Tema 4

4. Modelos de autenticación: conocimiento, posesión, inherencia y contexto

Autenticar no significa siempre lo mismo ni se resuelve con un único mecanismo. Existen distintos factores y modelos de autenticación, cada uno con ventajas, límites y amenazas particulares. Entenderlos es clave para elegir controles adecuados según el riesgo, el tipo de usuario y el entorno operativo.

Objetivo Entender y comparar modelos de autenticación
Enfoque Técnico, comparativo y orientado a riesgos
Resultado Elegir factores adecuados según contexto

4.1 Introducción

Cuando un sistema necesita autenticar a un sujeto, debe decidir qué evidencia aceptará como prueba. Esa decisión no es neutra. Cambia la experiencia de uso, el costo operativo, la resistencia al ataque y el tipo de amenazas que el sistema puede tolerar.

Durante mucho tiempo, muchas aplicaciones dependieron casi exclusivamente de contraseñas. Hoy ese enfoque es insuficiente para gran parte de los escenarios. El acceso remoto, el phishing, el credential stuffing, la movilidad y la integración entre servicios obligan a pensar la autenticación como un problema más amplio.

Por eso se estudian factores y modelos de autenticación. Un factor describe de qué tipo de evidencia se trata. Un modelo de autenticación define cómo se usan una o varias evidencias dentro de un flujo concreto.

4.2 Qué es un factor de autenticación

Un factor de autenticación es una categoría de prueba utilizada para verificar identidad. Tradicionalmente se agrupan en cuatro grandes familias:

  • Algo que sabes: conocimiento.
  • Algo que tienes: posesión.
  • Algo que eres: inherencia.
  • Algo que se observa del contexto: ubicación, dispositivo, comportamiento o señales de riesgo.

La idea importante es que no todas las pruebas equivalen entre sí. Dos mecanismos diferentes pueden parecer “doble verificación”, pero si ambos pertenecen al mismo factor o dependen de la misma superficie comprometible, la mejora real puede ser limitada.

Tener dos datos no implica tener dos factores. Para hablar de multifactor real debe existir independencia razonable entre las pruebas utilizadas.

4.3 Factor de conocimiento

El factor de conocimiento se basa en algo que el sujeto sabe. Es el modelo más conocido y uno de los más antiguos. Incluye contraseñas, PIN, respuestas a preguntas secretas y frases de paso.

Su principal ventaja es la simplicidad. No requiere hardware adicional ni un dispositivo específico. También es fácil de implementar en casi cualquier canal digital. Sin embargo, tiene debilidades importantes:

  • Puede ser adivinado, reutilizado o filtrado.
  • Es vulnerable a phishing y malware.
  • Depende mucho del comportamiento del usuario.
  • Genera costos operativos por olvidos, resets y soporte.

El conocimiento sigue siendo útil, pero rara vez debería considerarse suficiente para proteger accesos sensibles sin controles adicionales.

4.4 Ejemplos de autenticación basada en conocimiento

Dentro de esta categoría hay mecanismos con distintos niveles de calidad:

  • Contraseña tradicional: el usuario ingresa un secreto recordado.
  • PIN: frecuente en dispositivos o flujos acotados, aunque suele tener menor entropía.
  • Frase de paso: más larga y recordable, potencialmente más robusta.
  • Preguntas de seguridad: hoy se consideran débiles, porque muchas respuestas son deducibles o públicas.

Desde una perspectiva moderna, las preguntas secretas casi nunca son una buena opción como mecanismo fuerte de autenticación. Pueden servir como apoyo muy limitado en procesos secundarios, pero no deberían ser el eje del control de acceso.

4.5 Factor de posesión

El factor de posesión se basa en algo que el sujeto tiene. Puede ser un dispositivo físico, una aplicación autenticadora, una tarjeta inteligente, una llave FIDO, un certificado almacenado de forma segura o un teléfono que recibe un código.

Este factor mejora la seguridad porque obliga al atacante a comprometer no solo conocimiento sino también un elemento material o lógico adicional. Sin embargo, la calidad del control depende mucho de cómo se implemente.

No es lo mismo una llave criptográfica resistente a phishing que un código enviado por SMS. Ambos son de posesión, pero su resistencia técnica y su superficie de ataque son muy distintas.

4.6 Ejemplos de autenticación basada en posesión

  • OTP por aplicación: códigos temporales generados localmente.
  • SMS o llamada telefónica: código enviado a un número registrado.
  • Push notification: el usuario aprueba una solicitud desde una app confiable.
  • Llaves FIDO2 o tokens hardware: autenticación basada en criptografía asimétrica.
  • Smart cards o certificados cliente: comunes en entornos corporativos o gubernamentales.

