1 de marzo de 2024
El inicio de sesión único, o SSO, es un esquema de autenticación que permite a los usuarios iniciar sesión una vez utilizando un único conjunto de credenciales y acceder a varias aplicaciones durante la misma sesión.
El inicio de sesión único simplifica la autenticación del usuario, mejora su experiencia y, cuando se implementa correctamente, mejora la seguridad. Se utiliza a menudo para gestionar la autenticación y el acceso seguro a intranets o extranets de empresa, portales de estudiantes, servicios de nube pública y otros entornos en los que los usuarios necesitan moverse entre distintas aplicaciones para realizar su trabajo. También se utiliza cada vez más en sitios web y aplicaciones orientadas al cliente, como sitios bancarios y de comercio electrónico, para combinar aplicaciones de proveedores externos en experiencias de usuario fluidas e ininterrumpidas.
Refuerce su inteligencia de seguridad
Manténgase a la vanguardia de las amenazas con noticias e información sobre seguridad, IA y mucho más, semanalmente en el boletín Think.
El inicio de sesión único se basa en una relación de confianza digital entre los proveedores de servicio (aplicaciones, sitios web, servicios) y un proveedor de identidad (IdP) o una solución de SSO. La solución SSO suele formar parte de una solución más amplia de gestión de identidades y accesos (IAM).
En general, la autenticación SSO funciona de la siguiente manera:
Un usuario se conecta a uno de los proveedores de servicios o a un portal central (como la intranet de una empresa o el portal de un estudiante universitario) utilizando las credenciales de inicio de sesión SSO.
Cuando el usuario se autentica correctamente, la solución SSO genera un token de autenticación de sesión que contiene información específica sobre la identidad del usuario: un nombre de usuario, una dirección de correo electrónico, etc. Este token se almacena con el navegador web del usuario o en el sistema SSO.
Cuando el usuario intenta acceder a otro proveedor de servicios de confianza, la aplicación comprueba con el sistema SSO si el usuario ya está autenticado para la sesión. Si es así, la solución SSO valida al usuario firmando el token de autenticación con un certificado digital y se le concede acceso a la aplicación. De lo contrario, se solicita al usuario que vuelva a introducir las credenciales de inicio de sesión.
El proceso de SSO descrito anteriormente (un inicio de sesión único y un conjunto de credenciales de usuario que brindan acceso de sesión a múltiples aplicaciones relacionadas) a veces se denomina SSO simple o SSO puro. Otros tipos de SSO son:
SSO adaptable
El SSO adaptable requiere un conjunto inicial de credenciales de inicio de sesión, pero solicita factores de autenticación adicionales o un nuevo inicio de sesión cuando surgen riesgos adicionales, como cuando un usuario inicia sesión desde un nuevo dispositivo o intenta acceder a datos o funcionalidades especialmente confidenciales.
Gestión de identidades federadas (FIM)
La gestión de identidades federadas, o FIM, es un superconjunto de SSO. Si bien el SSO se basa en una relación de confianza digital entre las aplicaciones dentro del dominio de una sola organización, la FIM extiende esa relación a terceros, proveedores y otros proveedores de servicios de confianza ajenos a la organización. Por ejemplo, la FIM puede permitir que un empleado que haya iniciado sesión acceda a aplicaciones web de terceros (por ejemplo, Slack o WebEx) sin un inicio de sesión adicional o con un simple inicio de sesión solo con un nombre de usuario.
Inicio de sesión social
El inicio de sesión social permite a los usuarios finales autenticarse en las aplicaciones utilizando las mismas credenciales que utilizan para autenticarse en los sitios de redes sociales populares. Para los proveedores de aplicaciones de terceros, el inicio de sesión social puede desalentar comportamientos no deseados (por ejemplo, inicios de sesión falsos o abandono del carrito de compras) y proporcionar información valiosa para mejorar sus aplicaciones.
SSO se puede implementar mediante cualquiera de los varios protocolos y servicios de autenticación.
SAML/SAML 2.0
Security Assertion Markup Language, o SAML, es el protocolo estándar abierto más antiguo para el intercambio de datos cifrados de autenticación y autorización entre un proveedor de identidad y varios proveedores de servicios. Debido a que proporciona un mayor control sobre la seguridad que otros protocolos, SAML se utiliza normalmente para implementar SSO dentro y entre dominios de aplicaciones empresariales o gubernamentales.
OAuth/OAuth 2.0
Open Authorization, u OAuth, es un protocolo estándar abierto que intercambia datos de autorización entre aplicaciones sin exponer la contraseña del usuario. OAuth permite el uso de un único inicio de sesión para agilizar las interacciones entre aplicaciones que normalmente requerirían inicios de sesión separados para cada una. Por ejemplo, OAuth hace posible que LinkedIn busque en sus contactos de correo electrónico posibles nuevos miembros de la red.
