¿Qué es la autenticación?

Consideremos un escenario de autenticación común: proporcionar un ID de usuario y una contraseña para iniciar sesión en una cuenta de correo electrónico. Cuando el usuario ingresa su ID de usuario (que probablemente sea su dirección de correo electrónico en esta situación) le está diciendo al sistema de correo electrónico: "Este es quien soy".

Pero eso no es suficiente para verificar la identidad del usuario final. Cualquiera puede introducir el ID de usuario que quiera, especialmente cuando el ID de un usuario es algo público como una dirección de correo electrónico. Para demostrar que realmente es el propietario de esa dirección de correo electrónico, el usuario ingresa su contraseña, un conocimiento secreto que (teóricamente) nadie más debería tener. A continuación, el sistema de correo electrónico identifica a este usuario como el verdadero titular de la cuenta y le permite entrar.

Los procesos de autenticación también pueden confirmar la identidad de usuarios no humanos, como servidores, aplicaciones web y otras máquinas y cargas de trabajo.

La autenticación es un componente fundamental de la estrategia de seguridad de la información. Es especialmente importante para la gestión de identidades y accesos (IAM), la disciplina de ciberseguridad que se ocupa de cómo los usuarios acceden a los recursos digitales. La autenticación permite a las organizaciones limitar el acceso a la red a los usuarios legítimos, y es el primer paso para hacer cumplir los permisos de los usuarios individuales.

Hoy en día, las identidades de los usuarios son los principales objetivos de los actores de amenazas. Según el IBM® X-Force Threat Intelligence Index, el secuestro de cuentas de usuario válidas es la forma más habitual de penetrar en las redes, lo que representa el 30 % de los ciberataques. Los hackers roban credenciales y luego se hacen pasar por usuarios legítimos, lo que les permite escabullirse de las defensas de la red para plantar malware y robar datos.

Para combatir estos ataques basados en la identidad, muchas organizaciones están abandonando los métodos de autenticación basados exclusivamente en contraseñas. En su lugar, están adoptando la autenticación multifactor, la autenticación adaptativa y otros sistemas de autenticación fuerte en los que las credenciales de usuario son más difíciles de robar o falsificar.

La autenticación y la autorización son procesos relacionados pero distintos. La autenticación verifica la identidad de un usuario, mientras que la autorización otorga a ese usuario verificado el nivel apropiado de acceso a un recurso.

Se puede pensar en la autenticación y la autorización como la respuesta a dos preguntas complementarias:

• Autenticación: ¿Quién es usted?
  
  
• Autorización: ¿Qué está autorizado a hacer en este sistema?

La autenticación suele ser un requisito previo para la autorización. Por ejemplo, cuando un administrador de red inicia sesión en un sistema seguro, debe demostrar que es administrador proporcionando los factores de autenticación correctos. Solo entonces el sistema de IAM autorizará al usuario a realizar acciones administrativas, como añadir y eliminar otros usuarios.

A gran escala, la autenticación se basa en el intercambio de credenciales de usuario, también llamadas factores de autenticación. Un usuario proporciona sus credenciales al sistema de autenticación. Si coinciden con lo que el sistema tiene en el archivo, el sistema autentica al usuario.

Para profundizar un poco más, se puede dividir el proceso de autenticación en una serie de pasos:

1. En primer lugar, un nuevo usuario debe crear una cuenta dentro de un sistema de autenticación. Como parte de la creación de esta cuenta, el usuario registra un conjunto de factores de autenticación, que pueden ir desde simples contraseñas a fichas de seguridad física y escáneres de huellas dactilares. (Para obtener más información, consulte "Factores de autenticación").
   
   Estos factores deben ser cosas que solo el usuario tiene o conoce. De esa manera, el sistema de autenticación puede estar razonablemente seguro de que si alguien puede proporcionar estos factores, debe ser el usuario.
   
   
2. El sistema de autenticación almacena las credenciales del usuario en un directorio o base de datos, donde se asocian con el ID del usuario y otros atributos importantes.
   
   Por motivos de seguridad, los sistemas de autenticación no suelen almacenar las credenciales como texto simple. En su lugar, almacenan versiones cifradas o encriptadas, que serían menos útiles para cualquier hacker que las robara.
   
   
3. Cuando el usuario desea iniciar sesión en el sistema, proporciona su ID de usuario y sus factores de autenticación registrados. El sistema de autenticación comprueba la entrada de directorio de este ID de usuario para ver si sus credenciales coinciden con las credenciales guardadas en el directorio. Si lo hacen, el sistema de autenticación verifica la identidad del usuario.
   
   Lo que el usuario verificado puede hacer a continuación depende de un proceso de autorización independiente, pero relacionado.

Aunque este ejemplo presupone un usuario humano, la autenticación es generalmente la misma para usuarios no humanos. Por ejemplo, cuando un desarrollador conecta por primera vez una aplicación a una interfaz de programación de aplicaciones (API), esta puede generar una clave API. La clave es un valor secreto que sólo conocen la API y la aplicación. A partir de ese momento, cada vez que la aplicación realice una llamada a esa API, deberá mostrar su clave para demostrar que la llamada es auténtica.

