¿Qué es la autenticación?
Descubre cómo se verifican las identidades de personas, aplicaciones y servicios antes de que se les otorgue acceso a recursos y sistemas digitales.
Definición de la autenticación
La autenticación es el proceso que usan las empresas para confirmar que solo las personas, servicios y aplicaciones adecuados con los permisos correctos pueden acceder a recursos de la organización. Es una parte importante de la ciberseguridad porque la mayor prioridad de un infiltrado es obtener acceso no autorizado a los sistemas. Para llevar esto a cabo, roban el nombre de usuario y las contraseñas de los usuarios que sí tienen acceso. El proceso de autenticación incluye tres pasos principales:
- Identificación: Los usuarios establecen quiénes son a través de un nombre de usuario, normalmente.
- Autenticación: Normalmente, los usuarios prueban que son quienes dicen ser al escribir una contraseña (algo que, supuestamente, solo conoce el propio usuario); sin embargo, para fortalecer la seguridad, muchas organizaciones también solicitan que prueben su identidad mediante algo que poseen (un teléfono o dispositivo de tokens) o algo que son (una huella dactilar o escáner facial).
- Autorización: El sistema comprueba que los usuarios tengan permisos para el sistema al que intentan acceder.
¿Por qué la autenticación es importante?
La autenticación ese importante porque ayuda a las organizaciones a proteger sus sistemas, datos, redes, sitios webs y aplicaciones frente a ataques. También ayuda a las personas a mantener la confidencialidad de sus datos personales y las capacita para llevar a cabo sus negocios online, como operaciones de banca o inversión, con un riesgo menor. Cuando los procesos de autenticación son deficientes, es más fácil que un atacante vulnere una cuenta, ya sea al adivinar contraseñas individuales o al engañar a personas para que les entreguen sus credenciales. Esto puede desembocar en los siguientes riesgos:
- Vulneración o filtración de datos.
- La instalación de malware, como el ransomware.
- Incumplimiento de los reglamentos de privacidad de datos regionales o del sector.
Cómo funciona la autenticación
Para las personas, la autenticación consiste en establecer un nombre de usuario, una contraseña y otros métodos de autenticación como el escáner facial, la huella dactilar o un PIN. Para proteger las identidades, ninguno de estos métodos de autenticación se guarda en la base de datos del servicio. Las contraseñas no se cifran, sino que se genera para ellas un hash que se guarda en la base de datos. Cuando un usuario escribe una contraseña, se genera un hash para la contraseña introducida y se compara con el que está guardado. Si ambos hash coinciden, se otorga el acceso. Para huellas dactilares y escáneres faciales, la información se codifica, se cifra y se guarda en el dispositivo.
Tipos de métodos de autenticación
En la autenticación moderna, el proceso se delega en un sistema de identidad independiente de confianza, al contrario que en la autenticación tradicional, en la que cada sistema verifica identidades por sí mismo. También ha habido un cambio en el tipo de métodos de autenticación que se usan. La mayoría de las aplicaciones requieren un nombre de usuario y contraseña. Los infiltrados utilizan cada vez métodos más inteligentes para el robo de contraseñas, por lo que la comunidad de seguridad ha desarrollado varios métodos nuevos para ayudar a proteger las identidades.
Autenticación basada en contraseña
La autenticación basada en contraseña es la forma de autenticación más frecuente. Muchas aplicaciones y servicios requieren que las personas creen contraseñas formadas por una combinación de números, letras y símbolos para reducir el riesgo de que un infiltrado las adivine. Sin embargo, las contraseñas también crean desafíos respecto a la seguridad y el uso. A las personas les resulta difícil crear y memorizar una contraseña exclusiva para cada una de sus cuentas online, razón por la que suelen reutilizar contraseñas. Además, los atacantes utilizan muchas tácticas para adivinar o robar contraseñas, o para engañar a las personas para que las compartan involuntariamente. Por esta razón, las organizaciones han ido buscando otros métodos de autenticación más seguros en detrimento de las contraseñas.
Autenticación basada en certificado
La autenticación basada en certificado es un método cifrado que permite que los dispositivos y las personas se identifiquen en otros dispositivos y sistemas. Dos ejemplos frecuentes son las tarjetas inteligentes y el envío de certificados digitales a una red o servidor por parte del dispositivo de un empleado.
