Identificar, autenticar, autorizar: los 3 pasos para proteger el acceso

Imagina que Carmen Serrano empieza su primer día como ingeniera en una empresa: ¿qué probabilidad hay de que entre directamente a la oficina, sin hablar con nadie, y empiece a usar un ordenador cualquiera?

Lo más normal sería que se presentase en recepción y alguien de seguridad la localizase en la lista del personal. Después, tendría que identificarse, enseñando su DNI o siendo reconocida por alguien del equipo. Solo entonces, el conserje le permitiría entrar.

Este proceso de tres pasos, identificación, autenticación y autorización, lo seguimos muchas veces en nuestra vida diaria: cuando embarcamos en un vuelo o vamos al gimnasio, por ejemplo. Pues lo mismo debería aplicarse a las infraestructuras IT, para asegurarse de que las personas que acceden a los sistemas de la empresa son realmente quienes dicen ser y tienen permiso para hacerlo. En un entorno seguro, estos tres pasos funcionan de forma conjunta para proteger los datos sensibles.

Identificación

La identidad es el punto de partida. En un entorno digital, Carmen sería una persona que intenta conectarse a la red de la empresa. Igual que el conserje necesita pruebas de que ella es quien dice ser, un sistema virtual también necesita confirmar esa identidad. Y dado que dentro de las infraestructuras IT se guarda mucha información sensible, es importante poder distinguir a los usuarios digitales con la misma precisión que lo haríamos en persona.

Cuando una empresa pone en marcha un sistema de gestión de identidades, su objetivo es identificar a cada usuario con el mayor nivel de seguridad posible. Para ello, se asigna a cada persona un identificador único, y a partir de ese momento se la reconoce por sus credenciales (usuario y contraseña), en lugar de por su nombre o su cara.

Pero una simple combinación de usuario y contraseña no basta para garantizar la seguridad de una red, ya que puede usarse indebidamente. De hecho, las credenciales robadas o extraviadas son bastante comunes. Por eso, identificar no es suficiente: también hace falta autenticar.

Autenticación

Autenticar significa comprobar que una persona es realmente quien dice ser. En el ejemplo físico, sería cuando Carmen enseña su DNI. En el mundo digital, este paso sigue el modelo Zero Trust, que parte de la base de que no se puede dar nada por hecho: cada identidad y cada permiso deben verificarse siempre con medidas de seguridad estrictas.

Para ello, se pueden usar tres tipos de factores:

Algo que sabes: lo más habitual es una contraseña. Es la forma más básica de control, pero también la más vulnerable, porque se puede compartir o ver fácilmente.

Algo que tienes: puede ser un móvil, una tarjeta de acceso o un dispositivo que genera códigos temporales.

Algo que eres: aquí entran las huellas dactilares, el iris o incluso el estilo de teclear o de hablar.

Cuantos más factores se usen, más difícil será para alguien robar una identidad. Por eso, añadir una capa extra de seguridad, lo que se conoce como autenticación multifactor (MFA), permite a las empresas estar mucho más seguras de que quien intenta acceder es realmente quien dice ser. Y esta certeza es especialmente importante cuando se trata de datos sensibles.

Soluciones de gestión de identidades como WALLIX IDaaS permiten autenticar a los usuarios y gestionar sus accesos de forma sencilla desde un único panel. Gracias a la MFA, se garantiza la identidad del usuario, y los administradores pueden gestionarlo todo de forma centralizada.

Una vez que los usuarios han sido identificados y autenticados correctamente, el siguiente paso es asegurarse de que solo acceden a lo que deben.

Autorización

Cuando Carmen llega a la empresa, lo lógico es que no pueda moverse libremente por todas partes. Aunque el conserje ya haya comprobado quién es, no por eso va a dejarla pasar a cualquier despacho. Lo habitual es que le autoricen solo a acceder a determinadas zonas, como su oficina o las áreas comunes, pero no, por ejemplo, al departamento técnico o al servidor central.

En el mundo digital pasa lo mismo. Aunque un usuario haya pasado la autenticación multifactor (MFA) y su identidad esté verificada, no significa que deba tener vía libre a todos los recursos. Aquí entra en juego la autorización, que es lo que determina a qué puede acceder cada persona dentro del sistema.

Esto se basa en el principio del menor privilegio, que dice que cada usuario solo debe tener los permisos necesarios para hacer su trabajo, ni más ni menos. Si no se aplica bien, se corre el riesgo de que haya personas con demasiados privilegios, lo que puede provocar errores, accesos indebidos, robos de información o incluso fraudes.

Para evitarlo, muchas empresas utilizan soluciones de gestión de accesos privilegiados (PAM) que permiten controlar quién accede a qué, cuándo y cómo. Desde una consola centralizada, los administradores IT pueden definir reglas que concedan o bloqueen accesos automáticamente, además de supervisar lo que hacen los usuarios con privilegios elevados. Así, no solo se pueden auditar sus acciones, sino también cortar en seco cualquier comportamiento sospechoso en tiempo real.

Soluciones como WALLIX PAM ofrecen una forma segura y eficiente de autorizar y supervisar a todos los usuarios con acceso privilegiado en la red de una empresa. Además de controlar qué permisos tiene cada uno, permiten:

Eliminar la necesidad de que los usuarios privilegiados conozcan las contraseñas locales de los sistemas.

Generar un registro de auditoría inalterable de todas las operaciones privilegiadas.

Cumplir con normativas de control de acceso, monitorización y auditoría como el RGPD, NIS2, ISO 27001, HIPAA o PCI DSS.

Identificación, autenticación y autorización son tres elementos básicos para una buena estrategia de seguridad de accesos. Trabajan juntos para proteger las redes y mantener a salvo la información más sensible, con un enfoque completo y bien estructurado.

Si quieres entender mejor cómo funciona todo esto, puedes descargarte nuestro whitepaper “Guía para principiantes sobre la seguridad de accesos”, donde explicamos estos conceptos con más detalle.

Contenidos relacionados

agosto 18, 2025

Recursos relacionados

diciembre 30, 2024

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Identificar, autenticar, autorizar: los 3 pasos para proteger el acceso

Identificación

Autenticación

Autorización

Contenidos relacionados

Privileged Access Management Best Practices

Identify, Authenticate, Authorize: The Three Key Steps in Access Security

Cómo PAM facilita la implementación de IEC 62443

Túnel Universal: Conexiones OT seguras y sencillas

Gestor de Sesiones: Qué es y por qué lo necesitas

Recursos relacionados

Tres estrategias para que mejores la seguridad de los accesos remotos en tu entorno industrial

Guía Práctica para la Seguridad de Contraseñas con WALLIX One Enterprise Vault

Las 10 razones por las que PAM como Servicio es bueno para tu empresa

Proveedores de servicios gestionados

7 aspectos clave a tener en cuenta antes de elegir IAG como solución

PRODUCTOS

RECURSOS

ASISTENCIA

ACERCA DE

SÍGUENOS

Identificar, autenticar, autorizar: los 3 pasos para proteger el acceso

Identificación

Autenticación

Autorización

Compartir esta entrada

Contenidos relacionados

Recursos relacionados

PRODUCTOS

RECURSOS

ASISTENCIA

ACERCA DE

SÍGUENOS