Hay cuatro tipos de factores de autenticación que los usuarios pueden usar para demostrar sus identidades:

Tradicionalmente, cada aplicación, sitio web u otro recurso individual tendría su propio sistema IAM para gestionar la autenticación de usuarios. Con el auge de la transformación digital y la proliferación de aplicaciones corporativas y de consumo, este sistema fragmentado se ha vuelto engorroso e inconveniente.

Las organizaciones tienen dificultades para rastrear a los usuarios y aplicar políticas de acceso coherentes en toda la red. Los usuarios adoptan hábitos de seguridad deficientes, como el uso de contraseñas simples o la reutilización de credenciales en todos los sistemas.

En respuesta, muchas organizaciones están implementando enfoques más unificados para identificar donde un único sistema puede autenticar a los usuarios para varias aplicaciones y activos.

• El inicio de sesión único (SSO) es un esquema de autenticación en el que los usuarios pueden iniciar sesión una vez utilizando un único conjunto de credenciales y acceder a múltiples aplicaciones dentro de un dominio específico.

• La arquitectura de identidad federada es un acuerdo de autenticación más amplio en el que un sistema puede autenticar usuarios para otro. Los inicios de sesión sociales (como usar una cuenta de Google para iniciar sesión en un sitio web diferente) son una forma común de identidad federada.

• La orquestación de identidades elimina la identidad y la autenticación de los sistemas individuales, tratando la identidad como una capa de red por derecho propio. Las soluciones de orquestación de identidades introducen una capa de integración, llamada tejido de identidad, que permite a las organizaciones crear sistemas de autenticación personalizados que pueden integrar cualquier aplicación y activo.

Los diferentes sistemas de autenticación utilizan diferentes esquemas de autenticación. Algunos de los tipos más comunes son:

• Autenticación de un solo factor
• Autenticación multifactor y autenticación de dos factores
• Autenticación adaptativa
• Autenticación sin contraseña

En un proceso de autenticación de un solo factor (SFA), los usuarios sólo tienen que proporcionar un factor de autenticación para demostrar su identidad. Lo más habitual es que los sistemas SFA se basen en combinaciones de nombre de usuario y contraseña.

La SFA se considera el tipo de autenticación menos seguro porque significa que los hackers necesitan robar solo una credencial para apoderarse de la cuenta de un usuario. La Agencia de Ciberseguridad e Infraestructuras de EE.UU. (CISA) desaconseja oficialmente la SFA por considerarla una "mala práctica".

Los métodos de autenticación multifactor (MFA) requieren al menos dos factores de al menos dos tipos diferentes. La MFA se considera más fuerte que la SFA porque los hackers deben robar múltiples credenciales para apoderarse de las cuentas de usuario. Los sistemas MFA también tienden a utilizar credenciales que son mucho más difíciles de robar que las contraseñas.

La autenticación de dos factores (2FA) es un tipo de MFA que utiliza exactamente dos factores de autenticación. Es probablemente la forma más común de MFA en uso hoy en día. Por ejemplo, cuando un sitio web requiere que los usuarios ingresen tanto una contraseña como un código que se envía por mensaje de texto a su teléfono, se trata de un esquema 2FA en acción.

Los sistemas de autenticación adaptativa, a veces denominados autenticación basada en riesgos, utilizan la inteligencia artificial (IA) y el machine learning (ML) para analizar el comportamiento del usuario y calcular el nivel de riesgo. Los sistemas de autenticación adaptativos cambian de forma dinámica los requisitos de autenticación en función del riesgo del comportamiento del usuario en este momento.

Por ejemplo, si alguien inicia sesión en una cuenta desde su dispositivo y ubicación habituales, es posible que solo necesite introducir su contraseña. Si ese mismo usuario inicia sesión desde un nuevo dispositivo o intenta acceder a datos confidenciales, el sistema de autenticación adaptativa podría solicitar más factores antes de permitirle continuar.

La autenticación sin contraseña es un sistema de autenticación que no utiliza contraseñas ni otros factores de conocimiento. Por ejemplo, la norma de autenticación Fast Identity Online 2 (FIDO2) sustituye las contraseñas por claves de acceso basadas en la criptografía de clave pública.

Con FIDO2, un usuario registra su dispositivo para que actúe como autenticador con una aplicación, un sitio web u otro servicio. Durante el registro, se crea un par de claves pública-privada. La clave pública se comparte con el servicio y la clave privada se guarda en el dispositivo del usuario.

Cuando el usuario desea iniciar sesión en el servicio, el servicio envía un desafío a su dispositivo. El usuario responde introduciendo un código PIN, escaneando su huella dactilar o realizando alguna otra acción. Esta acción permite que el dispositivo utilice la clave privada para firmar el desafío y demostrar la identidad del usuario.

Las organizaciones están adoptando cada vez más la autenticación sin contraseña para defenderse de los ladrones de credenciales, que tienden a centrarse en los factores de conocimiento debido a lo relativamente fáciles que resultan de robar.

