La autenticación (del griego : αὐθεντικός authentikos , "real, genuino", de αὐθέντης authentes , "autor") es el acto de probar una afirmación , como por ejemplo la identidad de un usuario de un sistema informático. A diferencia de la identificación , el acto de indicar la identidad de una persona o cosa, la autenticación es el proceso de verificar esa identidad. [1] Podría implicar validar documentos de identidad personales , verificar la autenticidad de un sitio web con un certificado digital , [2] determinar la edad de un artefacto mediante datación por carbono o garantizar que un producto o documento no sea falsificado .
La autenticación es relevante para múltiples campos. En arte , antigüedades y antropología , un problema común es verificar que un determinado artefacto fue producido por una determinada persona o en un determinado lugar o período de la historia. En informática , a menudo se requiere verificar la identidad de un usuario para permitir el acceso a datos o sistemas confidenciales. [3]
Se puede considerar que la autenticación es de tres tipos:
El primer tipo de autenticación consiste en aceptar una prueba de identidad proporcionada por una persona creíble que tenga evidencia de primera mano de que la identidad es genuina. Cuando se requiere autenticación de objetos de arte o físicos, esta prueba podría ser un amigo, familiar o colega que dé fe de la procedencia del artículo, tal vez al haber presenciado el artículo en posesión de su creador. En el caso de recuerdos deportivos autografiados, esto podría implicar que alguien acredite que fue testigo de la firma del objeto. Un proveedor que vende artículos de marca implica autenticidad, aunque es posible que no tenga pruebas de que cada paso de la cadena de suministro haya sido autenticado. Las relaciones de confianza centralizadas basadas en autoridades respaldan la comunicación por Internet más segura a través de autoridades de certificación públicas conocidas; La confianza descentralizada entre pares, también conocida como red de confianza , se utiliza para servicios personales como correo electrónico o archivos y la confianza la establecen personas conocidas que firman la clave criptográfica de cada uno , por ejemplo.
El segundo tipo de autenticación consiste en comparar los atributos del objeto mismo con lo que se sabe sobre los objetos de ese origen. Por ejemplo, un experto en arte podría buscar similitudes en el estilo de una pintura, comprobar la ubicación y la forma de una firma o comparar el objeto con una fotografía antigua. Un arqueólogo , por otro lado, podría utilizar la datación por carbono para verificar la edad de un artefacto, realizar un análisis químico y espectroscópico de los materiales utilizados o comparar el estilo de construcción o decoración con otros artefactos de origen similar. La física del sonido y la luz, y la comparación con un entorno físico conocido, se pueden utilizar para examinar la autenticidad de grabaciones de audio, fotografías o vídeos. Se puede verificar que los documentos fueron creados en tinta o papel fácilmente disponible en el momento de la creación implícita del elemento.
La comparación de atributos puede ser vulnerable a la falsificación. En general, se basa en el hecho de que crear una falsificación indistinguible de un artefacto genuino requiere conocimiento experto, que es fácil cometer errores y que la cantidad de esfuerzo requerida para hacerlo es considerablemente mayor que la cantidad de ganancias que se pueden obtener de ello. la falsificación.
En arte y antigüedades, los certificados son de gran importancia para autentificar un objeto de interés y valor. Sin embargo, los certificados también pueden ser falsificados, lo que supone un problema para su autenticación. Por ejemplo, el hijo de Han van Meegeren , el conocido falsificador de arte, falsificó la obra de su padre y también proporcionó un certificado de su procedencia.
Las sanciones penales y civiles por fraude , falsificación y falsificación pueden reducir el incentivo para la falsificación, dependiendo del riesgo de ser descubierto.
La moneda y otros instrumentos financieros suelen utilizar este segundo tipo de método de autenticación. Los billetes, monedas y cheques incorporan características físicas difíciles de duplicar, como impresiones o grabados finos, sensación distintiva, marcas de agua e imágenes holográficas, que son fáciles de verificar para los receptores capacitados.
El tercer tipo de autenticación se basa en documentación u otras afirmaciones externas. En los tribunales penales, las reglas sobre la prueba a menudo exigen que se establezca la cadena de custodia de las pruebas presentadas. Esto se puede lograr mediante un registro de evidencia escrito o mediante el testimonio de los detectives de la policía y el personal forense que lo manejó. Algunas antigüedades van acompañadas de certificados que acreditan su autenticidad. Los recuerdos deportivos firmados suelen ir acompañados de un certificado de autenticidad. Estos registros externos tienen sus propios problemas de falsificación y perjurio y también son vulnerables a ser separados del artefacto y perderse.
