Mecanismos de autenticación

Profe Galasso

Los mecanismos de autenticación son las herramientas técnicas y los procesos que utiliza un sistema informático para verificar que un usuario (o dispositivo) es realmente quien dice ser. Mientras que la identificación consiste en decirle al sistema tu nombre de usuario o correo, la autenticación es el paso crítico donde demuestras la validez de esa afirmación antes de que se te permita el acceso.

Para entender cómo funcionan, la ciberseguridad clasifica los mecanismos de autenticación en tres grandes factores tradicionales, basados en diferentes principios de verificación.

Los 3 Factores de Autenticación Tradicionales

Un mecanismo de autenticación robusto se construye combinando elementos de estas tres categorías:

1. Factor de Conocimiento (Algo que SABES)

Es el método más antiguo y extendido, basado en información confidencial que, teóricamente, solo el usuario legítimo memoriza.

  • Contraseñas tradicionales: Cadenas de caracteres alfanuméricos.
  • Códigos PIN: Combinaciones numéricas cortas (comunes en cajeros automáticos y pantallas de bloqueo móvil).
  • Preguntas de seguridad: Respuestas a preguntas personales («¿Cuál fue el nombre de tu primera mascota?»), aunque actualmente este método está en desuso debido a que la información suele ser fácil de adivinar o investigar mediante ingeniería social.

2. Factor de Posesión (Algo que TIENES)

Se basa en un objeto físico o digital único que el usuario tiene bajo su control directo en el momento de iniciar sesión.

  • Tokens OTP (One-Time Password): Códigos numéricos de un solo uso que expiran en pocos segundos. Pueden ser generados por aplicaciones móviles (como Google Authenticator o Microsoft Authenticator) o enviados por canales como SMS o correo electrónico.
  • Llaves físicas de seguridad (FIDO2 / U2F): Dispositivos de hardware parecidos a un pendrive USB o con conectividad NFC (como las llaves YubiKey). Se conectan al equipo o se acercan al móvil para validar la identidad mediante criptografía asimétrica, siendo el método más resistente al phishing.
  • Tarjetas inteligentes o proximidad: Tarjetas con chips integrados que se pasan por un lector físico.

3. Factor de Inherencia (Algo que ERES / Biometría)

Utiliza las características físicas o biológicas únicas e intransferibles del cuerpo humano.

  • Biometría estática: Lectores de huellas dactilares, sistemas de reconocimiento facial (como FaceID), escáneres de retina o de iris.
  • Biometría dinámica o del comportamiento: Analiza patrones en la forma de actuar del usuario, como el ritmo y la velocidad al escribir en el teclado, la presión ejercida sobre la pantalla táctil o la forma de mover el mouse.

Mecanismos Modernos y Avanzados

Debido a que los atacantes han desarrollado técnicas muy sofisticadas para vulnerar contraseñas o interceptar códigos SMS, la industria ha evolucionado hacia esquemas de autenticación mucho más dinámicos:

Autenticación Multifactor (MFA)

Consiste en obligar al usuario a presentar credenciales de al menos dos factores diferentes antes de conceder el acceso. Por ejemplo, ingresar tu contraseña (conocimiento) y luego confirmar la notificación en tu celular (posesión).

Nota de seguridad: Usar una contraseña y una pregunta de seguridad no es MFA, ya que ambos pertenecen al mismo factor (Conocimiento). Si un atacante roba tus contraseñas mediante un keylogger, es muy probable que también capture las respuestas a tus preguntas.

Autenticación Basada en el Contexto (Adaptativa)

El sistema evalúa variables del entorno en tiempo real antes de solicitar o validar el acceso. Si los datos analizados salen de los patrones habituales del usuario, el sistema puede bloquear el acceso o exigir un factor de autenticación extra muy estricto. Analiza elementos como:

  • Ubicación geográfica (Geolocalización): Si inicias sesión en Montevideo y 10 minutos después hay un intento de acceso desde Hong Kong, el sistema detecta un «viaje imposible» y bloquea la sesión.
  • Hora del intento de acceso: Por ejemplo, si un empleado administrativo intenta ingresar a la base de datos a las 3:00 a.m. de un domingo cuando siempre trabaja de lunes a viernes en horario de oficina.
  • Reputación del dispositivo: Si la computadora o el navegador web utilizado nunca antes han sido registrados por el usuario.

Autenticación sin Contraseña (Passwordless)

Es la tendencia que busca eliminar por completo las contraseñas tradicionales para evitar su robo masivo. Utiliza el estándar Passkeys, donde el sitio web genera un par de llaves criptográficas: una pública que se queda en el servidor y una privada que se almacena de forma ultrasegura en el chip físico de tu celular o computadora. Para iniciar sesión, solo necesitas desbloquear tu propio dispositivo usando tu huella o rostro; la autenticación matemática ocurre de forma invisible en el fondo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *