¿Qué es el inicio de sesión único (SSO) y por qué es importante?

El inicio de sesión único (SSO) es un sistema de identificación de usuarios que les permite utilizar un conjunto de credenciales en varios sitios web y aplicaciones.

Tradicionalmente, se necesitaban dos credenciales de inicio de sesión para acceder a una cuenta de usuario: un nombre de usuario y una contraseña. Gestionar docenas de credenciales de inicio de sesión ralentiza el trabajo y aumenta el riesgo. El inicio de sesión único (SSO) soluciona este problema permitiendo a los usuarios iniciar sesión una vez para acceder a todas las aplicaciones y sistemas que necesiten.

Pero ahora, en lugar de tener que recordar o gestionar varias contraseñas, los clientes y empleados pueden acceder a los sistemas esenciales utilizando ese único conjunto de credenciales de usuario. 

Siga leyendo para aprender todo lo que necesita saber sobre la autenticación SSO, por ejemplo, por qué es importante, cómo funciona y cómo proteger su configuración de SSO.

• El inicio de sesión único (SSO) permite a los usuarios utilizar un único conjunto de credenciales en varias plataformas y aplicaciones.
• El SSO es cada vez más crítico para la seguridad de sistemas y datos a medida que aumentan los ataques impulsados por IA y otras tácticas sofisticadas.
• Las organizaciones eligen los estándares SSO en función de sus entornos y funciones del sistema.
• Las ventajas del SSO incluyen una experiencia de usuario mejorada, una mayor seguridad y una gestión de identidades racionalizada.
• Añadir MFA, higiene de contraseñas y otras capas de seguridad mejora la eficacia del SSO.
• Las tendencias futuras que pueden afectar al SSO incluyen avances en biometría, identidades descentralizadas y amenazas impulsadas por IA.

El SSO permite a los usuarios acceder a varias aplicaciones con un solo conjunto de credenciales de inicio de sesión. Por ejemplo, cuando un empleado ingresa sus credenciales de identidad para iniciar sesión en su estación de trabajo, la autenticación SSO también brinda acceso a las aplicaciones, el software, los sistemas y los recursos basados en la nube.

El SSO refuerza la seguridad en las organizaciones que manejan información privada o sensible, como las administraciones públicas, las biofarmacéuticas y las sanitarias, al tiempo que proporciona una experiencia de usuario sin inconvenientes en distintas plataformas o instituciones relacionadas. Por ejemplo, un empleado de banca podría utilizar SSO para iniciar sesión una vez y navegar al CRM de la empresa, a su cuenta de correo electrónico y al portal de RR. HH. Capas de seguridad como la autenticación de factores múltiples (MFA) ayudan a complementar esto.

¿Por qué es importante el SSO?

El SSO es esencial para las organizaciones porque refuerza la seguridad, agiliza las operaciones y mejora la experiencia del usuario al permitir el acceso a múltiples aplicaciones con un único conjunto de credenciales. Esto reduce la fatiga de contraseñas y el riesgo de phishing o de que las credenciales se vean comprometidas, especialmente cuando se combina con MFA. El SSO también simplifica el aprovisionamiento y desaprovisionamiento de usuarios, reduce los costos de soporte de TI y favorece el cumplimiento mediante el control de acceso centralizado y el seguimiento de la actividad. Como componente central de la gestión de identidades y accesos (IAM) y del modelo Zero Trust, el SSO garantiza una autenticación segura, eficiente y escalable en todos los entornos empresariales.

El SSO es aún más crítico dada la proliferación de aplicaciones y servicios en la nube utilizados en el lugar de trabajo. Según las últimas estimaciones, la empresa media utiliza unas 1400 aplicaciones basadas en la nube. Limitar el número de credenciales que los empleados utilizan con el SSO reduce importantes vulnerabilidades de ciberseguridad.