El uso de SMS sigue siendo frecuente por conveniencia, pero tiene limitaciones conocidas: SIM swapping, interceptación en ciertos contextos, dependencia de cobertura y canal menos robusto frente a ataques dirigidos. En entornos exigentes se prefieren métodos con mejor resistencia criptográfica.

4.7 Factor de inherencia

El factor de inherencia se basa en algo que el sujeto es. Aquí entran los mecanismos biométricos: huella dactilar, reconocimiento facial, iris, voz u otras características fisiológicas o conductuales.

La principal ventaja es la comodidad. El usuario no necesita recordar un secreto ni cargar siempre con un elemento externo visible. Sin embargo, la biometría introduce desafíos particulares:

  • No es secreta en sentido estricto; una cara o una huella dejan rastros en el mundo físico.
  • Puede producir falsos positivos o falsos negativos.
  • Su revocación es compleja: si una contraseña se compromete, se cambia; si una plantilla biométrica se expone, el problema es más delicado.
  • Exige controles contra spoofing y presentación fraudulenta.

Por eso la biometría suele usarse como desbloqueo local o como parte de un flujo más amplio, no como única base de confianza universal.

4.8 Biométrica local versus biométrica remota

No toda autenticación biométrica se implementa igual. Conviene distinguir entre biometría local y biometría remota.

Modalidad Cómo funciona Riesgos o consideraciones
Biometría local La verificación ocurre en el dispositivo del usuario Depende de la seguridad del hardware y del enclave local
Biometría remota La muestra se envía a un servicio para evaluación Mayor sensibilidad por privacidad, transmisión y almacenamiento

La biometría local suele ser preferible porque evita exponer plantillas o señales sensibles a sistemas centrales. En muchos diseños modernos, la biometría desbloquea una credencial local protegida, en lugar de viajar como prueba biométrica cruda hacia un servidor.

4.9 Factor contextual o basado en riesgo

El contexto no siempre se considera un “factor” clásico en el mismo sentido que conocimiento, posesión o inherencia, pero hoy ocupa un rol central. Aquí el sistema evalúa señales alrededor del intento de acceso:

  • Ubicación geográfica aproximada.
  • Horario inusual.
  • Dispositivo conocido o desconocido.
  • IP o red de origen.
  • Patrones de comportamiento.
  • Nivel de riesgo calculado por motores de detección.

Estas señales no suelen reemplazar por sí solas a un factor fuerte, pero permiten ajustar la exigencia de autenticación. Por ejemplo, un login desde un dispositivo habitual puede requerir menos fricción, mientras que uno desde un país inusual puede disparar una verificación adicional.

4.10 Modelos de autenticación según cantidad de factores

Además de clasificar los factores, conviene distinguir los modelos de uso:

  • Single-factor authentication: se usa una sola categoría de prueba.
  • Two-factor authentication: se combinan dos factores distintos.
  • Multi-factor authentication: se usan dos o más factores independientes.
  • Step-up authentication: se incrementa la exigencia solo cuando el riesgo o la sensibilidad lo requieren.
  • Adaptive authentication: el sistema ajusta dinámicamente las exigencias según contexto y señales de riesgo.

En la práctica, no todos los accesos necesitan el mismo nivel. El punto no es aplicar siempre la máxima fricción, sino equilibrar seguridad, usabilidad y criticidad del recurso.

4.11 Single-factor authentication y sus límites

La autenticación de un solo factor sigue existiendo en muchísimos sistemas, especialmente con contraseña. Es simple y barata, pero concentra demasiado riesgo en una única prueba.

Si esa prueba se compromete por phishing, reutilización, fuga de base de datos o malware, el atacante puede acceder sin necesidad de superar otra barrera independiente. Por eso el single-factor resulta débil para cuentas administrativas, accesos remotos, datos sensibles y servicios expuestos a internet.

Aun así, puede seguir siendo aceptable en ciertos contextos de bajo riesgo, siempre que se combine con otras medidas compensatorias como limitación de intentos, monitoreo, protección anti-automatización y diseño de privilegios mínimos.

4.12 Two-factor y multifactor authentication

El objetivo del multifactor es evitar que una sola debilidad derribe todo el control de acceso. Si un atacante roba una contraseña, todavía necesita el segundo factor. Si intercepta un código, aún podría faltarle otra prueba o un contexto válido.

