¿Qué es la autenticación?

Considere un escenario de autenticación común: proporcionar un ID de usuario y una contraseña para iniciar sesión en una cuenta de email. Cuando el usuario ingresa su ID de usuario (que probablemente sea su dirección de email en esta situación), le está diciendo al sistema de email: "Esto es lo que soy".

Pero eso no es suficiente para verificar la identidad del usuario final. Cualquiera puede ingresar el ID de usuario que desee, especialmente cuando el ID de un usuario es algo público, como una dirección de email. Para demostrar que realmente es la persona propietaria de esa dirección de email, el usuario ingresa su contraseña, un conocimiento secreto que (teóricamente) nadie más debería tener. Luego, el sistema de email identifica a este usuario como el verdadero titular de la cuenta y le permite ingresar.

Los procesos de autenticación también pueden confirmar las identidades de usuarios no humanos, como servidores, aplicaciones sitio web y otras máquinas y cargas de trabajo.

La autenticación es un componente fundamental de la estrategia de seguridad de la información . Es particularmente importante para la gestión de identidades y accesos (IAM), la disciplina de ciberseguridad que se ocupa de cómo los usuarios acceden a los recursos digitales. La autenticación permite a las organizaciones limitar el acceso a la red a usuarios legítimos y es el primer paso para hacer cumplir las licencias de los usuarios individuales.

Hoy en día, las identidades de los usuarios son los principales objetivos de los actores de amenazas. Según el IBM X-Force Threat Intelligence Index, el secuestro de cuentas de usuario válidas es la forma más común en que los atacantes irrumpen en las redes, lo que representa el 30% de los ciberataques. Los hackers roban credenciales y luego se hacen pasar por usuarios legítimos, lo que les permite escabullir de las defensas de la red para plantar malware y robar datos.

Para combatir estos ataques basados en la identidad, muchas organizaciones se están alejando de los métodos de autenticación puramente basados en contraseñas. En su lugar, están adoptando la autenticación multifactor, la autenticación adaptativa y otros sistemas de autenticación estables en los que las credenciales de los usuarios son más difíciles de robar o falsificar.

La autenticación y la autorización son procesos relacionados pero distintos. La autenticación verifica la identidad de un usuario, mientras que la autorización otorga a ese usuario verificado el nivel adecuado de acceso a un recurso.

Se puede pensar que la autenticación y la autorización responden a dos preguntas complementarias:

• Autenticación: ¿Quién es usted?
  
  
• Autorización: ¿Qué se le permite hacer en este sistema?

La autenticación suele ser un requisito previo para la autorización. Por ejemplo, cuando un administrador de red inicia sesión en un sistema seguro, debe demostrar que es un administrador proporcionando los factores de autenticación correctos. Solo entonces el sistema IAM autorizará al usuario a realizar acciones administrativas, como agregar y eliminar otros usuarios.

A un alto nivel, la autenticación se basa en el intercambio de credenciales de usuario, también llamados factores de autenticación. Un usuario proporciona sus credenciales al sistema de autenticación. Si coinciden con lo que el sistema tiene archivado, el sistema autentica al usuario.

Para profundizar un poco más, se puede dividir el proceso de autenticación en una serie de pasos:

1. Primero, un nuevo usuario debe crear una cuenta dentro de un sistema de autenticación. Como parte de la creación de esta cuenta, el usuario registra un conjunto de factores de autenticación, que pueden variar desde contraseñas simples hasta tokens de physical security y escaneos de huellas dactilares. (Para obtener más información, consulte “Factores de autenticación”).
   
   Estos factores deben ser cosas que sólo el usuario tenga o sepa. De esta manera, el sistema de autenticación puede estar razonablemente seguro de que si alguien puede proporcionar estos factores, debe ser el usuario.
   
   
2. El sistema de autenticación almacena las credenciales del usuario en un directorio o base de datos, donde están asociadas con el ID del usuario y otros atributos importantes.
   
   Por motivos de seguridad, los sistemas de autenticación no suelen almacenar las credenciales como texto sin formato. En su lugar, almacenan versiones hash o cifradas, lo que sería menos útil para cualquier pirateador que las robara.
   
   
3. Cuando el usuario desea iniciar sesión en el sistema, proporciona su ID de usuario y sus factores de autenticación registrados. El sistema de autenticación verifica la entrada del directorio para este ID de usuario para ver si sus credenciales coinciden con las credenciales almacenadas en el directorio. Si lo hacen, el sistema de autenticación verifica la identidad del usuario.
   
   Lo que el usuario verificado puede hacer a continuación depende del proceso de autorización separado, pero relacionado.

Si bien este ejemplo asume un usuario humano, la autenticación generalmente es la misma para los usuarios no humanos. Por ejemplo, cuando un desarrollador conecta una aplicación a una interfaz de programación de aplicaciones (API) por primera vez, la API puede generar una clave de API. La clave es un valor secreto que solo conocen la API y la aplicación. A partir de ese momento, cada vez que la aplicación haga una llamada a esa API, debe mostrar su clave para demostrar que la llamada es genuina.