Aunque todos los protocolos SSO siguen el mismo proceso general, algunos funcionan de forma algo diferente en función del caso de uso y otros factores. Algunos de los estándares SSO más comunes son los siguientes:

• Security Access Markup Language (SAML): La configuración del SSO de SAML es un estándar abierto para codificar texto en lenguaje de máquina y transmitir información de identidad. En comparación con los demás, es un protocolo de autenticación ampliamente aplicable, mientras que otros están diseñados para casos de uso específicos de acceso seguro. Security Assertion Markup Language es también el principal estándar utilizado para escribir tokens de SSO.
• Open Authorization (OAuth): OAuth es un protocolo estándar abierto que cifra la información de identidad y la transmite entre aplicaciones, lo que permite a los usuarios acceder a datos de otras aplicaciones sin verificar manualmente su identidad.Sin embargo, no gestiona directamente la autenticación, a menudo se utiliza junto con OIDC para casos de uso de SSO.
• OpenID Connect (OIDC): Como una extensión de OAuth, OIDC autentica la identidad del usuario, lo que permite que múltiples aplicaciones utilicen una sola sesión de inicio de sesión.
• Kerberos: Este protocolo de autenticación de red utiliza tickets encriptados en lugar de contraseñas para permitir el SSO a través de un Centro de Distribución de Claves (KDC).

Estos estándares y protocolos SSO se utilizan para diferentes configuraciones, según la función y el entorno digital:

• El SSO de nivel empresarial proporciona una experiencia de inicio de sesión unificada para los sistemas internos de una organización, lo que permite a los usuarios navegar sin problemas a múltiples bases de datos, plataformas y aplicaciones.
• El SSO federado vincula identidades entre diferentes organizaciones o dominios.
• El SSO basado en la nube proporciona acceso SSO a través de múltiples servicios y aplicaciones basados en la nube, como AWS u Office 365.
• El SSO móvil permite a los usuarios acceder a varias aplicaciones móviles con un solo inicio de sesión.
• El SSO social permite a los usuarios iniciar sesión en una aplicación o plataforma utilizando una cuenta de redes sociales, como Facebook o LinkedIn.

Consideraciones clave al elegir un protocolo SSO

A la hora de seleccionar un protocolo SSO, no se limite a las especificaciones técnicas, sino fíjese en si se ajusta a los objetivos de seguridad, cumplimiento y experiencia del usuario de su organización:

• Nivel de seguridad y modelo de amenaza: Adapte los puntos fuertes del protocolo a los tipos de ataques contra los que más necesita protegerse, como el phishing o el robo de credenciales.
• Alineación normativa: Confirme que el protocolo es compatible con las normas de cumplimiento que debe cumplir, como GDPR, HIPAA o FedRAMP.
• Integración en los sistemas existentes: Busque protocolos que funcionen sin problemas con sus actuales proveedores de identidad, aplicaciones e infraestructura sin costosas reingenierías.
• Desempeño y escalabilidad: Considere cómo gestiona el protocolo el crecimiento, tanto en volumen de usuarios como en número de servicios integrados.
• Experiencia del usuario: Equilibre la seguridad con un proceso de inicio de sesión rápido e intuitivo para empleados, socios o ciudadanos.
• Apoyo de los proveedores y la comunidad: Un protocolo bien respaldado, con un desarrollo activo y patrones de implantación probados, reduce el riesgo a lo largo del tiempo. 

Elegir el protocolo adecuado es tanto una decisión empresarial como técnica. El ajuste adecuado protegerá a su organización, mantendrá su cumplimiento y facilitará la vida de las personas que confían en ella cada día.

A menudo se hace referencia al SSO como una función de “federación de identidades”. En términos sencillos, la federación de identidades es un sistema de confianza entre dos partes para autenticar a los usuarios e intercambiar la información necesaria para autorizar su acceso a determinados recursos. En la mayoría de los casos, esto implica el uso de Open Authorization (OAuth), un marco que permite a las aplicaciones conceder acceso seguro sin revelar la información de inicio de sesión real.

