Autenticación frente a autorización: ¿cuál es la diferencia?

La autenticación y la autorización son procesos relacionados pero distintos en el sistema de gestión de identidad y acceso (IAM) de una organización. La autenticación verifica la identidad de un usuario. La autorización proporciona al usuario el nivel adecuado de acceso a los recursos del sistema.

El proceso de autenticación se basa en credenciales, como contraseñas o escaneos de huellas dactilares, que los usuarios presentan para demostrar que son quienes dicen ser.

El proceso de autorización se basa en licencias de usuario que describen lo que cada usuario puede hacer dentro de un recurso o red en individua. Por ejemplo, las licencias en un sistema de archivos podrían determinar si un usuario puede crear, leer, actualizar o eliminar archivos.

Los procesos de autenticación y autorización se aplican tanto a usuarios humanos como no humanos, como dispositivos, cargas de trabajo automatizadas y aplicaciones sitio web. Un único sistema de IAM puede manejar tanto la autenticación como la autorización, o los procesos pueden ser manejados por sistemas separados que trabajan en conjunto.

La autenticación suele ser un requisito previo para la autorización. Un sistema debe saber quién es un usuario antes de poder otorgarle acceso a cualquier cosa.

Los ataques basados en la identidad, en los que los hackers secuestran cuentas de usuario válidas y abusan de sus derechos de acceso, están en aumento. Según el IBM X-Force Threat Intelligence Index, estos ataques son la forma más común en que los actores de amenazas se cuelan en las redes y representan el 30% de todos los ciberataques.

La autenticación y la autorización trabajan juntas para aplicar controles de acceso seguros y frustrar las filtraciones de datos. Los estables procesos de autenticación dificultan que los hackers se apoderen de las cuentas de usuario. Una autorización estable limita el daño que los hackers pueden causar con esas cuentas.

Cómo funciona la autenticación

La autenticación, a veces abreviada como “authn”, se basa en el intercambio de credenciales de usuario, también llamados factores de autenticación. Los factores de autenticación son piezas de evidencia que prueban la identidad de un usuario.

Cuando un usuario se registra en un sistema por primera vez, establece un conjunto de factores de autenticación. Cuando el usuario se conecta, presenta estos factores. El sistema coteja los factores presentados con los factores archivados. Si coinciden, el sistema confía en que el usuario es quien dice ser.

Los tipos comunes de factores de autenticación incluyen:

• Factores de conocimiento: algo que solo el usuario sabe, como una contraseña, un PIN o la respuesta a una pregunta de seguridad.
  
• Factores de posesión: algo que solo tiene el usuario, como un PIN de un solo uso (OTP) enviado a su teléfono móvil personal a través de un mensaje de texto SMS o un token de seguridad física.
  
• Factores inherentes: biometría, como reconocimiento facial y escaneo de huellas dactilares.

Las aplicaciones y los recursos individuales pueden tener sus propios sistemas de autenticación. Muchas organizaciones emplean un sistema integrado, como una solución de inicio de sesión único (SSO) (SSO), donde los usuarios pueden autenticar una vez para acceder a múltiples recursos en un dominio seguro.

Los estándares de autenticación más comunes incluyen el lenguaje de marcado de aserción de seguridad (SAML) y OpenID Connect (OIDC). SAML utiliza mensajes XML para compartir información de autenticación entre sistemas, mientras que OIDC utiliza JSON Web Tokens (JWT) llamados "tokens de identificación".

Tipos de autenticación

• La autenticación de un solo factor (SFA) requiere un factor de autenticación para demostrar la identidad de un usuario. Proporcionar un nombre de usuario y una contraseña para iniciar sesión en un sitio de redes sociales es un ejemplo típico de SFA.
  
• La autenticación multifactor (MFA) requiere al menos dos factores de autenticación de dos tipos diferentes, como una contraseña (factor de conocimiento) y un escaneo de huellas digitales (factor inherente).
  