Hay cuatro tipos de factores de autenticación que los usuarios pueden usar para probar sus identidades:

Tradicionalmente, cada aplicación, sitio web u otro recurso tenía su propio sistema IAM para gestionar la autenticación de usuarios. Con el auge de la transformación digital y la proliferación de aplicaciones para compañías y consumidores, este sistema fragmentado se volvió engorroso e engorroso.

Las organizaciones tienen dificultades para rastrear a los usuarios y aplicar políticas de acceso coherentes en toda la red. Los usuarios adoptan malos hábitos de seguridad, como usar contraseñas simples o reutilizar credenciales en todos los sistemas.

En respuesta, muchas organizaciones están implementando enfoques más unificados para la identidad en los que un solo sistema puede autenticar a los usuarios para varias aplicaciones y activos.

• El inicio de sesión único (SSO) es un esquema de autenticación en el que los usuarios pueden registrarse una vez usando un único conjunto de credenciales y acceder a múltiples aplicaciones dentro de un dominio específico.

• La arquitectura de identidad federada es un acuerdo de autenticación más amplio en el que un sistema puede autenticar a los usuarios para otro. Los inicios de sesión sociales, como el uso de una cuenta de Google para iniciar sesión en un sitio web diferente, son una forma común de identidad federada.

• Identity orchestration elimina la identidad y la autenticación de los sistemas individuales, tratando la identidad como una capa de red por derecho propio. Las soluciones de Identity orchestration introducen una capa de integración, llamada tejido de identidad, que permite a las organizaciones crear sistemas de autenticación personalizados que pueden integrar cualquier aplicación y activo.

Los diferentes sistemas de autenticación emplean diferentes esquemas de autenticación. Algunos de los tipos más comunes incluyen:

• Autenticación de un solo factor
• Autenticación multifactor y autenticación de dos factores
• Autenticación adaptativa
• Autenticación sin contraseña

En un proceso de autenticación de factor único (SFA), los usuarios deben proporcionar solo un factor de autenticación para probar sus identidades. Por lo general, los sistemas SFA se basan en combinaciones de nombre de usuario y contraseña.

La SFA se considera el tipo de autenticación menos seguro porque significa que los hackers necesitan robar solo una credencial para apoderar de la cuenta de un usuario. La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) desaconseja oficialmente la SFA como una "mala práctica".

Los métodos de autenticación multifactor (MFA) requieren al menos dos factores de al menos dos tipos diferentes. MFA se considera más fuerte que SFA porque los hackers deben robar múltiples credenciales para apoderar de las cuentas de usuario. Los sistemas MFA también tienden a usar credenciales que son mucho más difíciles de robar que las contraseñas.

La autenticación de dos factores (2FA) es un tipo de MFA que emplea exactamente dos factores de autenticación. Es probablemente la forma más común de MFA en uso hoy en día. Por ejemplo, cuando un sitio web requiere que los usuarios ingresen tanto una contraseña como un código que se envía por mensaje de texto a su teléfono, eso es un esquema 2FA en acción.

Los sistemas de autenticación adaptativa, a veces denominados autenticación basada en riesgos, emplean inteligencia artificial (IA) y machine learning (ML) para analizar el comportamiento del usuario y calcular el nivel de riesgo. Los sistemas de autenticación adaptativa cambian dinámicamente los requisitos de autenticación en función de lo arriesgado que sea el comportamiento de un usuario en ese momento.

Por ejemplo, si alguien inicia sesión en una cuenta desde su dispositivo y ubicación habituales, es posible que solo necesite ingresar su contraseña. Si ese mismo usuario inicia sesión desde un nuevo dispositivo o intenta acceder a datos confidenciales, el sistema de autenticación adaptativa podría aplicar más factores antes de permitirle continuar.

La autenticación sin contraseña es un sistema de autenticación que no emplea contraseñas ni otros factores de conocimiento. Por ejemplo, el estándar de autenticación Fast Identity Online 2 (FIDO2) reemplaza las contraseñas con claves basadas en criptografía de clave pública.

Bajo FIDO2, un usuario registra su dispositivo para actuar como autenticador con una aplicación, sitio web u otro servicio. Durante el registro, se crea un par de claves pública-privada. La clave pública se comparte con el servicio y la clave privada se mantiene en el dispositivo del usuario.

Cuando el usuario quiere iniciar sesión en el servicio, el servicio envía un desafío a su dispositivo. El usuario responde ingresando un código PIN, escaneando su huella digital o realizando alguna otra acción. Esta acción permite que el dispositivo use la clave privada para firmar el desafío y demostrar la identidad del usuario.

Las organizaciones están adoptando cada vez más la autenticación sin contraseña para defender de los ladrones de credenciales, que tienden a centrar en factores de conocimiento debido a lo relativamente fáciles que son de robar.

