Publicado: 18 de junio de 2024
Colaborador: Matthew Kosinski
En un sistema informático, la autenticación ("auth" para abreviar) es el proceso que comprueba que un usuario es quien dice ser. La mayoría de los sistemas de autenticación se basan en factores de autenticación, que son elementos (una tarjeta magnética), características (un escáner de huellas dactilares) o bits de información (un código PIN) que sólo posee el usuario.
Consideremos un escenario de autenticación común: proporcionar un ID de usuario y una contraseña para iniciar sesión en una cuenta de correo electrónico. Cuando el usuario ingresa su ID de usuario (que probablemente sea su dirección de correo electrónico en esta situación) le está diciendo al sistema de correo electrónico: "Este es quien soy".
Pero eso no es suficiente para verificar la identidad del usuario final. Cualquiera puede introducir el ID de usuario que quiera, especialmente cuando el ID de un usuario es algo público como una dirección de correo electrónico. Para demostrar que realmente es el propietario de esa dirección de correo electrónico, el usuario ingresa su contraseña, un conocimiento secreto que (teóricamente) nadie más debería tener. A continuación, el sistema de correo electrónico identifica a este usuario como el verdadero titular de la cuenta y le permite entrar.
Los procesos de autenticación también pueden confirmar la identidad de usuarios no humanos, como servidores, aplicaciones web y otras máquinas y cargas de trabajo.
La autenticación es un componente fundamental de la estrategia de seguridad de la información. Es especialmente importante para la gestión de identidades y accesos (IAM), la disciplina de ciberseguridad que se ocupa de cómo los usuarios acceden a los recursos digitales. La autenticación permite a las organizaciones limitar el acceso a la red a los usuarios legítimos, y es el primer paso para hacer cumplir los permisos de los usuarios individuales.
Hoy en día, las identidades de los usuarios son los principales objetivos de los actores de amenazas. Según el IBM X-Force Threat Intelligence Index, el secuestro de cuentas de usuario válidases la forma más habitual de penetrar en las redes, lo que representa el 30 % de los ciberataques. Los hackers roban credenciales y luego se hacen pasar por usuarios legítimos, lo que les permite escabullirse de las defensas de la red para plantar malware y robar datos.
Para combatir estos ataques basados en la identidad, muchas organizaciones están abandonando los métodos de autenticación basados exclusivamente en contraseñas. En su lugar, están adoptando la autenticación multifactor, la autenticación adaptativa y otros sistemas de autenticación fuerte en los que las credenciales de usuario son más difíciles de robar o falsificar.
La autenticación y la autorización son procesos relacionados pero distintos. La autenticación verifica la identidad de un usuario, mientras que la autorización otorga a ese usuario verificado el nivel apropiado de acceso a un recurso.
Se puede pensar en la autenticación y la autorización como la respuesta a dos preguntas complementarias:
La autenticación suele ser un requisito previo para la autorización. Por ejemplo, cuando un administrador de red inicia sesión en un sistema seguro, debe demostrar que es administrador proporcionando los factores de autenticación correctos. Solo entonces el sistema de IAM autorizará al usuario a realizar acciones administrativas, como añadir y eliminar otros usuarios.
Descubra por qué las organizaciones que buscan soluciones de autenticación empresarial maduras, escalables y seguras deberían considerar IBM.
Regístrese para obtener el X-Force Threat Intelligence Index
A gran escala, la autenticación se basa en el intercambio de credenciales de usuario, también llamadas factores de autenticación. Un usuario proporciona sus credenciales al sistema de autenticación. Si coinciden con lo que el sistema tiene en el archivo, el sistema autentica al usuario.
Para profundizar un poco más, se puede dividir el proceso de autenticación en una serie de pasos:
Aunque este ejemplo presupone un usuario humano, la autenticación es generalmente la misma para usuarios no humanos. Por ejemplo, cuando un desarrollador conecta por primera vez una aplicación a una interfaz de programación de aplicaciones (API), esta puede generar una clave API. La clave es un valor secreto que sólo conocen la API y la aplicación. A partir de ese momento, cada vez que la aplicación realice una llamada a esa API, deberá mostrar su clave para demostrar que la llamada es auténtica.
