de usuarios diseñados para la transmisión segura de datos a través de redes. Actualmente, también se utilizan para la autenticación de servidores y clientes mediante certificados.
SSL fue el predecesor de TLS, su versión más segura y actualizada. TLS se utiliza con frecuencia para brindar seguridad a navegadores, correo electrónico, mensajería instantánea, navegación web y otras aplicaciones que requieren la transmisión segura de datos a través de internet.
Beneficios de tener una política de autenticación de usuarios
- Demuestra compromiso con la seguridad y fomenta la confianza de clientes y partners.
- Permite acceso seguro a los recursos de la organización desde cualquier ubicación y respalda a usuarios remotos.
- Facilita la administración de usuarios al definir pautas claras para creación, gestión y cancelación de cuentas.
- Refuerza las defensas frente a amenazas que explotan el comportamiento de los usuarios.
- Ayuda a cumplir estrictos requisitos de privacidad de datos establecidos por la normativa.
- Ofrece protección frente a phishing y otros ataques de ingeniería social.
- Proporciona registros de auditoría detallados de intentos de acceso e interacciones con el sistema.
- Reduce el riesgo de ciberataques que pueden derivar en brechas de datos y accesos no autorizados.
- Optimiza la gestión de accesos con sistemas de autenticación automatizados.
Tipos de autenticación de usuarios
Los mecanismos de autenticación se clasifican, en general, según los factores que utilizan para verificar la identidad de una persona. A continuación se presentan ejemplos representativos.
Cinco tipos frecuentes de autenticación de usuarios
Algo que eres (inherencia)
Se refiere a los métodos de verificación biométrica utilizados para la autenticación de usuarios, como:
- Reconocimiento facial
- Escaneos de huellas dactilares
- Escaneos de iris
- Reconocimiento de voz
El lugar donde te encuentras (ubicación)
Este factor autentica a un usuario según su ubicación. Los métodos utilizados para la autenticación de usuarios basada en la ubicación incluyen:
- Autenticación por geolocalización: usa el GPS del dispositivo para determinar la ubicación.
- Geolocalización por IP: analiza la dirección IP para estimar la ubicación geográfica.
- Autenticación por proximidad: emplea Bluetooth, NFC u otras tecnologías para verificar que el dispositivo esté cerca de un autenticador confiable (p. ej., smartphone o dispositivo vestible).
- Autenticación por red wifi: se permite el acceso solo desde redes wifi específicas (p. ej., redes corporativas o puntos de acceso de confianza).
Algo que haces (comportamiento)
Patrones conductuales asociados de forma única a un usuario, tales como:
- Reconocimiento de marcha
- Patrones de interacción
- Movimientos del ratón
- Reconocimiento de firma
- Ritmo de escritura
- Reconocimiento de voz
Algo que tienes (posesión)
Factor basado en tokens o dispositivos que generan contraseñas de un solo uso (OTP) o llaves:
- Llaveros electrónicos
- Dispositivos móviles
- Tokens de seguridad
- Tarjetas inteligentes
Algo que sabes (conocimientos)
Información que solo debería conocer el usuario:
- Contraseñas
- Números de identificación personal (PIN)
- Respuestas a preguntas de seguridad, que pueden ser estáticas (es decir, elegidas durante la configuración de la cuenta) o dinámicas (es decir, seleccionadas aleatoriamente según información de dominio público)
Tipos adicionales de autenticación de usuarios
Además de los factores clásicos, la autenticación incorpora factores más avanzados a medida que evoluciona la tecnología.
Entre los factores emergentes que se utilizan para ampliar o complementar los factores tradicionales de autenticación de usuarios se incluyen los indicados a continuación.
- Autenticación adaptativa: También conocido como autenticación basada en riesgos, este método cambia dinámicamente según el riesgo estimado que determinen factores contextuales como el comportamiento del usuario, la ubicación, el estado de seguridad del dispositivo y el tipo de datos a los que se accede.
- Autenticación basada en certificados: Los certificados digitales, verificados por una autoridad de certificación (CA) confiable, se utilizan para verificar la identidad de los usuarios o dispositivos.
- Puntuación de confianza del dispositivo: La puntuación de confianza del dispositivo evalúa su nivel de seguridad. Considera factores como actualizaciones de software, configuración, eventos de seguridad, estado de salud del dispositivo y posibles indicios de jailbreak o root.
- Autenticación basada en el tiempo: Consiste en verificar la identidad en función del momento del intento de autenticación. Ejemplos: contraseñas de un solo uso basadas en tiempo (TOTP) y tokens con caducidad.
La autenticación de usuarios como primera línea de defensa eficaz
La autenticación de usuarios suele ser el primer eslabón de defensa para salvaguardar el acceso a activos digitales y mantener la confidencialidad, integridad y disponibilidad de sistemas e información. Diseñar procesos de autenticación eficaces evita accesos no autorizados, brechas de datos y robo de identidad. Debe ser la primera de varias capas de control para ofrecer una defensa sólida frente a las ciberamenazas.