• El lenguaje de marcado para confirmaciones de seguridad (SAML) es un estándar abierto que permite a las aplicaciones y servicios compartir información de autenticación de usuarios a través de mensajes XML. Muchos sistemas SSO utilizan aserciones SAML para autenticar a los usuarios en aplicaciones integradas.
  
  
• OAuth y OpenID Connect (OIDC): OAuth es un protocolo de autorización basado en tokens que permite a los usuarios conceder a una aplicación acceso a los datos de otra aplicación sin compartir credenciales entre esas aplicaciones. Por ejemplo, cuando un usuario permite que un sitio de redes sociales importe sus contactos de correo electrónico, este proceso suele utilizar OAuth.
  
  OAuth no es un protocolo de autenticación, pero se puede combinar con OpenID Connect (OIDC), una capa de identidad construida sobre el protocolo OAuth. ODIC añade tokens de ID junto con los tokens de autorización de OAuth. Estos tokens de ID pueden autenticar a un usuario y contener información sobre sus atributos.
  
  
• Kerberos es un esquema de autenticación basado en tickets que se suele utilizar en los dominios de Microsoft Active Directory. Los usuarios y los servicios se autentican en un centro de distribución de claves central, que les otorga tickets que les permiten autenticarse entre sí y acceder a otros recursos en el mismo dominio.

A medida que los controles de ciberseguridad se vuelven más efectivos, los actores de amenazas están aprendiendo a sortearlos en lugar de enfrentarse a ellos. Los procesos de autenticación sólidos pueden ayudar a detener los ciberataques basados en la identidad en los que los hackers roban cuentas de usuario y abusan de sus privilegios válidos para escabullirse de las defensas de la red y causar estragos.

Los ataques basados en la identidad son uno de los dos vectores de ataque iniciales más comunes según el X-Force Threat Intelligence Index, y los actores de amenazas tienen muchas tácticas para robar credenciales. Las contraseñas de los usuarios, incluso las contraseñas seguras, son fáciles de descifrar mediante ataques de fuerza bruta en los que los hackers utilizan bots y guiones para probar sistemáticamente las posibles contraseñas hasta que una funcione.

Los actores de amenazas pueden utilizar tácticas de ingeniería social para engañar a los objetivos para que revelen sus contraseñas. Pueden probar métodos más directos, como ataques de intermediario o plantar spyware en los dispositivos de las víctimas. Los atacantes pueden incluso comprar credenciales en la dark web, donde otros hackers venden datos de cuentas que robaron durante violaciones anteriores.

Sin embargo, muchas organizaciones siguen utilizando sistemas de autenticación ineficaces. Según el X-Force Threat Intelligence Index, los fallos de identificación y autenticación son son el segundo riesgo de seguridad de las aplicaciones web más comúnmente observado.

Los procesos de autenticación sólidos pueden ayudar a proteger las cuentas de los usuarios (y los sistemas a los que pueden acceder) al dificultar que los hackers roben credenciales y se hagan pasar por usuarios legítimos.

Por ejemplo, la autenticación multifactor (MFA) hace que los hackers deban robar múltiples factores de autenticación, incluidos dispositivos físicos o incluso datos biométricos, para suplantar a los usuarios. Del mismo modo, los sistemas de autenticación adaptativa pueden detectar cuándo los usuarios tienen conductas de riesgo y plantear retos de autenticación adicionales antes de permitirles continuar. Esto puede ayudar a bloquear los intentos de los atacantes de abusar de las cuentas robadas.

Al reforzar la ciberseguridad, la autenticación también puede ayudar a generar beneficios adicionales. Por ejemplo, un estudio del IBM Institute for Business Value reveló que el 66 % de los ejecutivos de operaciones ven la ciberseguridad como un facilitador de ingresos.

Los sistemas de autenticación también pueden servir para casos de uso específicos más allá de la protección de cuentas de usuario individuales, entre ellos:

• Control de acceso: para aplicar políticas de acceso granular y monitorizar lo que hacen los usuarios en sus redes, las organizaciones necesitan alguna forma de determinar quién es quién dentro de sus sistemas. La autenticación permite a las organizaciones restringir el acceso a la red solo a usuarios legítimos, garantizar que cada usuario tenga los privilegios correctos y atribuir la actividad a usuarios específicos.
  
  
• Cumplimiento normativo: muchas regulaciones de protección y seguridad de datos requieren políticas estrictas de control de acceso y un seguimiento exhaustivo de la actividad del usuario. Algunas regulaciones, como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), exigen específicamente el uso de sistemas MFA.¹
  
  
• Seguridad de IA: dado que los actores de amenazas utilizan herramientas de IA para llevar a cabo sofisticados ciberataques, las medidas de autenticación sólidas pueden ayudar a frustrar incluso las amenazas avanzadas. Por ejemplo, los estafadores pueden utilizar la IA generativa para elaborar mensajes de phishing convincentes y robar más contraseñas, pero los sistemas de autenticación adaptativa pueden ayudar a atrapar a estos estafadores cuando intentan hacer un uso indebido de los privilegios de las cuentas.