Autenticación biométrica
La autenticación biométrica se basa en la verificación de la identidad de una persona mediante sus características biológicas. Por ejemplo, muchas personas utilizan un dedo para iniciar sesión en sus teléfonos, y algunos ordenadores escanean la cara o la retina de una persona para verificar su identidad. Además, los datos biométricos se vinculan a un dispositivo específico, lo que hace que los atacantes no puedan usarlos sin obtener también acceso al dispositivo. Este tipo de autenticación es cada vez más popular debido a su facilidad de uso para las personas (ya que no necesitan memorizar nada) y a su dificultad de robo para los infiltrados, lo que lo hace más seguro que las contraseñas.
Autenticación basada en tokens
En la autenticación basada en tokens, tanto el dispositivo como el sistema generan un nuevo número singular llamado PIN temporal de un solo uso (TOTP) cada 30 segundos. Si los números coinciden, el sistema comprueba que el usuario tiene el dispositivo.
Contraseña de un solo uso
Las contraseñas de un solo uso (OTP) son códigos generados para un evento de inicio de sesión específico que expiran al poco de expedirse. Se entregan mediante mensaje SMS, correo electrónico o un token de hardware.
Notificación push
Algunas aplicaciones y servicios usan notificaciones push para autenticar a los usuarios. En estos casos, las personas reciben un mensaje en su teléfono que les solicita la aprobación o denegación del acceso solicitado. Debido a que las personas en ocasiones aprueban notificaciones push accidentalmente aunque estén intentando iniciar sesión en el servicio que envió la notificación, este método a veces se combina con un método de OTP. Con OTP, el sistema genera un número singular que el usuario tiene que escribir. Esto hace que la autenticación sea más resistente al phishing.
Autenticación por voz
En la autenticación por voz, la persona que intenta acceder a un servicio recibe una llamada telefónica en la que se les solicita introducir un código o identificarse de forma verbal.
Autenticación multifactor
Una de las mejores formas de reducir el riesgo de vulneración de cuentas es requerir dos o más métodos de autenticación, entre los que se pueden incluir cualquiera de los enumerados anteriormente. Un procedimiento recomendado eficaz es requerir dos de los siguientes métodos:
- Algo que el usuario conozca, normalmente una contraseña.
- Algo que el usuario posea, como un dispositivo de confianza que no se pueda duplicar fácilmente; por ejemplo, un teléfono o token de hardware.
- Algo que el usuario sea, como una huella dactilar o escáner facial.
Por ejemplo, muchas organizaciones solicitan una contraseña (algo que el usuario conoce) y también envían una OTP a través de SMS a un dispositivo de confianza (algo que el usuario posee) antes de permitir el acceso.
Autenticación con dos factores
La autenticación con dos factores es un tipo de autenticación multifactor que requiere dos formas de autenticación.
Los términos “autenticación” (a veces denominada AuthN) y “autorización” (a veces denominada AuthZ) se suelen usar indistintamente, pero son dos cosas diferentes, aunque relacionadas. La autenticación confirma que el usuario que inicia sesión es quien dice ser, mientras que la autorización confirma que tiene los permisos adecuados para acceder a la información que busca. Por ejemplo, alguien de recursos humanos podría tener acceso a sistemas confidenciales, como archivos de nóminas o empleados, que otros no pueden ver. Tanto la autenticación como la autorización son críticas para facilitar la productividad y proteger los datos confidenciales, la propiedad intelectual y la privacidad.
Procedimientos recomendados para la seguridad en la autenticación
Debido a que los atacantes utilizan frecuentemente la vulneración de cuentas para obtener acceso no autorizado a los recursos de una empresa, es importante instituir una seguridad sólida en la autenticación. A continuación se describen algunas medidas que puedes tomar para proteger tu organización:
-
Implementar la autenticación multifactor
Lo más importante que puedes hacer para reducir el riesgo de vulneración de cuentas es activar la autenticación multifactor y requerir, al menos, dos factores de autenticación. Es mucho más difícil para los atacantes robar más de un método de autenticación, especialmente si uno de ellos se basa en datos biométricos o algo que el usuario posee físicamente, como un dispositivo. Para facilitarles las cosas a los empleados, clientes y partners, deja que elijan entre varios factores diferentes. De todos modos, es importante tener en cuenta que no todos los métodos de autenticación son igual de efectivos. Algunos son más seguros que otros. Por ejemplo, recibir un SMS es útil para mejorar la protección, pero una notificación push es más segura.
