Autenticación o autorización: ¿cuál es la diferencia?

La autenticación y la autorización son procesos relacionados pero distintos en el sistema de gestión de identidades y accesos (IAM) de una organización. La autenticación verifica la identidad de un usuario. La autorización proporciona al usuario el nivel adecuado de acceso a los recursos del sistema.

El proceso de autenticación se basa en credenciales, como contraseñas o escaneos de huellas dactilares, que los usuarios presentan para demostrar que son quienes dicen ser.

El proceso de autorización se basa en permisos de usuario que describen lo que cada usuario puede hacer dentro de un recurso o red en particular. Por ejemplo, los permisos en un sistema de archivos pueden dictar si un usuario puede crear, leer, actualizar o eliminar archivos.

Los procesos de autenticación y autorización se aplican tanto a usuarios humanos como no humanos, como dispositivos, cargas de trabajo automatizadas y aplicaciones web. Un único sistema IAM puede gestionar tanto la autenticación como la autorización, o los procesos pueden ser gestionados por sistemas independientes que trabajen de forma conjunta.

La autenticación suele ser un requisito previo para la autorización. Un sistema debe saber quién es un usuario antes de poder concederle acceso a cualquier cosa.

Los ataques basados en la identidad, en los que los hackers secuestran cuentas de usuario válidas y abusan de sus derechos de acceso, están en aumento. Según el IBM® X-Force Threat Intelligence Index, estos ataques son una de las formas más comunes en que los actores de amenazas se cuelan en las redes, y representan el 30 % de todos los ciberataques.

La autenticación y la autorización trabajan juntas para aplicar controles de acceso seguros y frustrar las vulneraciones de datos. Los procesos de autenticación fuertes dificultan que los piratas informáticos se apoderen de las cuentas de los usuarios. Una autorización fuerte limita el daño que los hackers pueden hacer con esas cuentas.

La autenticación, a veces abreviada en inglés como "authn", se basa en el intercambio de credenciales de usuario, también llamados factores de autenticación. Los factores de autenticación son pruebas que demuestran la identidad de un usuario.

Cuando un usuario se registra en un sistema por primera vez, establece un conjunto de factores de autenticación. Cuando el usuario inicia sesión, presenta estos factores. El sistema compara los factores presentados con los factores archivados. Si coinciden, el sistema confía en que el usuario es quien dice ser.

Los tipos comunes de factores de autenticación incluyen:

• Factores de conocimiento: algo que solo el usuario sabe, como la contraseña, el PIN o la respuesta a una pregunta de seguridad.
  
• Factores de posesión: algo que solo tiene el usuario, como un PIN de un solo uso (OTP) enviado a su teléfono móvil personal a través de un mensaje de texto SMS o un token de seguridad física.
  
• Factores inherentes: biometría, como el reconocimiento facial y el escaneo de huellas dactilares.

Las aplicaciones y recursos individuales pueden tener sus propios sistemas de autenticación. Muchas organizaciones utilizan un sistema integrado, como una solución de inicio de sesión único (SSO), en la que los usuarios pueden autenticarse una vez para acceder a varios recursos en un dominio seguro.

Los estándares de autenticación más comunes incluyen el lenguaje de marcado de aserción de seguridad (SAML) y OpenID Connect (OIDC). SAML utiliza mensajes XML para compartir información de autenticación entre sistemas, mientras que OIDC utiliza JSON Web Tokens (JWT) llamados "tokens de identificación".

• La autenticación de un solo factor (SFA) requiere un factor de autenticación para demostrar la identidad de un usuario. Proporcionar un nombre de usuario y una contraseña para iniciar sesión en un sitio de redes sociales es un ejemplo típico de SFA.
  
• La autenticación multifactor (MFA) requiere al menos dos factores de autenticación de dos tipos diferentes, como una contraseña (factor de conocimiento) y un escaneo de huellas dactilares (factor inherente).
  
• La autenticación de dos factores (2FA) es un tipo específico de MFA que requiere exactamente dos factores. La mayoría de los usuarios de internet han experimentado la 2FA, como cuando una aplicación bancaria requiere tanto una contraseña como un código de un solo uso enviado al teléfono del usuario.
  
• Los métodos de autenticación sin contraseña no utilizan contraseñas ni ningún factor de conocimiento. Los sistemas sin contraseña se han hecho populares como defensa contra los ladrones de credenciales, que se centran en los factores de conocimiento porque son los más fáciles de robar.
  
• Los sistemas de autenticación adaptativa utilizan inteligencia artificial y machine learning para ajustar los requisitos de autenticación según el riesgo del comportamiento de un usuario. Por ejemplo, es posible que un usuario que intente acceder a datos confidenciales tenga que proporcionar varios factores de autenticación antes de que el sistema los verifique.

Descubra cómo los expertos en identidad y seguridad de IBM pueden ayudarle a agilizar los esfuerzos de IAM, gestionar soluciones en entornos de cloud híbrido y transformar los flujos de trabajo de gobierno.

• Uso de un escaneo de huellas dactilares y un código PIN para desbloquear un teléfono inteligente.
  
• Mostrar documento de identidad para abrir una nueva cuenta bancaria.
  
• Un navegador web verifica que un sitio web sea legítimo comprobando su certificado digital.
  
• Una aplicación se verifica en una interfaz de programación de aplicaciones (API) incluyendo su clave de API secreta en cada llamada que realiza.

La autorización, a veces abreviada en inglés como "authz", se basa en los permisos de los usuarios. Los permisos son políticas que detallan a qué puede acceder un usuario y qué puede hacer con ese acceso en un sistema.