• La autenticación de dos factores (2FA) es un tipo específico de MFA que requiere exactamente dos factores. La mayoría de los usuarios de Internet experimentaron la 2FA, como cuando una aplicación bancaria requiere tanto una contraseña como un código de un solo uso enviado al teléfono del usuario.
  
• Los métodos de autenticación sin contraseña no emplean contraseñas ni ningún factor de conocimiento. Los sistemas sin contraseña se volvieron populares como defensa contra los ladrones de credenciales, que se dirigen a los factores de conocimiento porque son los más fáciles de robar.
  
• Los sistemas de autenticación adaptativa utilizan inteligencia artificial y machine learning para ajustar los requisitos de autenticación en función del riesgo del comportamiento de un usuario. Por ejemplo, es posible que un usuario que intente acceder a datos confidenciales tenga que proporcionar varios factores de autenticación antes de que el sistema los verifique.

Descubra cómo los expertos en identidad y seguridad de IBM pueden ayudar a optimizar los esfuerzos de IAM, gestionar soluciones en entornos de nube híbrida y transformar los flujos de trabajo de gobernanza.

Ejemplos de autenticación

• Uso de un escaneo de huellas dactilares y un código PIN para desbloquear un teléfono inteligente.
  
• Mostrar identificación para abrir una nueva cuenta bancaria.
  
• Un navegador sitio web verifica que un sitio web sea legítimo comprobando su certificado digital.
  
• Una aplicación se verifica a sí misma ante una interfaz de programación de aplicaciones (API) al incluir su clave API secreta en cada llamada que realiza.

Cómo funciona la autorización

La autorización, a veces abreviada como "authz", se basa en las licencias de los usuarios. Los permisos son políticas que detallan a qué puede acceder un usuario y qué puede hacer con ese acceso en un sistema.

Los administradores y líderes de seguridad suelen definir las licencias de los usuarios, que luego son aplicados por los sistemas de autorización. Cuando un usuario intenta acceder a un recurso o realizar una acción, el sistema de autorización verifica sus licencias antes de permitirle continuar.

Considere una base de datos confidencial que contenga registros de clientes. La autorización determina si un usuario puede ver esta base de datos. Si pueden, la autorización también determina lo que pueden hacer dentro de la base de datos. ¿Pueden solo leer entradas, o también pueden crear, eliminar y actualizar entradas?

OAuth 2.0, que utiliza tokens de acceso para delegar permisos a los usuarios, es un ejemplo de un protocolo de autorización común. OAuth permite a las aplicaciones compartir datos entre sí. Por ejemplo, OAuth permite que un sitio de redes sociales escanee los contactos de correo electrónico de un usuario en busca de personas que el usuario pueda conocer, siempre que el usuario dé su consentimiento.

Tipos de autorización

• Los métodos de control de acceso basado en roles (RBAC) determinan las licencias de acceso de los usuarios en función de sus roles. Por ejemplo, un analista de seguridad de nivel junior podría ver las configuraciones del cortafuegos pero no cambiarlas, mientras que el jefe de seguridad de la red podría tener acceso administrativo completo.
  
• Los métodos de control de acceso basado en atributos (ABAC) emplean los atributos de los usuarios, objetos y acciones, como el nombre de un usuario, el tipo de un recurso y la hora del día, para determinar los niveles de acceso. Cuando un usuario intenta acceder a un recurso, un sistema ABAC analiza todos los atributos relevantes y solo concede acceso si cumplen con ciertos criterios predefinidos. Por ejemplo, en un sistema ABAC, los usuarios pueden acceder a datos confidenciales solo durante las horas de trabajo y solo si tienen un cierto nivel de antigüedad.
  
• Los sistemas de control de acceso obligatorio (MAC ) aplican políticas de control de acceso definidas de forma centralizada a todos los usuarios. Los sistemas MAC son menos granulares que RBAC y ABAC, y el acceso se basa normalmente en niveles de autorización establecido o puntajes de confianza. Muchos sistemas operativos emplean MAC para controlar el acceso de los programas a recursos sensibles del sistema.
  