En informática, a un usuario se le puede dar acceso a sistemas seguros basándose en credenciales de usuario que implican autenticidad. [4] Un administrador de red puede darle a un usuario una contraseña o proporcionarle una tarjeta de acceso u otros dispositivos de acceso para permitir el acceso al sistema. En este caso, la autenticidad está implícita pero no garantizada.
Los bienes de consumo como productos farmacéuticos, perfumes y prendas de vestir pueden utilizar todas las formas de autenticación para evitar que productos falsificados se aprovechen de la reputación de una marca popular. Como se mencionó anteriormente, tener un artículo a la venta en una tienda de buena reputación da fe implícita de que es genuino, el primer tipo de autenticación. El segundo tipo de autenticación podría implicar comparar la calidad y la artesanía de un artículo, como un bolso caro, con artículos genuinos. El tercer tipo de autenticación podría ser la presencia de una marca en el artículo, que es una marca legalmente protegida, o cualquier otro elemento de identificación que ayude a los consumidores a identificar productos de marca genuinos. Con el software, las empresas han tomado grandes medidas para protegerse contra los falsificadores, incluida la adición de hologramas, anillos de seguridad, hilos de seguridad y tintas que cambian de color. [5]
Las formas en que alguien puede ser autenticado se dividen en tres categorías, según lo que se conoce como factores de autenticación: algo que el usuario sabe, algo que el usuario tiene y algo que el usuario es. Cada factor de autenticación cubre una variedad de elementos utilizados para autenticar o verificar la identidad de una persona antes de que se le conceda acceso, aprobar una solicitud de transacción, firmar un documento u otro producto de trabajo, otorgar autoridad a otros y establecer una cadena de autoridad.
La investigación de seguridad ha determinado que para una autenticación positiva, se deben verificar elementos de al menos dos factores, y preferiblemente los tres. [6] Los tres factores (clases) y algunos de los elementos de cada factor son:
Como nivel más débil de autenticación, solo se utiliza un componente de una de las tres categorías de factores para autenticar la identidad de un individuo. El uso de un solo factor no ofrece mucha protección contra el uso indebido o la intrusión maliciosa. Este tipo de autenticación no se recomienda para transacciones financieras o de relevancia personal que garantizan un mayor nivel de seguridad. [2]
La autenticación multifactor implica dos o más factores de autenticación (algo que sabes, algo que tienes o algo que eres). La autenticación de dos factores es un caso especial de autenticación multifactor que involucra exactamente dos factores. [2]
Por ejemplo, usar una tarjeta bancaria (algo que el usuario tiene) junto con un PIN (algo que el usuario conoce) proporciona autenticación de dos factores. Las redes empresariales pueden requerir que los usuarios proporcionen una contraseña (factor de conocimiento) y un número pseudoaleatorio de un token de seguridad (factor de propiedad). El acceso a un sistema de muy alta seguridad puede requerir un control de altura, peso, rostro y huellas dactilares (varios elementos de factor de inherencia) además de un PIN y un código de día (elementos de factor de conocimiento), pero esto sigue siendo un proceso de dos pasos. autenticación de factores.