Hay cuatro tipos de factores de autenticación que los usuarios pueden usar para demostrar sus identidades:
Los factores de conocimiento son datos que, en teoría, sólo el usuario conoce, como contraseñas, PIN y respuestas a preguntas de seguridad. Aunque los factores de conocimiento son comunes, también son los factores más fáciles de robar o descifrar.
Los factores de posesión son cosas que un usuario posee. Aunque algunos usuarios tienen tokens de seguridad de hardware específicos diseñados únicamente para actuar como factores de posesión, muchas personas usan sus dispositivos móviles.
Por ejemplo, un usuario puede instalar una aplicación de autenticación que genere contraseñas de un solo uso (OTP) que caducan después de utilizarlas una vez. Los usuarios también pueden recibir OTP a través de mensajes de texto SMS.
Las máquinas y las cargas de trabajo suelen utilizar certificados digitales, emitidos por terceros de confianza, como factores de posesión.
Los factores de inherencia son rasgos físicos exclusivos de un usuario. Esta categoría incluye métodos de autenticación biométrica como reconocimiento facial y escaneo de huellas dactilares.
Los factores de comportamiento son patrones de comportamiento, como el rango típico de direcciones IP de una persona, las horas de actividad y la velocidad promedio de escritura.
Los esquemas de autenticación adaptativa suelen utilizar factores de comportamiento para evaluar el nivel de riesgo de un usuario. (Para más información, consulte "Tipos de autenticación").
Tradicionalmente, cada aplicación, sitio web u otro recurso individual tendría su propio sistema IAM para gestionar la autenticación de usuarios. Con el auge de la transformación digital y la proliferación de aplicaciones corporativas y de consumo, este sistema fragmentado se ha vuelto engorroso e inconveniente.
Las organizaciones tienen dificultades para rastrear a los usuarios y aplicar políticas de acceso coherentes en toda la red. Los usuarios adoptan hábitos de seguridad deficientes, como el uso de contraseñas simples o la reutilización de credenciales en todos los sistemas.
En respuesta, muchas organizaciones están implementando enfoques más unificados para identificar donde un único sistema puede autenticar a los usuarios para varias aplicaciones y activos.
Los diferentes sistemas de autenticación utilizan diferentes esquemas de autenticación. Algunos de los tipos más comunes son:
En un proceso de autenticación de un solo factor (SFA), los usuarios sólo tienen que proporcionar un factor de autenticación para demostrar su identidad. Lo más habitual es que los sistemas SFA se basen en combinaciones de nombre de usuario y contraseña.
La SFA se considera el tipo de autenticación menos seguro porque significa que los hackers necesitan robar solo una credencial para apoderarse de la cuenta de un usuario. La Agencia de Ciberseguridad e Infraestructuras de EE.UU. (CISA) desaconseja oficialmente la SFA por considerarla una "mala práctica".
Los métodos de autenticación multifactor (MFA) requieren al menos dos factores de al menos dos tipos diferentes. La MFA se considera más fuerte que la SFA porque los hackers deben robar múltiples credenciales para apoderarse de las cuentas de usuario. Los sistemas MFA también tienden a utilizar credenciales que son mucho más difíciles de robar que las contraseñas.
La autenticación de dos factores (2FA) es un tipo de MFA que utiliza exactamente dos factores de autenticación. Es probablemente la forma más común de MFA en uso hoy en día. Por ejemplo, cuando un sitio web requiere que los usuarios ingresen tanto una contraseña como un código que se envía por mensaje de texto a su teléfono, se trata de un esquema 2FA en acción.
Los sistemas de autenticación adaptativa, a veces denominados autenticación basada en riesgos, utilizan la inteligencia artificial (IA) y el machine learning (ML) para analizar el comportamiento del usuario y calcular el nivel de riesgo. Los sistemas de autenticación adaptativos cambian de forma dinámica los requisitos de autenticación en función del riesgo del comportamiento del usuario en este momento.
Por ejemplo, si alguien inicia sesión en una cuenta desde su dispositivo y ubicación habituales, es posible que solo necesite introducir su contraseña. Si ese mismo usuario inicia sesión desde un nuevo dispositivo o intenta acceder a datos confidenciales, es posible que el sistema de autenticación adaptable solicite más factores antes de permitirle continuar.