Sin embargo, no toda combinación vale lo mismo. Veamos algunos casos:

  • Contraseña + OTP por app: mejora razonable y ampliamente adoptada.
  • Contraseña + SMS: mejor que solo contraseña, pero más débil que alternativas resistentes a phishing.
  • Passkey o llave FIDO2: puede resolver autenticación fuerte con mejor resistencia a phishing.
  • Contraseña + pregunta secreta: no constituye una mejora fuerte porque sigue siendo conocimiento.
Multifactor no significa solo “agregar pasos”. Significa agregar pruebas independientes que reduzcan el riesgo real de compromiso.

4.13 Autenticación resistente a phishing

Hoy uno de los criterios más relevantes para evaluar un modelo de autenticación es su resistencia a phishing. Un mecanismo puede ser fuerte en teoría, pero débil si el usuario puede ser engañado para entregar la prueba en un sitio falso.

Los métodos basados en códigos manuales, especialmente SMS y OTP, son mejores que una simple contraseña, pero siguen siendo vulnerables a ciertos ataques de intermediación. En cambio, los mecanismos basados en criptografía asimétrica atada al origen, como FIDO2/WebAuthn, ofrecen una defensa superior porque la prueba no se entrega como un secreto reutilizable al sitio remoto.

Este criterio es importante porque muchas amenazas actuales no “rompen” la autenticación; engañan al usuario para completarla en favor del atacante.

4.14 Step-up authentication y autenticación adaptativa

No todos los eventos de autenticación tienen la misma sensibilidad. Ingresar a un portal para leer información general no debería requerir el mismo nivel de verificación que aprobar pagos, cambiar datos bancarios o administrar usuarios.

Por eso aparecen dos enfoques muy útiles:

  • Step-up authentication: el sistema solicita un factor adicional cuando el usuario intenta una acción más sensible.
  • Autenticación adaptativa: la exigencia cambia según riesgo calculado, contexto y señales de comportamiento.

Estos modelos ayudan a reducir fricción sin resignar seguridad, siempre que la evaluación de riesgo sea coherente y no se base en señales triviales o fácilmente manipulables.

4.15 Autenticación continua y reevaluación de confianza

En sistemas modernos la autenticación no siempre es un evento único al inicio de la sesión. La confianza puede reevaluarse durante el tiempo de uso. Un cambio brusco de IP, una operación altamente sensible o un patrón anómalo pueden disparar reautenticación o revocación de sesión.

Esta idea se relaciona con Zero Trust y con autenticación continua. La sesión deja de verse como un permiso absoluto otorgado al inicio y pasa a tratarse como un estado que debe seguir siendo justificado en el tiempo.

4.16 Comparación entre factores

Factor Ventaja principal Debilidad típica Uso frecuente
Conocimiento Simple y universal Phishing, reutilización, filtración Login base con contraseña o PIN
Posesión Agrega barrera independiente Pérdida de dispositivo, secuestro de canal o debilidad del método MFA con OTP, llaves hardware, certificados
Inherencia Comodidad y rapidez para el usuario Privacidad, spoofing, revocación compleja Desbloqueo local y autenticación asistida
Contexto Ajuste dinámico al riesgo Puede ser ambiguo o manipulable si se usa mal Autenticación adaptativa y controles step-up

4.17 Errores frecuentes al diseñar autenticación

  • Confiar únicamente en contraseñas para accesos sensibles.
  • Suponer que cualquier segundo paso equivale a MFA fuerte.
  • Usar preguntas secretas como si fueran un control robusto.
  • No diferenciar entre métodos con distinta resistencia a phishing.
  • Aplicar la misma fricción a todos los usuarios y operaciones sin considerar contexto.
  • No prever pérdida de dispositivo, revocación o recuperación segura.
  • Diseñar flujos tan incómodos que los usuarios busquen eludirlos.

4.18 Qué debes recordar de este tema

  • Los factores de autenticación se agrupan en conocimiento, posesión, inherencia y contexto.
  • No todos los mecanismos dentro de un mismo factor ofrecen la misma seguridad.
  • Multifactor real requiere independencia razonable entre pruebas.
  • La resistencia a phishing es un criterio central en la autenticación moderna.
  • La autenticación adaptativa y step-up permiten equilibrar seguridad y usabilidad.
  • Una buena elección de factores depende del riesgo, del usuario y del tipo de recurso protegido.

4.19 Conclusión

Los modelos de autenticación no deben elegirse por costumbre, sino por adecuación al problema. Cada factor aporta un tipo distinto de evidencia, enfrenta amenazas diferentes y genera impactos operativos concretos. Diseñar autenticación de forma madura implica comprender esas diferencias y combinarlas con criterio.

En el próximo tema profundizaremos en uno de los mecanismos más difundidos y problemáticos a la vez: las contraseñas, su almacenamiento seguro, hashing, salting y buenas prácticas de gestión de credenciales.

Volver al índice