El Glosario Nacional de Garantía de la Información del gobierno de los Estados Unidos define la autenticación sólida como un enfoque de autenticación en capas que se basa en dos o más autenticadores para establecer la identidad de un originador o receptor de información. [7]
El Banco Central Europeo (BCE) ha definido la autenticación fuerte como "un procedimiento basado en dos o más de los tres factores de autenticación". Los factores que se utilicen deben ser mutuamente independientes y al menos un factor debe ser "no reutilizable y no replicable", excepto en el caso de un factor de inherencia y además debe ser incapaz de ser robado de Internet. En el entendimiento europeo, así como estadounidense, la autenticación fuerte es muy similar a la autenticación multifactor o 2FA, pero supera a aquellas con requisitos más rigurosos. [2] [8]
La Alianza FIDO se ha esforzado por establecer especificaciones técnicas para una autenticación sólida. [9]
Los sistemas informáticos convencionales autentican a los usuarios sólo en la sesión de inicio de sesión inicial, lo que puede ser la causa de una falla de seguridad crítica. Para resolver este problema, los sistemas necesitan métodos de autenticación continua de usuarios que monitoreen y autentiquen continuamente a los usuarios en función de algunos rasgos biométricos. Un estudio utilizó biometría del comportamiento basada en estilos de escritura como método de autenticación continua. [10] [11]
Investigaciones recientes han demostrado la posibilidad de utilizar sensores y accesorios de teléfonos inteligentes para extraer algunos atributos de comportamiento como la dinámica táctil, la dinámica de pulsaciones de teclas y el reconocimiento de la marcha . [12] Estos atributos se conocen como biometría del comportamiento y podrían usarse para verificar o identificar a los usuarios de manera implícita y continua en los teléfonos inteligentes. Los sistemas de autenticación que se han construido en base a estos rasgos biométricos de comportamiento se conocen como sistemas de autenticación activa o continua. [13] [11]
El término autenticación digital, también conocido como autenticación electrónica o e-autenticación, se refiere a un grupo de procesos donde la confianza de las identidades de los usuarios se establece y se presenta mediante métodos electrónicos a un sistema de información. El proceso de autenticación digital crea desafíos técnicos debido a la necesidad de autenticar individuos o entidades de forma remota a través de una red. El Instituto Nacional Estadounidense de Estándares y Tecnología (NIST) ha creado un modelo genérico para la autenticación digital que describe los procesos que se utilizan para lograr una autenticación segura:
La autenticación de información puede plantear problemas especiales en las comunicaciones electrónicas, como la vulnerabilidad a ataques de intermediario , mediante los cuales un tercero accede al flujo de comunicación y se hace pasar por cada una de las otras dos partes que se comunican, para interceptarla. información de cada uno. Se pueden requerir factores de identidad adicionales para autenticar la identidad de cada parte.
Los productos falsificados a menudo se ofrecen a los consumidores como si fueran auténticos. Los bienes de consumo falsificados , como productos electrónicos, música, prendas de vestir y medicamentos falsificados , se han vendido como legítimos. Los esfuerzos para controlar la cadena de suministro y educar a los consumidores ayudan a garantizar que se vendan y utilicen productos auténticos. Sin embargo, incluso la impresión de seguridad en paquetes, etiquetas y placas de identificación está sujeta a falsificación. [15]
En su guía tecnológica contra la falsificación, [16] el Observatorio de la EUIPO sobre las infracciones de los derechos de propiedad intelectual clasifica las principales tecnologías contra la falsificación actualmente en el mercado en cinco categorías principales: electrónicas, de marcado, químicas y físicas, mecánicas y tecnologías digitales. medios de comunicación. [17]
Los productos o su embalaje pueden incluir un Código QR variable . Un código QR por sí solo es fácil de verificar, pero ofrece un nivel débil de autenticación, ya que no ofrece protección contra falsificaciones a menos que los datos escaneados se analicen a nivel del sistema para detectar anomalías. [18] Para aumentar el nivel de seguridad, el código QR se puede combinar con una marca de agua digital o un patrón de detección de copias que son resistentes a los intentos de copia y pueden autenticarse con un teléfono inteligente.
Se puede utilizar un dispositivo de almacenamiento de claves seguro para la autenticación en electrónica de consumo, autenticación de red, gestión de licencias, gestión de la cadena de suministro, etc. Generalmente, el dispositivo que se va a autenticar necesita algún tipo de conexión digital inalámbrica o por cable a un sistema host o a una red. . No obstante, no es necesario que el componente que se autentifique sea de naturaleza electrónica, ya que un chip de autenticación se puede conectar mecánicamente y leer a través de un conector al servidor, por ejemplo, un tanque de tinta autenticado para usar con una impresora. Para los productos y servicios a los que se pueden aplicar estos coprocesadores seguros, pueden ofrecer una solución que puede ser mucho más difícil de falsificar que la mayoría de las otras opciones y, al mismo tiempo, ser más fácil de verificar. [1]
El embalaje y el etiquetado pueden diseñarse para ayudar a reducir los riesgos de bienes de consumo falsificados o el robo y reventa de productos. [19] [20] Algunas construcciones de paquetes son más difíciles de copiar y algunas tienen sellos que indican robo. Con estas tecnologías antifalsificación se pueden reducir los productos falsificados, las ventas no autorizadas (desvío), la sustitución de materiales y la manipulación. Los paquetes pueden incluir sellos de autenticación y utilizar impresiones de seguridad para ayudar a indicar que el paquete y su contenido no son falsificados; estos también están sujetos a falsificación. Los paquetes también pueden incluir dispositivos antirrobo, como paquetes de tinte, etiquetas RFID o etiquetas de vigilancia electrónica de artículos [21] que pueden activarse o detectarse mediante dispositivos en los puntos de salida y requieren herramientas especializadas para desactivarse. Las tecnologías antifalsificación que se pueden utilizar con los envases incluyen:
La falsificación literaria puede implicar imitar el estilo de un autor famoso. Si se dispone de un manuscrito original, un texto mecanografiado o una grabación, entonces el propio medio (o su embalaje, desde una caja hasta los encabezados de un correo electrónico ) puede ayudar a probar o refutar la autenticidad del documento. Sin embargo, el texto, el audio y el vídeo se pueden copiar a nuevos medios, dejando posiblemente sólo el contenido informativo para utilizarlo en la autenticación. Se han inventado varios sistemas para permitir a los autores proporcionar un medio para que los lectores autentiquen de manera confiable que un mensaje determinado se originó o fue transmitido por ellos. Estos involucran factores de autenticación como:
El problema opuesto es la detección del plagio , en el que información de otro autor se hace pasar como obra propia de una persona. Una técnica común para demostrar el plagio es el descubrimiento de otra copia del mismo texto o de uno muy similar, que tiene una atribución diferente. En algunos casos, una calidad excesiva o una falta de coincidencia de estilo pueden generar sospechas de plagio.