-
Sin contraseña
Una vez establecida la autenticación multifactor, puedes limitar el uso de contraseñas y animar a las personas a que usen dos o más métodos de autenticación distintos a ese, como un PIN o datos biométricos. Reducir el uso de contraseñas y fomentar la autenticación sin contraseña simplificará el proceso de inicio de sesión y reducirá el riesgo de vulneración de cuentas.
-
Aplicar la protección de contraseñas
Además de educar a los empleados, hay otras herramientas que puedes usar para reducir el uso de contraseñas fáciles de adivinar. Las soluciones deprotección de contraseñas te permiten prohibir las que se usen más frecuentemente, como Contraseña1. Además, puedes crear una lista personalizada específica para tu empresa o región, como los nombres de equipos deportivos o lugares famosos a nivel local.
-
Habilitar la autenticación multifactor basada en riesgos
Algunos eventos de autenticación son indicadores de una vulneración, como cuando un empleado intenta acceder a la red desde un nuevo dispositivo o una ubicación sospechosa. Otros eventos de inicio de sesión podrían no ser atípicos pero aun así presentar un mayor riesgo, como cuando un profesional de recursos humanos necesita acceder a la información de identificación personal de un empleado. Para reducir el riesgo, configura la solución de administración de identidad y acceso (IAM) que utilices para que requiera al menos dos factores de autenticación cuando detecte este tipo de eventos.
-
Darle prioridad a la funcionalidad
Una seguridad eficaz requiere la participación de los empleados y otras partes interesadas. Las directivas de seguridad pueden prevenir que las personas tomen parte en actividades de riesgo online, pero, si estas directivas causan demasiados inconvenientes, buscarán alguna forma de saltárselas. Las mejores soluciones tienen en cuenta la realidad del comportamiento humano. Implementa características como el autoservicio de restablecimiento de contraseñas para que las personas no dependan del servicio de asistencia técnica si olvidan una contraseña. Esto también puede animarlas a elegir una contraseña más segura, ya que saben que será fácil de restablecer si la olvidan más adelante. Otra forma eficaz de facilitar el inicio de sesión es dejar que cada persona elija el método de autorización que prefiera.
-
Implementar el inicio de sesión único
Una característica muy eficaz que mejora la funcionalidad y aumenta la seguridad es el inicio de sesión único (SSO). A nadie le gusta que se le solicite una contraseña cada vez que cambia de aplicación, lo cual puede fomentar el uso de la misma contraseña en distintas cuentas para ahorra tiempo. Con el inicio de sesión único, los empleados solo necesitan iniciar sesión una vez para acceder a la mayoría de las aplicaciones que necesitan para trabajar. Esto reduce la fricción y te permite aplicar directivas de seguridad universales o condicionales, como la autenticación multifactor, a todo el software que usan los empleados.
-
Usar el principio de privilegio mínimo
Limita el número de cuentas con privilegios basados en roles y otorga a las personas la cantidad mínima de privilegios necesaria para que realicen su trabajo. Establecer un control de acceso ayuda a garantizar que menos personas puedan acceder a los sistemas y datos más críticos. Cuando alguien necesite realizar una tarea delicada, usa la administración de acceso con privilegios, como la activación en el momento justo con temporalidad, para reducir aún más el riesgo. También es de ayuda requerir que las actividades administrativas se realicen solo en dispositivos altamente seguros independientes de los equipos que las personas utilizan en sus tareas cotidianas.
-
Dar por supuesto que ha ocurrido una vulneración y realizar auditorías periódicas
En muchas organizaciones, el rol y el estado de contratación de los empleados cambia frecuentemente. Los empleados abandonan la empresa o cambian de departamento. Los partners entran y salen de los proyectos. Esto puede resultar un problema si las reglas de acceso se mantienen al día. Es importante garantizar que las personas no conserven el acceso a sistemas y archivos que ya no necesitan para su trabajo. Para reducir el riesgo de que un atacante consiga acceder a información confidencial, usa una solución de gobernanza de identidades para ayudarte a realizar auditorías periódicas de las cuentas y los roles. Estas herramientas también te ayudan a garantizar que las personas solo tengan acceso a lo que necesiten y que las cuentas de las personas que hayan abandonado la organización no sigan activas.
