person logging into laptop

Explicación de Autenticación de Usuario y Autorización de Usuario

La diferencia entre autenticación y autorización no siempre es sencilla porque las funciones se entrelazan cuando forman parte de la plataforma de gestión de accesos e identidades (IAM) de una institución. Tampoco ayuda que las palabras suenen similares. No obstante, las aplicaciones son distintas, incluso cuando se utilizan junto con la seguridad de la red.

¿Qué es la Autenticación?

La única tarea de la autenticación es confirmar la identidad de un usuario. La autenticación verifica que usted es quien dice ser comprobando si las credenciales que presenta coinciden con las credenciales del back-end de una plataforma de autenticación. Usted demuestra su identidad proporcionando uno o más de los siguientes factores:

  • Algo que sabe (es decir, una contraseña)
  • Algo que tiene (es decir, un celular o un token con contraseña de un solo uso)
  • Algo que usted es (es decir, datos biométricos)

El tipo de método de autenticación que utilice puede variar dependiendo del nivel de autorización requerido. Por ejemplo, es posible que pueda autenticarse utilizando un Nombre de usuario y una contraseña para ver el saldo de su cuenta, pero para realizar gestiones de mayor riesgo (como una transferencia de dinero) se solicitará un método de autenticación reforzado.

¿Qué es la Autorización?

El proceso de autorización comienza después de una autenticación correcta. En primer lugar, determina si se permite el acceso a la persona verificada. En segundo lugar, determina a qué puede acceder la persona mediante una evaluación de su función y de los permisos para los que cuenta con aprobación. El proceso de autorización analiza los controles de accesos para URL, objetos y métodos seguros y listas de control de acceso (ACL, por sus siglas en inglés). 

Por ejemplo, el cliente de un banco con una cuenta bancaria conjunta y personal puede realizar transacciones desde ambas, pero solo en su nombre y no a nombre del titular de la cuenta conjunta.

Los datos biométricos, la IA y otras tecnologías revolucionarias están cambiando el panorama de la IAM 

Un problema importante es qué tipo de pruebas o factores de autenticación utiliza un sistema para verificar a los usuarios y proporcionar los privilegios de acceso adecuados. Los riesgos de confiar sobre todo en contraseñas son ahora ampliamente conocidos, así como las consecuencias potencialmente desastrosas de la filtración de datos y las sanciones por no cumplir con el creciente conjunto de normas relativas a la privacidad. 

Estas y otras tendencias contribuyen a los avances en la IAM, como la 2FA o autenticación de dos factores, en la que se utilizan dos factores para mejorar la seguridad del proceso de autenticación. Ejemplos de autenticación de dos factores:

También es posible utilizar una OTP entregada por SMS o correo electrónico, pero en este caso se consideran más como una prueba de posesión que de conocimiento. 

La autenticación multifactor (MFA, por sus siglas en inglés) lleva el proceso un paso más allá requiriendo una combinación de los tres factores siguientes:

  • Algo que sabe (es decir, una contraseña)
  • Algo que tiene (es decir, un celular o un token con contraseña de un solo uso)
  • Algo que usted es (es decir, datos biométricos)

Este enfoque de autenticación puede parecer engorroso. En la práctica, la correcta implementación de esta tecnología ha resultado en impresionantes mejoras en la experiencia del usuario, ofreciendo un proceso de autenticación sin problemas además de mejorar su seguridad. Entre los métodos de autenticación se pueden incluir:

Datos biométricos: la autenticación biométrica es más cómoda que las contraseñas, pero no necesariamente más segura —la calidad importa, es posible engañar fácilmente a dispositivos de menor resolución y calidad. La calidad de los sistemas biométricos también puede verse afectada por problemas técnicos como, por ejemplo, unas condiciones de iluminación que interfieran con las aplicaciones de reconocimiento facial. Los datos biométricos son más eficaces cuando se combinan con otros factores.

IA mejorada y biometría adaptativa: Face ID de Apple es un ejemplo perfecto de avance en biometría. La tecnología Face ID crea un complejo modelo 3D del rostro del usuario con sensores de infrarrojos y un procesador de red neural en el dispositivo para correlacionar patrones entre los diferentes puntos de datos. Los algoritmos de aprendizaje profundo se adaptan a cambios faciales tales como sombreros o el crecimiento de la barba.

Autenticación basada en riesgos: los registros dactilares en dispositivos, la ubicación, la información del encabezado HTTP de la dirección IP y otros factores contextuales permiten crear un perfil de riesgos que a su vez nos permite crear una puntuación de riesgo. Esta puntuación de riesgo se utiliza para determinar si se puede conceder el acceso o si se requiere un factor adicional para demostrar que el usuario o usuaria es quien afirma ser. La autenticación basada en riesgos se puede utilizar, incluso después de que el usuario se haya autenticado, para detectar intentos de secuestro de dispositivos, de ataques de intermediario (MiTM, Man in the middle) o de ataques a través del navegador (MiTB, Man in the browser). 

Biometría conductual: los algoritmos, el aprendizaje automático y el análisis estadístico funcionan conjuntamente para establecer una línea base de cómo interactúan los usuarios con una plataforma —como la velocidad de escritura, los movimientos del ratón, la presión en la pantalla de un dispositivo móvil, el ángulo del dispositivo y la manera de caminar. Esta información se utiliza para identificar a la persona positivamente. Al igual que ocurre con la autenticación basada en riesgos, los biometría conductual se puede utilizar continuamente en una sesión para determinar si el usuario ha cambiado, permitiendo a un sistema adoptar medidas preventivas como cerrar la sesión del cliente o solicitar al usuario que se vuelva a autenticar.

El Proceso Doble de Gestión de Accesos e Identidades (IAM)

En resumen, el acceso a un sistema está protegido por la combinación de autenticación y autorización, por lo que no basta tener solo uno de estos procesos. Cualquier intento de acceso al sistema puede autenticarse utilizando credenciales válidas, pero solo se puede aceptar después de una autorización correcta.

Descubra la propuesta de HID hacia la autenticación adaptativa o descargue una infografía en la que se explora una experiencia de usuario segura y rápida.