En alfabetización, la autenticación es un proceso en el que los lectores cuestionan la veracidad de un aspecto de la literatura y luego verifican esas preguntas mediante la investigación. La pregunta fundamental para la autenticación de la literatura es: ¿Se cree en ella? En relación con eso, un proyecto de autenticación es, por lo tanto, una actividad de lectura y escritura en la que los estudiantes documentan el proceso de investigación relevante ( [22] ). Desarrolla la alfabetización crítica de los estudiantes. Los materiales de documentación para la literatura van más allá de los textos narrativos y probablemente incluyan textos informativos, fuentes primarias y multimedia. El proceso generalmente implica investigación bibliotecaria y práctica en Internet. Al autenticar la ficción histórica en particular, los lectores consideran hasta qué punto los principales acontecimientos históricos, así como la cultura retratada (por ejemplo, el idioma, la vestimenta, la comida, los roles de género), son creíbles para el período. [3]
Históricamente, las huellas dactilares se han utilizado como el método de autenticación más autorizado, pero los casos judiciales en Estados Unidos y otros lugares han planteado dudas fundamentales sobre la confiabilidad de las huellas dactilares. [23] También fuera del sistema legal, las huellas dactilares son fácilmente falsificadas , y el principal funcionario de seguridad informática de British Telecom señaló que "pocos" lectores de huellas dactilares no han sido engañados ya por una parodia u otra. [24] Los métodos de autenticación híbridos o de dos niveles ofrecen una [ ¿según quién? ] solución, como claves privadas cifradas mediante huella digital dentro de un dispositivo USB.
En el contexto de los datos informáticos, se han desarrollado métodos criptográficos que no son falsificables si la clave del creador no se ha visto comprometida. Que el creador (o cualquier otra persona que no sea un atacante ) sepa (o no) acerca de un compromiso es irrelevante. Sin embargo, no se sabe si estos métodos de autenticación basados en criptografía son demostrablemente seguros, ya que desarrollos matemáticos imprevistos pueden hacerlos vulnerables a ataques en el futuro. Si eso ocurriera, podría poner en duda gran parte de la autenticación en el pasado. En particular, un contrato firmado digitalmente puede verse cuestionado cuando se descubre un nuevo ataque a la criptografía subyacente a la firma. [ cita necesaria ]
El proceso de autorización es distinto del de autenticación. Mientras que la autenticación es el proceso de verificar que "usted es quien dice ser", la autorización es el proceso de verificar que "tiene permiso para hacer lo que está tratando de hacer". Si bien la autorización suele ocurrir inmediatamente después de la autenticación (por ejemplo, al iniciar sesión en un sistema informático), esto no significa que la autorización presuponga la autenticación: un agente anónimo podría estar autorizado a realizar un conjunto de acciones limitado. [25]
Un uso familiar de la autenticación y la autorización es el control de acceso . Un sistema informático que se supone debe ser utilizado únicamente por aquellos autorizados debe intentar detectar y excluir a los no autorizados. Por lo tanto, el acceso a él suele controlarse insistiendo en un procedimiento de autenticación para establecer con cierto grado de confianza la identidad del usuario, otorgándole privilegios establecidos para esa identidad.
{{cite book}}
: Mantenimiento CS1: otros ( enlace )