OpenID Connect (OIDC)
OICD, otro protocolo estándar abierto, utiliza API REST y tokens de autenticación JSON para permitir que un sitio web o una aplicación concedan acceso a los usuarios autenticándolos a través de otro proveedor de servicios.
Superpuesto a OAuth, OICD se utiliza principalmente para implementar inicios de sesión sociales en aplicaciones de terceros, carros de la compra, etc. OAuth/OIDC, una implementación ligera, suele ser SAML para implementar SSO en los dispositivos software como servicio (SaaS) y aplicaciones en la nube, aplicaciones móviles e Internet de las cosas (IoT).
LDAP
El protocolo ligero de acceso a directorios (LDAP) define un directorio para almacenar y actualizar las credenciales de los usuarios, así como un proceso para autenticar a los usuarios contra el directorio. Introducido en 1993, LDAP sigue siendo la solución de directorio de autenticación elegida por muchas organizaciones que implementan SSO, porque LDAP les permite proporcionar un control granular sobre el acceso al directorio.
ADFS
Active Directory Federation Services, o ADFS, se ejecuta en Microsoft Windows Server para permitir la gestión de identidades federadas, incluido el inicio de sesión único, con aplicaciones y servicios en las instalaciones y externos. ADFS utiliza Active Directory Domain Services (ADDS) como proveedor de identidades.
El SSO ahorra tiempo y problemas a los usuarios. Por ejemplo: en lugar de iniciar sesión en varias aplicaciones varias veces al día, con el SSO los usuarios finales corporativos pueden iniciar sesión en la intranet corporativa solo una vez para acceder durante todo el día a todas las aplicaciones que necesitan.
Pero, al reducir significativamente el número de contraseñas que deben recordar los usuarios y el número de cuentas de usuario que deben gestionar los administradores, el SSO puede aportar otras muchas ventajas.
Los usuarios que tienen que gestionar muchas contraseñas a menudo caen en la mala y arriesgada costumbre de utilizar las mismas contraseñas cortas y débiles, o ligeras variaciones de las mismas, para cada aplicación. Un hacker que descifre una de estas contraseñas puede acceder fácilmente a múltiples aplicaciones. SSO permite a los usuarios consolidar varias contraseñas cortas y débiles en una sola contraseña larga y segura que es más fácil de recordar para los usuarios y mucho más difícil de descifrar para los piratas informáticos.
Según el IBM X-Force Threat Intelligence Index 2025, por segundo año consecutivo, el uso de credenciales de cuentas válidas secuestradas fue el vector de acceso inicial más común en los ciberataques (este año empatado en primer lugar con la explotación de aplicaciones de cara al público). El SSO puede reducir o eliminar la necesidad de gestores de contraseñas, contraseñas almacenadas en hojas de cálculo, contraseñas escritas en notas adhesivas y otras ayudas para la memoria, todo lo cual proporciona objetivos para los hackers o hace que las contraseñas sean más fáciles de robar o encontrar para las personas equivocadas.
Según el analista del sector Gartner, entre el 20 y el 50 por ciento de las llamadas al servicio de asistencia técnica de TI están relacionadas con contraseñas olvidadas o restablecimientos de contraseñas. La mayoría de las soluciones SSO facilitan a los usuarios restablecer sus contraseñas ellos mismos, con asistencia del servicio de asistencia técnica.
Un estudio del IBM Institute for Business Value reveló que el 52 % de los ejecutivos afirman que la complejidad es el mayor impedimento para las operaciones de seguridad. SSO ofrece a los administradores un control más sencillo y centralizado sobre el aprovisionamiento de cuentas y los permisos de acceso. Cuando un usuario abandona la organización, los administradores pueden eliminar permisos y desactivar la cuenta de usuario en menos pasos.
El SSO puede facilitar el cumplimiento de los requisitos normativos relativos a la protección de la información de identidad personal (IIP) y el control de acceso a los datos, así como los requisitos específicos de algunas normativas, como la HIPAA, sobre el tiempo de espera de las sesiones.
El principal riesgo del SSO es que si las credenciales de un usuario se ven comprometidas, pueden otorgarle a un atacante acceso a todas o la mayoría de las aplicaciones y recursos de la red. Requerir a los usuarios que creen contraseñas largas y complejas, y cifren y protejan cuidadosamente esas contraseñas dondequiera que estén almacenadas, contribuye en gran medida a prevenir este peor de los escenarios.
Además, la mayoría de expertos en seguridad recomiendan la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) como parte de cualquier implementación del SSO. 2FA o MFA exigen que los usuarios proporcionen al menos un factor de autenticación además de la contraseña: por ejemplo, un código enviado a un teléfono móvil, una huella dactilar, un documento de identidad. Como estas credenciales adicionales son aquellas que los hackers no pueden robar o falsificar fácilmente, la MFA puede reducir drásticamente los riesgos relacionados con las credenciales comprometidas en el SSO.