Los administradores y los líderes de seguridad suelen definir los permisos de los usuarios, que luego son aplicados por los sistemas de autorización. Cuando un usuario intenta acceder a un recurso o realizar una acción, el sistema de autorización comprueba sus permisos antes de permitirle continuar.

Considere una base de datos confidencial que contenga el registro de los clientes. La autorización determina si un usuario puede ver esta base de datos. Si pueden, la autorización también determina lo que pueden hacer dentro de la base de datos. ¿Pueden simplemente leer entradas o también pueden crear, eliminar y actualizar entradas?

OAuth 2.0, que utiliza tokens de acceso para delegar permisos a los usuarios, es un ejemplo de un protocolo de autorización común. OAuth permite a las aplicaciones compartir datos entre sí. Por ejemplo, OAuth permite que un sitio de redes sociales escanee los contactos de correo electrónico de un usuario en busca de personas que el usuario pueda conocer, siempre que el usuario dé su consentimiento.

• Los métodos de control de acceso basado en roles (RBAC) determinan los permisos de acceso de los usuarios en función de sus roles. Por ejemplo, un analista de seguridad de nivel júnior podría ver las configuraciones del firewall, pero no modificarlas, mientras que el jefe de seguridad de la red podría tener pleno acceso administrativo.
  
• Los métodos de control de acceso basado en atributos (ABAC) utilizan los atributos de los usuarios, objetos y acciones (como el nombre de un usuario, el tipo de un recurso y la hora del día) para determinar los niveles de acceso. Cuando un usuario intenta acceder a un recurso, un sistema ABAC analiza todos los atributos relevantes y solo concede acceso si cumplen con ciertos criterios predefinidos. Por ejemplo, en un sistema ABAC, los usuarios pueden acceder a datos confidenciales solo durante las horas de trabajo y solo si tienen un cierto nivel de antigüedad.
  
• Los sistemas de control de acceso obligatorio (MAC) aplican políticas de control de acceso definidas de forma centralizada a todos los usuarios. Los sistemas MAC son menos granulares que RBAC y ABAC, y el acceso se basa normalmente en niveles de autorización establecidos o puntuaciones de confianza. Muchos sistemas operativos utilizan MAC para controlar el acceso de los programas a recursos sensibles del sistema.
  
• Los sistemas de control de acceso discrecional (DAC) permiten a los propietarios de los recursos establecer sus propias reglas de control de acceso para esos recursos. El DAC es más flexible que las políticas generales de MAC.

• Cuando un usuario inicia sesión en su cuenta de correo electrónico, solo puede ver sus correos electrónicos. No están autorizados a ver los mensajes de otras personas.
  
• En un sistema de historiales médicos, los datos de un paciente sólo pueden ser vistos por los proveedores a los que el paciente ha dado explícitamente su consentimiento.
  
• Un usuario crea un documento en un sistema de archivos compartido. Establecen los permisos de acceso en "solo lectura" para que otros usuarios puedan ver el documento pero no editarlo.
  
• El sistema operativo de un ordenador portátil impide que un programa desconocido modifique la configuración del sistema.

La autenticación y autorización de usuarios desempeñan funciones complementarias en la protección de la información confidencial y los recursos de red frente a amenazas internas y atacantes externos. En resumen, la autenticación ayuda a las organizaciones a defender las cuentas de usuario, mientras que la autorización ayuda a defender los sistemas a los que esas cuentas pueden acceder.

Los sistemas integrales de gestión de identidades y accesos (IAM) ayudan a rastrear la actividad de los usuarios, bloquean el acceso no autorizado a los activos de red y aplican permisos granulares para que solo los usuarios correctos puedan acceder a los recursos correctos.

La autenticación y la autorización abordan dos cuestiones cruciales que las organizaciones deben responder para aplicar controles de acceso significativos: 

• ¿Quién es usted? (Autenticación)
  
• ¿Qué se le permite hacer en este sistema? (Autorización)

Una organización necesita saber quién es un usuario antes de poder habilitar el nivel de acceso adecuado. Por ejemplo, cuando un administrador de red inicia sesión, ese usuario debe demostrar que es administrador proporcionando los factores de autenticación correctos. Solo entonces el sistema de IAM autorizará al usuario a realizar acciones administrativas, como añadir y eliminar otros usuarios.

A medida que los controles de seguridad de las organizaciones se vuelven más efectivos, más atacantes los eluden robando cuentas de usuarios y abusando de sus privilegios para causar estragos. Estos ataques son fáciles de realizar para los ciberdelincuentes. Los hackers pueden descifrar contraseñas mediante ataques de fuerza bruta, utilizar malware infostealer o comprar credenciales a otros hackers. 

El phishing es otra táctica común de robo de credenciales, y las herramientas de IA generativa ahora permiten a los hackers desarrollar ataques de phishing más efectivos en menos tiempo.

Aunque podrían considerarse medidas de seguridad básicas, la autenticación y la autorización son defensas importantes contra el robo de identidad y el abuso de cuentas, incluidos los ataques con IA.

La autenticación puede dificultar el robo de cuentas al reemplazar o reforzar las contraseñas con otros factores que son más difíciles de descifrar, como la biometría.

Los sistemas de autorización granulares pueden reducir el movimiento lateral al restringir los privilegios de los usuarios únicamente a los recursos y acciones que necesitan. Esto ayuda a limitar el daño que pueden causar los hackers maliciosos y las amenazas internas al hacer un mal uso de los derechos de acceso.