La autenticación sin contraseña es un sistema de autenticación que no utiliza contraseñas ni otros factores de conocimiento. Por ejemplo, la norma de autenticación Fast Identity Online 2 (FIDO2) sustituye las contraseñas por claves de acceso basadas en la criptografía de clave pública.
Con FIDO2, un usuario registra su dispositivo para que actúe como autenticador con una aplicación, un sitio web u otro servicio. Durante el registro, se crea un par de claves pública-privada. La clave pública se comparte con el servicio y la clave privada se guarda en el dispositivo del usuario.
Cuando el usuario desea iniciar sesión en el servicio, el servicio envía un desafío a su dispositivo. El usuario responde introduciendo un código PIN, escaneando su huella dactilar o realizando alguna otra acción. Esta acción permite que el dispositivo utilice la clave privada para firmar el desafío y demostrar la identidad del usuario.
Las organizaciones están adoptando cada vez más la autenticación sin contraseña para defenderse de los ladrones de credenciales, que tienden a centrarse en los factores de conocimiento debido a lo relativamente fáciles que resultan de robar.
A medida que los controles de ciberseguridad se vuelven más efectivos, los actores de amenazas están aprendiendo a sortearlos en lugar de enfrentarse a ellos. Los procesos de autenticación sólidos pueden ayudar a detener los ciberataques basados en la identidad en los que los hackers roban cuentas de usuario y abusan de sus privilegios válidos para escabullirse de las defensas de la red y causar estragos.
Los ataques basados en la identidad son el vector de ataque inicial más común según el X-Force Threat Intelligence Index, y los actores de amenazas tienen muchas tácticas para robar credenciales. Las contraseñas de los usuarios, incluso las contraseñas seguras, son fáciles de descifrar mediante ataques de fuerza bruta en los que los hackers utilizan bots y guiones para probar sistemáticamente las posibles contraseñas hasta que una funcione.
Los actores de amenazas pueden utilizar tácticas de ingeniería social para engañar a los objetivos para que revelen sus contraseñas. Pueden probar métodos más directos, como ataques de intermediario o plantar spyware en los dispositivos de las víctimas. Los atacantes pueden incluso comprar credenciales en la dark web, donde otros hackers venden datos de cuentas que robaron durante violaciones anteriores.
Sin embargo, muchas organizaciones siguen utilizando sistemas de autenticación ineficaces. Según el X-Force Threat Intelligence Index, los fallos de identificación y autenticación son son el segundo riesgo de seguridad de las aplicaciones web más comúnmente observado.
Los procesos de autenticación sólidos pueden ayudar a proteger las cuentas de los usuarios (y los sistemas a los que pueden acceder) al dificultar que los hackers roben credenciales y se hagan pasar por usuarios legítimos.
Por ejemplo, la autenticación multifactor (MFA) hace que los hackers deban robar múltiples factores de autenticación, incluidos dispositivos físicos o incluso datos biométricos, para suplantar a los usuarios. Del mismo modo, los sistemas de autenticación adaptativa pueden detectar cuándo los usuarios tienen conductas de riesgo y plantear desafíos de autenticación adicionales antes de permitirles continuar. Esto puede ayudar a bloquear los intentos de los atacantes de abusar de las cuentas robadas.
Los sistemas de autenticación también pueden servir para casos de uso específicos más allá de la protección de cuentas de usuario individuales, entre ellos:
Protege y gestiona las identidades de clientes, trabajadores y usuarios con privilegios en toda la nube híbrida con la ayuda de la IA.
Gestión de identidades y accesos integral, segura y conforme a las normativas para la empresa moderna.
Protección transparente contra el fraude basada en pruebas, junto con la gestión del acceso de los usuarios.
Prepárese para las infracciones comprendiendo sus causas y los factores que aumentan o reducen los costos.
Descubra cómo está cambiando el panorama actual de la seguridad y cómo afrontar los retos y aprovechar la capacidad de recuperación de la IA generativa.
La gestión de identidades y accesos (IAM) es la disciplina de ciberseguridad que se ocupa de cómo los usuarios acceden a los recursos digitales y qué pueden hacer con esos recursos.
1 "PCI DSS: v4.0". Consejo de Estándares de Seguridad. Marzo de 2022. (Enlace externo a ibm.com).