¿Qué es un token de seguridad?
- Glosario IAM
- ¿Qué es un token de seguridad?
Un token de seguridad es un dispositivo físico o digital utilizado para verificar la identidad de un usuario. Los tokens de seguridad son una parte integral del método de autenticación basada en tokens, un protocolo de seguridad que utiliza tokens cifrados para autenticar a los usuarios de cara al acceso a la red. Este método de autenticación se utiliza para reemplazar los métodos de verificación tradicionales o agregar otro método de verificación como capa de seguridad adicional.
Cómo funcionan los tokens de seguridad
Los tokens de seguridad generalmente operan de dos maneras. En primer lugar, cuando un usuario trata con un token basado en software, se le emite un código digital único para presentar como prueba de su identidad. Este es usualmente proporcionado por una aplicación o programa instalado en el dispositivo del usuario. Al tratar con un token basado en hardware, el usuario debe insertarlo en el lector del sistema para validar su identidad. Sin embargo, no es así como funcionan todos los tokens de seguridad, ya que varios tipos diferentes ofrecen procedimientos más específicos.
Tipos de tokens de seguridad
Gracias a la variedad de los tokens de seguridad, las organizaciones pueden elegir el tipo ideal en función de sus preferencias y requisitos de seguridad. Aquí tiene seis tipos diferentes de tokens de seguridad y cómo funcionan.
Tokens conectados
Un token conectado es un tipo común de token de hardware que se asocia con la red o el sistema. Un ejemplo de un procedimiento de autenticación de token conectado es insertar una llave de seguridad por hardware en un dispositivo.
Tokens desconectados
Un token desconectado es un tipo de token de hardware que genera un código en lugar de tener que insertar un objeto físico en un dispositivo. Podría tratarse de un código de un solo uso u otro tipo de credencial que se solicite para ser proporcionado como prueba. Por ejemplo, cuando el usuario inicie sesión en una aplicación, se le enviará un código a su teléfono. Luego, deberá proporcionar el código de token específico para autenticar su identidad.
Tokens sin contacto
Un token sin contacto es un token que no requiere que un usuario se conecte al sistema ni ingrese un código. En su lugar, por lo general utilizará una conexión inalámbrica para que los usuarios obtengan acceso a los recursos de red necesarios. Por ejemplo, el dispositivo usará Bluetooth o una llave NFC para conectarse de forma inalámbrica al sistema.
Tarjetas inteligentes
Una tarjeta inteligente es un tipo común de token conectado que se utiliza para verificar a un usuario. Consiste en una tarjeta física con un chip integrado que almacena información sobre la identidad digital y las credenciales de autenticación del usuario. Cuando el usuario quiera acceder a una red, deberá insertar o pasar la tarjeta por el lector de tarjetas, que verificará al usuario y, en última instancia, establecerá una conexión.
Contraseña de un solo uso (OTP)
Las contraseñas de un solo uso son un tipo común de token desconectado que funciona generando un código único que solo es válido para un inicio de sesión. Cuando el usuario quiera acceder a un recurso, se solicitará que se genere una OTP. Esto puede presentarse al usuario en forma de mensaje de texto, llamada telefónica, correo electrónico o a través de una aplicación de autenticación vinculada al token. Una vez que se le haya proporcionado esto, el usuario tendrá un tiempo limitado para iniciar sesión con sus credenciales, además de proporcionar la OTP única.
Inicio de sesión único (SSO)
El inicio de sesión único utiliza un token de software que permite a los usuarios obtener acceso a varias aplicaciones a través de un único conjunto de credenciales de inicio de sesión. Este método elimina la necesidad de recordar contraseñas complejas y someterse al proceso de inicio de sesión varias veces. Cuando un usuario inicia sesión en el proveedor de identidad (IdP) con su nombre de usuario y su contraseña, el IdP generará un token de autenticación que corresponde a la información de la identidad del usuario. Después, cuando el usuario intenta iniciar sesión en una aplicación, el proveedor de servicios solicitará la autenticación del IdP, que enviará un token para confirmar su autenticación.
Ventajas de usar tokens de seguridad
La implementación de tokens de seguridad como una forma de autenticación trae consigo el beneficio de una mayor seguridad y eficiencia para su organización.
Seguridad mejorada
En comparación con los métodos de autenticación tradicionales como un nombre de usuario y una contraseña, los tokens de seguridad ofrecen una seguridad robusta, ya que tienen una vida útil más corta, lo que proporciona una protección más sólida contra los accesos no autorizados.
Mayor eficiencia y escalabilidad
Los tokens de seguridad se pueden aplicar simultáneamente en múltiples conjuntos de aplicaciones y redes. Esto crea un proceso muy práctico para los usuarios, además de aliviar la presión sobre la organización de tener que gestionar las sesiones de inicio de sesión de todos los usuarios.
Vulnerabilidades de los tokens de seguridad
Si bien los tokens de seguridad ofrecen una capa adicional de seguridad en comparación con los métodos de autenticación tradicionales, esto no significa que sean inmunes a las vulnerabilidades. Algunos ejemplos de estas vulnerabilidades incluyen la pérdida, el robo y las vulneraciones.
Los tokens físicos pueden perderse o ser robados
Los tokens físicos son susceptibles a extravíos o robos. Por ejemplo, cualquier persona puede perder su tarjeta inteligente, y una persona no autorizada podría robar la tarjeta y obtener acceso a datos e información sensibles. Una buena práctica sería desactivar y reemplazar siempre los tokens de seguridad en caso de extravío.
Llave de seguridad vulnerada
Los tokens de seguridad conllevan el riesgo de ser vulnerados por los ciberdelincuentes cuando las organizaciones no los revocan y renuevan de forma regular. Los tokens pueden ser vulnerados a través de ataques de fuerza bruta, phishing y de intermediario (MITM). Rotar el ciclo de vida de los tokens de seguridad mitiga este riesgo, ya que reduce la ventana de oportunidad para los ataques cibernéticos. Por ejemplo, incluso en el caso de que se robe un token, solo será practicable durante un tiempo limitado.