Por lo general, el flujo de trabajo de autenticación SSO es un proceso rápido y sencillo:

1. En primer lugar, el usuario solicita acceso a un recurso dentro de la configuración del SSO, iniciando el proceso de inicio de sesión a través de la Web o de una aplicación móvil.
2. El proveedor de servicios del recurso, como el sitio web anfitrión, redirige al usuario a un proveedor de identidad, como Entrust.
3. El proveedor de identidad verifica la identidad del usuario comprobando sus credenciales mediante uno de los varios protocolos de SSO.
4. Si el usuario se verifica correctamente, el proveedor de identidad genera un token de SSO (también conocido como token de autenticación). En resumen, se trata de un activo digital que representa la sesión autenticada del usuario.
5. El proveedor de identidad devuelve el token del SSO al proveedor de servicios, que verifica su validez. Si es necesario, la aplicación, el sistema o el proveedor de servicios pueden verificar incluso más la identidad del usuario emitiendo una solicitud de autenticación adicional.
6. Una vez verificado, el proveedor de servicios concede al usuario acceso a su recurso o aplicación.

Ahora, el usuario puede utilizar todas las demás aplicaciones configuradas en la configuración SSO, a menos que la sesión caduque o sea necesaria una nueva autenticación.

La implementación del SSO puede aportar varias ventajas tanto a los usuarios como a las empresas y los clientes. Por ejemplo:

Mejor experiencia del usuario, productividad y ahorro de costos

Reducir las múltiples contraseñas a un único conjunto de credenciales de usuario simplifica los inicios de sesión y reduce la necesidad de que los empleados tengan que hacer un seguimiento de varias cuentas. Esto es especialmente vital en un entorno de trabajo híbrido, donde las aplicaciones esenciales están cada vez más en las instalaciones o la nube.

En última instancia, esta aceleración del flujo de trabajo se traduce en un aumento de la productividad de los empleados. Mejor aún, incluso un pequeño ahorro de tiempo, como el que permite el SSO o la MFA, puede tener un impacto financiero tangible. Según un estudio, restablecer las contraseñas lleva a los empleados una media de 10 minutos. Si cada empleado de una organización de 100 personas tiene que restablecer su contraseña solo dos veces al año, se pierden más de 33 horas, casi una semana entera de trabajo.

Además, una solución de SSO puede minimizar las tareas improductivas, como las solicitudes de restablecimiento de contraseñas, al Servicio de Asistencia de TI.

Mayor seguridad gracias a una mejor higiene de las contraseñas

En un estudio, el 41 % de los inicios de sesión con éxito en sitios web implicaban contraseñas robadas que se habían filtrado previamente en filtraciones de datos. Cuando la gente tiene que recordar varias combinaciones de nombre de usuario y contraseña, al final, empieza a reutilizar las mismas para varias cuentas. Además, es posible que no se molesten en cambiar las contraseñas aunque se les avise que sus credenciales han sido robadas o están en peligro.

Esto se denomina «fatiga de contraseñas» y es otra de las razones por las que el SSO es importante: Es un gran riesgo para la seguridad porque significa que si una cuenta se ve comprometida, todos los demás servicios también pueden estarlo. En otras palabras, los atacantes podrían utilizar la misma contraseña para piratear otras aplicaciones de la víctima.

La implementación del SSO mitiga la fatiga de contraseña reduciendo todos los inicios de sesión a uno. Incluso si una cuenta se ve comprometida, los administradores pueden tomar medidas rápidamente para bloquear el acceso, limitando el alcance de los posibles daños a los sistemas o la cantidad de datos robados.

Sin embargo, en realidad no siempre es así. Por eso es mejor respaldar la solución de SSO con medidas de seguridad adicionales, pero hablaremos de ello más adelante.

