Autenticación frente a autorización: ¿cuál es la diferencia?

La autenticación y la autorización son procesos relacionados pero distintos en el sistema de gestión de identidad y acceso (IAM) de una organización. La autenticación verifica la identidad de un usuario. La autorización proporciona al usuario el nivel adecuado de acceso a los recursos del sistema.

El proceso de autenticación se basa en credenciales, como contraseñas o escaneos de huellas dactilares, que los usuarios presentan para demostrar que son quienes dicen ser.

El proceso de autorización se basa en licencias de usuario que describen lo que cada usuario puede hacer dentro de un recurso o red en individua. Por ejemplo, las licencias en un sistema de archivos podrían determinar si un usuario puede crear, leer, actualizar o eliminar archivos.

Los procesos de autenticación y autorización se aplican tanto a usuarios humanos como no humanos, como dispositivos, cargas de trabajo automatizadas y aplicaciones sitio web. Un único sistema de IAM puede manejar tanto la autenticación como la autorización, o los procesos pueden ser manejados por sistemas separados que trabajan en conjunto.

La autenticación suele ser un requisito previo para la autorización. Un sistema debe saber quién es un usuario antes de poder otorgarle acceso a cualquier cosa.

Los ataques basados en la identidad, en los que los hackers secuestran cuentas de usuario válidas y abusan de sus derechos de acceso, están en aumento. Según el IBM X-Force Threat Intelligence Index, estos ataques son una de las formas más comunes en que los actores de amenazas se cuelan en las redes y representan el 30 % de todos los ciberataques.

La autenticación y la autorización trabajan juntas para aplicar controles de acceso seguros y frustrar las filtraciones de datos. Los estables procesos de autenticación dificultan que los hackers se apoderen de las cuentas de usuario. Una autorización estable limita el daño que los hackers pueden causar con esas cuentas.

La autenticación, a veces abreviada como “authn”, se basa en el intercambio de credenciales de usuario, también llamados factores de autenticación. Los factores de autenticación son piezas de evidencia que prueban la identidad de un usuario.

Cuando un usuario se registra en un sistema por primera vez, establece un conjunto de factores de autenticación. Cuando el usuario se conecta, presenta estos factores. El sistema coteja los factores presentados con los factores archivados. Si coinciden, el sistema confía en que el usuario es quien dice ser.

Los tipos comunes de factores de autenticación incluyen:

• Factores de conocimiento: algo que solo el usuario sabe, como una contraseña, un PIN o la respuesta a una pregunta de seguridad.
  
• Factores de posesión: algo que solo tiene el usuario, como un PIN de un solo uso (OTP) enviado a su teléfono móvil personal a través de un mensaje de texto SMS o un token de seguridad física.
  
• Factores inherentes: biometría, como reconocimiento facial y escaneo de huellas dactilares.

Las aplicaciones y los recursos individuales pueden tener sus propios sistemas de autenticación. Muchas organizaciones emplean un sistema integrado, como una solución de inicio de sesión único (SSO), donde los usuarios pueden autenticar una vez para acceder a múltiples recursos en un dominio seguro.

Los estándares de autenticación comunes incluyen Security Assertion Markup Language (SAML) y OpenID Connect (OIDC). SAML utiliza mensajes XML para compartir información de autenticación entre sistemas, mientras que OIDC utiliza tokens web JSON (JWT) llamados "tokens de ID".

• La autenticación de un solo factor (SFA) requiere un factor de autenticación para demostrar la identidad de un usuario. Proporcionar un nombre de usuario y una contraseña para iniciar sesión en un sitio de redes sociales es un ejemplo típico de SFA.
  
• La autenticación multifactor (MFA) requiere al menos dos factores de autenticación de dos tipos diferentes, como una contraseña (factor de conocimiento) y un escaneo de huellas digitales (factor inherente).
  
• La autenticación de dos factores (2FA)es un tipo específico de MFA que requiere exactamente dos factores. La mayoría de los usuarios de Internet han experimentado la 2FA, como cuando una aplicación bancaria requiere tanto una contraseña como un código de un solo uso enviado al teléfono del usuario.
  
• Los métodos de autenticación sin contraseña no emplean contraseñas ni ningún factor de conocimiento. Los sistemas sin contraseña se volvieron populares como defensa contra los ladrones de credenciales, que se dirigen a los factores de conocimiento porque son los más fáciles de robar.
  
• Los sistemas de autenticación adaptativa utilizan inteligencia artificial y machine learning para ajustar los requisitos de autenticación según el riesgo del comportamiento de un usuario. Por ejemplo, un usuario que intente acceder a datos confidenciales podría necesitar proporcionar múltiples factores de autenticación antes de que el sistema los verifique.

Descubra cómo los expertos en identidad y seguridad de IBM pueden ayudar a optimizar los esfuerzos de IAM, gestionar soluciones en entornos de nube híbrida y transformar los flujos de trabajo de gobernanza.

• Uso de un escaneo de huellas dactilares y un código PIN para desbloquear un teléfono inteligente.
  
• Mostrar identificación para abrir una nueva cuenta bancaria.
  
• Un navegador sitio web verifica que un sitio web sea legítimo comprobando su certificado digital.
  
• Una aplicación se verifica a sí misma ante una interfaz de programación de aplicaciones (API) al incluir su clave API secreta en cada llamada que realiza.

La autorización, a veces abreviada como "authz", se basa en las licencias de los usuarios. Los permisos son políticas que detallan a qué puede acceder un usuario y qué puede hacer con ese acceso en un sistema.