• El lenguaje de marcado de aserción de seguridad (SAML) es un estándar abierto que permite que las aplicaciones y los servicios compartan información de autenticación de usuarios a través de mensajes XML. Muchos sistemas SSO utilizan aserciones SAML para autenticar a los usuarios en aplicaciones integradas.
  
  
• OAuth y OpenID Connect (OIDC): OAuthes un protocolo de autorización basado en token que permite a los usuarios otorgar a una aplicación acceso a los datos de otra aplicación sin compartir credenciales entre esas aplicaciones. Por ejemplo, cuando un usuario permite que un sitio de redes sociales importe sus contactos de correo electrónico, este proceso a menudo utiliza OAuth.
  
  OAuth no es un protocolo de autenticación, pero se puede combinar con OpenID Connect (OIDC), una capa de identidad construida sobre el protocolo OAuth. ODIC agrega tokens de identificación junto con los tokens de autorización de OAuth. Estos tokens de ID pueden autenticar a un usuario y contener información sobre sus atributos.
  
  
• Kerberos es un esquema de autenticación basado en tiquetes comúnmente empleado en dominios de Microsoft Active Directory. Los usuarios y servicios se autentican en un centro de distribución de claves central, que les otorga tiquetes que les permiten autenticar entre sí y acceder a otros recursos en el mismo dominio.

A medida que los controles de ciberseguridad se vuelven más efectivos, los actores de amenazas están aprendiendo a sortearlos en lugar de abordarlos de frente. Los procesos de autenticación estables pueden ayudar a detener los ciberataques basados en la identidad en los que los hackers roban cuentas de usuario y abusan de sus privilegios válidos para escabullir de las defensas de la red y causar estragos.

Los ataques basados en la identidad son el vector de ataque inicial más común según el Índice de Inteligencia de Amenazas X-Force, y los actores de amenazas tienen muchas tácticas para robar credenciales. Las contraseñas de usuario, incluso las más seguras, son fáciles de descifrar mediante ataques de fuerza bruta, en los que los hackers emplean bots y scripts para probar sistemáticamente posibles contraseñas hasta que una funciona.

Los actores de amenazas pueden usar tácticas de ingeniería social para engañar a los objetivos para que revelen sus contraseñas. Pueden probar métodos más directos, como ataques de intermediario o plantar spyware en los dispositivos de las víctimas. Los atacantes pueden incluso comprar credenciales en la web oscura, donde otros hackers venden datos de cuentas que robaron durante brechas anteriores.

Sin embargo, muchas organizaciones siguen utilizando sistemas de autenticación ineficaces. Según el X-Force Threat Intelligence Index, las fallas de identificación y autenticación son los segundos riesgos de seguridad de aplicaciones web más comúnmente observados.

Los procesos de autenticación estables pueden ayudar a proteger las cuentas de los usuarios, y los sistemas a los que pueden acceder, al dificultar que los hackers roben credenciales y se hagan pasar por usuarios legítimos.

Por ejemplo, la autenticación multifactor (MFA) hace que los hackers deban robar múltiples factores de autenticación, incluidos dispositivos físicos o incluso datos biométricos, para suplantar a los usuarios. Del mismo modo, los esquemas de autenticación adaptables pueden detectar cuándo los usuarios están participando en comportamientos de riesgo y plantear desafíos de autenticación adicionales antes de permitirles continuar. Esto puede ayudar a bloquear los intentos de los atacantes de abusar de las cuentas robadas.

Al fortalecer la ciberseguridad, la autenticación también puede ayudar a generar beneficios adicionales. Por ejemplo, en un estudio del IBM Institute for Business Value se reveló que el 66 % de los ejecutivos de operaciones ven la ciberseguridad como un elemento que maximiza los ingresos.

Los sistemas de autenticación también pueden servir para casos de uso específicos más allá de la protección de cuentas de usuario individuales, entre ellos:

• Control de acceso: Para hacer cumplir políticas de acceso granulares y monitorear lo que hacen los usuarios en sus redes, las organizaciones necesitan alguna forma de determinar quién es quién dentro de sus sistemas. La autenticación permite a las organizaciones restringir el acceso a la red solo a usuarios legítimos, garantizar que cada usuario tenga los privilegios adecuados y atribuya actividad a usuarios específicos.
  
  
• Cumplimiento normativo: Muchas regulaciones de privacidad y seguridad de datos requieren políticas estrictas de control de acceso y un seguimiento exhaustivo de la actividad del usuario. Algunas regulaciones, como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), exigen específicamente el uso de sistemas MFA.¹
  
  
• Seguridad de IA: a medida que los actores de amenazas emplean herramientas de IA para llevar a cabo sofisticados ciberataques, las medidas de autenticación estables pueden ayudar a frustrar incluso las amenazas avanzadas. Por ejemplo, los estafadores pueden emplear la IA generativa para elaborar mensajes de phishing convincentes y robar más contraseñas, pero los sistemas de autenticación adaptativa pueden ayudar a atrapar a estos estafadores cuando intentan hacer un uso indebido de los privilegios de las cuentas.