Aplicación de políticas y gestión de identidades más sencillas

El SSO proporciona un único punto de entrada para las contraseñas, lo que facilita a los equipos de TI la aplicación de políticas y normas de seguridad. Por ejemplo, los restablecimientos periódicos de contraseña son mucho más sencillos de gestionar con el SSO, ya que cada usuario solo tiene una credencial que cambiar.

Y lo que es más importante, cuando se aplica correctamente, la gestión de identidades federadas almacena las credenciales de inicio de sesión internamente en un entorno controlado. Por el contrario, las organizaciones almacenan las combinaciones tradicionales de nombre de usuario y contraseña externamente con poca visibilidad sobre cómo se gestionan, por ejemplo, en una aplicación de terceros. Esto hace más difícil garantizar que las credenciales se gestionen de acuerdo con las mejores prácticas de seguridad de datos.

Soporte para el cumplimiento de normativas

El SSO desempeña un papel crucial para ayudar a las organizaciones en industrias altamente reguladas a cumplir con estándares de cumplimiento significativos, como los exigidos por HIPAA, GDPR y SOC 2.

La gestión centralizada del acceso favorece la aplicación coherente de las políticas de seguridad en toda la infraestructura tecnológica, incluidas las aplicaciones conectadas. Un conjunto unificado de normas de seguridad también simplifica los permisos de usuario, lo que facilita el control de quién puede acceder a datos y recursos confidenciales de acuerdo con los requisitos de conformidad.

La gestión de accesos con SSO también ayuda a aplicar el principio del mínimo privilegio, garantizando que los usuarios solo puedan iniciar sesión en las herramientas y sistemas que necesitan para sus funciones laborales. Estas limitaciones pueden ayudar a contener los daños en caso de infracción. 

Por último, las soluciones de SSO proporcionan registros de auditoría detallados que rastrean la actividad de los usuarios, que pueden utilizarse para cumplir los requisitos de supervisión y elaboración de informes o para investigaciones.

El SSO es seguro, pero debe aplicarse eficazmente. Si su autenticación SSO consiste en una única contraseña sin autenticación de factores múltiples para varias aplicaciones, logrará que los usuarios sean más productivos, pero habrá multiplicado los riesgos. Por ejemplo, si un mal actor compromete una cuenta de SSO, puede tener acceso ilimitado a las demás aplicaciones dentro de la misma configuración.

Incluso cuando se implanta la MFA, los usuarios pueden sufrir «fatiga push», lo que los hace más propensos a aprobar solicitudes push falsas de piratas informáticos sin evaluarlas detenidamente. 

Un SSO mal configurado y las integraciones de aplicaciones también pueden abrir vulnerabilidades, especialmente si las organizaciones no están supervisando este tipo de riesgos de seguridad.

Para mitigar estas posibilidades, lo mejor es que las organizaciones complementen el SSO con capas adicionales de seguridad. Entrust refuerza el SSO con funciones como las siguientes:

• Revocación de tokens y reautenticación si el sistema detecta accesos o comportamientos inusuales a partir de datos contextuales, como si alguien intenta iniciar sesión desde un dispositivo desconocido o no gestionado.
• Autenticación sin contraseña basada en credenciales, que sustituye las contraseñas tradicionales por datos biométricos o tokens para un acceso rápido y sin fricciones. ¿La mejor parte? Sin contraseña, sin nada que robar, sin forma de traspasar las defensas.
• Control centralizado de la duración de la sesión, lo que permite a los administradores de seguridad establecer y aplicar el tiempo de validez de una sesión autenticada antes de que los usuarios deban volver a autenticarse con MFA.