• Los sistemas de control de acceso discrecional (DAC) permiten a los propietarios de los recursos establecer sus propias reglas de control de acceso para esos recursos. DAC es más flexible que las políticas generales de MAC.

Ejemplos de autorización

• Cuando un usuario inicia sesión en su cuenta de correo electrónico, solo puede ver sus correos electrónicos. No está autorizado a ver los mensajes de nadie más.
  
• En un sistema de registros de atención médica, los datos de un paciente solo pueden ser vistos por proveedores a quienes el paciente dio explícitamente su consentimiento.
  
• Un usuario crea un documento en un sistema de archivos compartido. Establecen los permisos de acceso en “solo lectura” para que otros usuarios puedan ver el documento pero no puedan editarlo.
  
• El sistema operativo de una computadora portátil evita que un programa desconocido cambie la configuración del sistema.

La autenticación y autorización de usuarios desempeñan funciones complementarias en la protección de la información confidencial y los recursos de red frente a amenazas de usuarios internos y atacantes externos. En resumen, la autenticación ayuda a las organizaciones a defender las cuentas de usuario, mientras que la autorización ayuda a defender los sistemas a los que esas cuentas pueden acceder.

Proporcionar una base para la gestión de identidad y acceso

Los sistemas integrales de gestión de identidad y acceso (IAM) ayudan a rastrear la actividad del usuario, bloquear el acceso no autorizado a los activos de la red y aplicar licencias granulares para que solo los usuarios adecuados puedan acceder a los recursos correctos.

La autenticación y la autorización abordan dos preguntas críticas que las organizaciones deben responder para aplicar controles de acceso significativos: 

• ¿Quién eres? (Autenticación)
  
• ¿Qué se le permite hacer en este sistema? (Autorización)

Una organización necesita saber quién es un usuario antes de poder habilitar el nivel de acceso adecuado. Por ejemplo, cuando un administrador de red inicia sesión, ese usuario debe demostrar que es un administrador proporcionando los factores de autenticación correctos. Solo entonces el sistema IAM autorizará al usuario a realizar acciones administrativas, como agregar y eliminar otros usuarios.

Lucha contra los ciberataques avanzados

A medida que los controles de seguridad organizacionales se vuelven más efectivos, más atacantes los eluden robando cuentas de usuario y abusando de sus privilegios para causar estragos. Según el IBM X-Force Threat Intelligence Index, los ataques basados en la identidad aumentaron en frecuencia en un 71% entre 2022 y 2023.

Estos ataques son fáciles de llevar a cabo para los delincuentes cibernéticos. Los hackers pueden descifrar contraseñas a través de ataques de fuerza bruta, usar malware de robo de información o comprar credenciales de otros hackers. De hecho, el X-Force Threat Intelligence Index descubrió que las credenciales de las cuentas en la nube representan el 90 % de los activos en la nube que se venden en la dark web.

El phishing es otra táctica común de robo de credenciales, y las herramientas de IA generativa ahora permiten a los hackers desarrollar ataques de phishing más efectivos en menos tiempo.

Si bien pueden verse como medidas básicas de seguridad, la autenticación y la autorización son defensas importantes contra el robo de identidad y el abuso de cuentas, incluidos los ataques impulsados por IA.

La autenticación puede dificultar el robo de cuentas al reemplazar o reforzar las contraseñas con otros factores que son más difíciles de descifrar, como la biometría.

Los sistemas de autorización granulares pueden reducir el movimiento lateral al restringir los privilegios de los usuarios únicamente a los recursos y acciones que necesitan. Esto ayuda a limitar el daño que pueden causar los hackers maliciosos y las amenazas internas al hacer un mal uso de los derechos de acceso.

Con IBM Security Verify, las organizaciones pueden ir más allá de la autenticación y autorización básicas. Verify puede ayudar a proteger las cuentas con opciones de autenticación sin contraseña y multifactor, y puede ayudar a controlar las aplicaciones con políticas de acceso granulares y contextuales.