La autenticación es el proceso que un sistema emplea para verificar la identidad de un activo (persona, dispositivo o proceso) de manera que, posteriormente y a través de un proceso de autorización, dicho activo pueda acceder a los recursos que le correspondan y utilizar sus servicios. Es importante diferenciar la autenticación, proceso que valida la identidad para proveer acceso a un sistema, y la autorización, proceso que provee permisos para el uso de determinados activos de ese sistema.
Al solicitar el acceso a la información y a los recursos deseados, dicha identidad debe superar el proceso de autenticación para que aquel se le conceda. El factor de autenticación es la prueba credencial que demuestra que la identidad es legítima y, por lo tanto, se puede superar la autenticación, accediendo al sistema.
Si la autenticación es multifactor (MFA), para superar el proceso serán necesarias varias pruebas que demuestren que la identidad está legitimada para acceder. Estos factores pueden ser:
- Algo que se sabe. El sujeto que solicita el acceso recuerda una información que debe introducir en el sistema para verificar su identidad. Por ejemplo, una contraseña.
- Algo que se tiene. El sujeto que solicita el acceso tiene en su poder un objeto que debe presentar para verificar su identidad. Por ejemplo, una tarjeta de acceso.
- Algo que se es. Cuando se trata de personas, el sujeto debe mostrar algún indicador biométrico. Por ejemplo, una huella dactilar que le identifica.
La autenticación multifactor suele encontrarse con frecuencia en muchos sistemas, un caso típico es el doble factor de autenticación (2FA). Es decir, de los tres factores disponibles para el proceso, los que pueden verse implementados con mayor frecuencia, son “algo que se sabe” y “algo que se tiene”. Un claro ejemplo de doble factor de autenticación en el uso cotidiano es el cajero automático de las sucursales bancarias. En estos, para acceder a la cuenta del cliente y consultar información, o bien retirar efectivo, se solicita el número PIN y una tarjeta de crédito o de débito.
Por defecto, muchos servicios en la nube, como redes sociales o páginas en general – donde se precise utilizar una cuenta personal – solo solicitan un único factor de autenticación. No obstante, existe la posibilidad de configurar el acceso al servicio activando el doble factor (2FA), mediante el envío de un SMS a un teléfono móvil, o la utilización de aplicaciones que generan códigos aleatorios y temporales para emplear el teléfono como factor físico de autenticación; el mencionado “algo que se tiene”.
La necesidad de emplear un autenticador multifactor se fundamenta en la posibilidad de que cualquiera de dichos factores se vea comprometido, permitiendo un acceso ilegítimo en el sistema.
Debido a la variedad de ciberataques existentes, los cuales tienen por objeto la obtención ilegítima de información, cada tipo de factor de autenticación puede verse comprometido de distinta manera (una contraseña puede sustraerse mediante un phishing, una tarjeta puede clonarse). Por ello, empleando un múltiple factor de autenticación, y asegurándose de que sean de los tipos indicados, se pueden prevenir en gran medida accesos indebidos a un sistema.