El SSO puede ser una gran ayuda para la productividad, pero también conlleva riesgos. Por lo tanto, para garantizar que su implementación del SSO sea lo más segura posible, tenga en cuenta las siguientes prácticas recomendadas:

1. Trazado de las aplicaciones. Identifique qué software, sistemas, aplicaciones y servicios deben incluirse en la configuración del SSO.
2. Elija un protocolo de autenticación. Seleccione un estándar SSO que sea compatible con los sistemas existentes y cumpla las normas requeridas en todas las plataformas y aplicaciones.
3. Elección del proveedor de identidades. Busque una solución de SSO flexible que sea independiente de la plataforma y compatible con todos los navegadores. Y lo que es más importante, asegúrese de que su proveedor de identidades también ofrezca múltiples funciones de seguridad para garantizar que la implantación esté bien protegida.
4. Verificación de los privilegios de usuario: En el espíritu del marco Zero Trust, base sus decisiones de control de acceso en el concepto de “acceso con menos privilegios”. La idea es que cada usuario reciba solo los permisos mínimos que necesita para desempeñar sus responsabilidades laborales. De este modo, si pierde el control de la cuenta, un pirata informático no podrá utilizar determinadas aplicaciones.
5. Pruebe y controle. Pruebe el SSO en todo el sistema antes del despliegue para asegurarse de que funciona según lo previsto. Una vez implantado, supervise continuamente los riesgos, vulnerabilidades y comportamientos o actividades inusuales.

A medida que los riesgos evolucionen y cambien, el SSO seguirá evolucionando con ellos. Entre las novedades y tendencias que pueden afectar a su uso en el futuro figuran las siguientes:

• MFA mejorado. El SSO puede utilizarse en combinación con escáneres de retina, reconocimiento facial o huellas dactilares para apoyar la autenticación. La MFA adaptativa implica comprobaciones adicionales basadas en factores como el comportamiento, la ubicación, el dispositivo u otras señales.
• Identidades descentralizadas. Blockchain y otras tecnologías emergentes reducen la dependencia de credenciales almacenadas centralmente, minimizando aún más los riesgos y mejorando la privacidad del usuario.
• Seguridad de token y sesión. Dado que los atacantes atacan cada vez más los tokens de autenticación que utiliza el SSO mediante malware o interceptación, las mejores prácticas están evolucionando para incorporar una rotación de tokens más frecuente y períodos de validación más cortos. También es una buena idea vigilar de forma proactiva los indicios de que los tokens han sido comprometidos.
• Modificaciones para entornos en la nube e híbridos. La complejidad de la tecnología organizativa moderna exige que las plataformas de SSO hagan más que nunca, como escalar sin problemas entre plataformas, automatizar tareas como el aprovisionamiento de usuarios y aplicar sistemáticamente las políticas de seguridad.

Un sistema SSO sólido permite a los usuarios acceder rápida y fácilmente a varias plataformas y aplicaciones con un solo inicio de sesión, al tiempo que los protege contra la suplantación de identidad y otros ataques. Debe incluir funciones de seguridad adicionales, como la autenticación de factores múltiples, y cumplir los requisitos pertinentes de privacidad y seguridad de los datos.

Los usuarios deben encontrarlo fácil de navegar, y los equipos de TI deben ser capaces de supervisar la actividad, la configuración y otras características desde un panel centralizado para identificar proactivamente los problemas y reaccionar rápidamente a las amenazas de seguridad.

Las soluciones SSO de Entrust eliminan la necesidad de gestionar credenciales por separado para cada aplicación única en la nube, en las instalaciones y heredada. Lo mejor de todo es que proporciona las funciones básicas que se necesitan para hacer realidad una arquitectura de Zero Trust, entre las que se incluyen las siguientes:

• Autenticación de factores múltiples
• Acceso sin contraseña
• Flexibilidad de implementación
• Integración sin inconvenientes
• Gestión centralizada

La autenticación de identidades con SSO es una función esencial de las soluciones modernas de gestión de identidad y acceso, y desempeña un papel cada vez más importante en la protección de las organizaciones frente a los ataques de phishing y las vulnerabilidades. Obtenga más información sobre las estrategias de seguridad centradas en la identidad que están adoptando las organizaciones empresariales para mantener la seguridad de sus datos y usuarios.