-
Proteger las identidades frente a amenazas
Las soluciones deadministración de identidad y acceso proporcionan muchas herramientas para ayudar a reducir el riesgo de vulneración de cuentas. Aun así, es inteligente anticipar que ocurrirá alguna vulneración. Incluso los empleados mejor educados pueden dejarse engañar por estafas de phishing. Para detectar la vulneración de cuentas anticipadamente, invierte en soluciones de protección frente a amenazas a la identidad e implementa directivas que te ayuden a descubrir y responder a actividad sospechosa. Muchas soluciones modernas, como Microsoft Copilot para seguridad, usan IA no solo para detectar amenazas, sino también para responder automáticamente a ellas.
Soluciones de autenticación en la nube
La autenticación es crítica tanto para disponer de un programa de ciberseguridad sólido como para facilitar la productividad del personal. Una solución completa de administración de identidad y acceso basada en la nube, como Microsoft Entra, te proporciona herramientas para ayudar a las personas a obtener fácilmente lo que necesitan para realizar su trabajo a la vez que se aplican controles avanzados que reducen el riesgo de que los atacantes vulneren una cuenta y obtengan acceso a datos confidenciales.
Más información sobre Seguridad de Microsoft
Microsoft Entra ID
Proteja su organización con administración de identidades y acceso (anteriormente conocido como Azure Active Directory).
Gobernanza de Id. de Microsoft Entra
Garantiza automáticamente que las personas apropiadas tengan el acceso adecuado a las aplicaciones necesarias en el momento preciso.
Administración de permisos de Microsoft Entra
Obtén una solución unificada para gestionar los permisos de cualquier identidad en toda la infraestructura multinube.
Id. verificada por Microsoft Entra
Descentraliza tus identidades con un servicio administrado de credenciales verificables basado en estándares abiertos.
Id. de carga de trabajo de Microsoft Entra
Administra y protege las identidades otorgadas a aplicaciones y servicios.
Preguntas más frecuentes
-
Hay muchos tipos diferentes de autenticación. Algunos ejemplos son:
- Muchas personas inician sesión en sus teléfonos mediante el uso de reconocimiento facial o una huella dactilar.
- Los bancos y otros servicios a menudo requieren que las personas inicien sesión mediante el uso de una contraseña y, adicionalmente, un código enviado automáticamente por SMS.
- Algunas cuentas solo requieren un nombre de usuario y contraseña, aunque muchas organizaciones están empezando a implementar autenticación multifactor para aumentar la seguridad.
- Los empleados a menudo inician sesión en su equipo para obtener acceso a varias aplicaciones diferentes a la vez, lo cual se conoce como inicio de sesión único.
- También hay cuentas que permiten a los usuarios iniciar sesión mediante el uso de una cuenta de Facebook o Google. En este caso, Facebook, Google o Microsoft son los responsables de autenticar el usuario y pasar la autorización al servicio al que usuario quiere acceder.
-
La autenticación en la nube es un servicio que confirma que solo las personas y aplicaciones correctas con los permisos adecuados puedan obtener acceso a redes y recursos en la nube. Muchas aplicaciones en la nube tienen autenticación propia integrada basada en la nube, pero también hay soluciones más generales, como Azure Active Directory, diseñadas para controlar la autenticación en varias aplicaciones y servicios en la nube. Estas soluciones suelen usar el protocolo SAML para permitir que un solo servicio de autenticación funcione sobre varias cuentas.
-
Los términos “autenticación” y “autorización” se suelen usar indistintamente, pero son dos cosas diferentes, aunque relacionadas. La autenticación confirma que el usuario que inicia sesión es quien dice ser, mientras que la autorización confirma que tiene los permisos adecuados para acceder a la información que busca. En conjunto, la autenticación y la autorización ayudan a reducir el riesgo de que un atacante obtenga acceso a datos confidenciales.
-
La autenticación se utiliza para comprobar que las personas y entidades son quienes dicen ser antes de proporcionarles acceso a redes y recursos digitales. Aunque el objetivo principal es la seguridad, las soluciones de autenticación modernas también están diseñadas para mejorar la funcionalidad. Por ejemplo, muchas organizaciones implementan soluciones de inicio de sesión único para que los empleados puedan encontrar lo que necesitan para realizar su trabajo más fácilmente. Los servicios de consumidor suelen permitir a las personas iniciar sesión mediante el uso de su cuenta de Facebook, Google o Microsoft para acelerar el proceso de autenticación.
Seguir a Seguridad de Microsoft