Los administradores y líderes de seguridad suelen definir las licencias de los usuarios, que luego son aplicados por los sistemas de autorización. Cuando un usuario intenta acceder a un recurso o realizar una acción, el sistema de autorización verifica sus licencias antes de permitirle continuar.

Considere una base de datos confidencial que contenga registros de clientes. La autorización determina si un usuario puede ver esta base de datos. Si pueden, la autorización también determina lo que pueden hacer dentro de la base de datos. ¿Pueden solo leer entradas, o también pueden crear, eliminar y actualizar entradas?

OAuth 2.0, que utiliza tokens de acceso para delegar permisos a los usuarios, es un ejemplo de un protocolo de autorización común. OAuth permite a las aplicaciones compartir datos entre sí. Por ejemplo, OAuth permite que un sitio de redes sociales escanee los contactos de correo electrónico de un usuario en busca de personas que el usuario pueda conocer, siempre que el usuario dé su consentimiento.

• Los métodos de control de acceso basado en roles (RBAC) determinan las licencias de acceso de los usuarios en función de sus roles. Por ejemplo, un analista de seguridad de nivel junior podría ver las configuraciones del cortafuegos, pero no cambiarlas, mientras que el jefe de seguridad de la red podría tener acceso administrativo completo.
  
• Los métodos de control de acceso basado en atributos (ABAC) emplean los atributos de los usuarios, objetos y acciones, como el nombre de un usuario, el tipo de un recurso y la hora del día, para determinar los niveles de acceso. Cuando un usuario intenta acceder a un recurso, un sistema ABAC analiza todos los atributos relevantes y solo concede acceso si cumplen con ciertos criterios predefinidos. Por ejemplo, en un sistema ABAC, los usuarios pueden acceder a datos confidenciales solo durante las horas de trabajo y solo si tienen un cierto nivel de antigüedad.
  
• Los sistemas de control de acceso obligatorio (MAC ) aplican políticas de control de acceso definidas de forma centralizada a todos los usuarios. Los sistemas MAC son menos granulares que RBAC y ABAC, y el acceso se basa normalmente en niveles de autorización establecido o puntajes de confianza. Muchos sistemas operativos emplean MAC para controlar el acceso de los programas a recursos sensibles del sistema.
  
• Los sistemas de control de acceso discrecional (DAC) permiten a los propietarios de los recursos establecer sus propias reglas de control de acceso para esos recursos. DAC es más flexible que las políticas generales de MAC.

• Cuando un usuario inicia sesión en su cuenta de correo electrónico, solo puede ver sus correos electrónicos. No está autorizado a ver los mensajes de nadie más.
  
• En un sistema de registros de atención médica, los datos de un paciente solo pueden ser vistos por proveedores a quienes el paciente dio explícitamente su consentimiento.
  
• Un usuario crea un documento en un sistema de archivos compartido. Establecen los permisos de acceso en “solo lectura” para que otros usuarios puedan ver el documento pero no puedan editarlo.
  
• El sistema operativo de una computadora portátil evita que un programa desconocido cambie la configuración del sistema.

La autenticación y autorización de usuarios desempeñan funciones complementarias en la protección de la información confidencial y los recursos de red frente a amenazas de usuarios internos y atacantes externos. En resumen, la autenticación ayuda a las organizaciones a defender las cuentas de usuario, mientras que la autorización ayuda a defender los sistemas a los que esas cuentas pueden acceder.

Los sistemas integrales de gestión de identidad y acceso (IAM) ayudan a rastrear la actividad del usuario, bloquear el acceso no autorizado a los activos de la red y aplicar licencias granulares para que solo los usuarios adecuados puedan acceder a los recursos correctos.

La autenticación y la autorización abordan dos preguntas críticas que las organizaciones deben responder para aplicar controles de acceso significativos: 

• ¿Quién eres? (Autenticación)
  
• ¿Qué se le permite hacer en este sistema? (Autorización)

Una organización necesita saber quién es un usuario antes de poder habilitar el nivel de acceso adecuado. Por ejemplo, cuando un administrador de red inicia sesión, ese usuario debe demostrar que es un administrador proporcionando los factores de autenticación correctos. Solo entonces el sistema IAM autorizará al usuario a realizar acciones administrativas, como agregar y eliminar otros usuarios.

A medida que los controles de seguridad organizacionales se vuelven más efectivos, más atacantes los eluden robando cuentas de usuario y abusando de sus privilegios para causar estragos. Estos ataques son fáciles de realizar para los delincuentes cibernéticos. Los hackers pueden descifrar contraseñas mediante ataques de fuerza bruta, utilizar malware infostealer o comprar credenciales de otros hackers. 

El phishing es otra es otra táctica común de robo de credenciales, y las herramientas de IA generativa ahora permiten a los hackers desarrollar ataques de phishing más efectivos en menos tiempo.

Si bien pueden verse como medidas básicas de seguridad, la autenticación y la autorización son defensas importantes contra el robo de identidad y el abuso de cuentas, incluidos los ataques impulsados por IA.

La autenticación puede dificultar el robo de cuentas al reemplazar o reforzar las contraseñas con otros factores que son más difíciles de descifrar, como la biometría.

Los sistemas de autorización granulares pueden reducir el movimiento lateral al restringir los privilegios de los usuarios únicamente a los recursos y acciones que necesitan. Esto ayuda a limitar el daño que pueden causar los hackers maliciosos y las amenazas internas al hacer un mal uso de los derechos de acceso.