CARTILLA UNIDAD 2

1. Índice

1. Modelos de roles, permisos y privilegios

2. Principios de autenticación

3. Mecanismos y técnicas básicas de autenticación

3.1. Passwords

3.2. Certificados electrónicos y criptografía asimétrica

3.3. Autenticación Challenge - Response

3.4. Dispositivos para autenticación

3.5. Autenticación biométrica

3.6. Autenticación por varios factores

4. Tecnologías en gestión de identidad

INTRODUCCIÓN

Dado el crecimiento de los sistemas informáticos y los múltiples medios para

acceder a estos, sabemos sobre la necesidad de poder identificar quien accede
a los sistemas. Además, es necesario validar que quien asegura ser un usuario
es realmente quien dice ser. De aquí la importancia de la autenticación como
método de validación de la identidad.

La autenticación cobra gran sentido y mayor relevancia al considerar servicios

que pueden ser accedidos a través de internet y frente a aspectos como la
privacidad y las acciones que implican movimientos financieros; en este punto
es donde entra la autorización. Una vez identificado un usuario y autenticado
su ingreso a un sistema, es importante contar con los mecanismos para
certificar que cuenta con los permisos y privilegios para realizar determinadas
acciones.

En este módulo conoceremos las técnicas y procedimientos básicos de

autenticación y autorización, identificando que elementos pueden ser de
utilidad para autenticar un usuario, como son llevados los procedimientos de
autenticación de usuarios con el uso de estos elementos y su asociación con
definiciones básicas y elementos del ciclo de vida de la gestión de identidad.

1. Metodología

La sesión se desarrollara de acuerdo a las lecturas específicas y el material

multimedia indicado para la unidad dos. Esto permitirá la interpretación y la
apropiación de los diferentes temas que serán de gran ayuda para el desarrollo
del módulo.

2. Mapa conceptual
3. Objetivo General

Conocer y entender los mecanismos y técnicas para los procesos de

autenticación y autorización a partir de sus principios y elementos base.

4. Competencias

✓ Identifica que procedimientos pueden ser utilizados para la autenticación

de un usuario.

✓ Identifica y relaciona las técnicas para identificación y autenticación

existentes.

✓ Comprende la importancia y el papel de la autenticación y autorización

dentro del ciclo de gestión de la identidad y como puede aplicarse a un
entorno organizacional.

5. Desarrollo temático

5.1. Componente motivacional

El aprendizaje de las técnicas y procedimientos presentadas en el módulo,

permitirá a los estudiantes afianzar los conceptos básicos adquiridos en el
módulo uno y conocer herramientas de apoyo para implementar mecanismos
de seguridad basados en estos conceptos a nivel organizacional.

De la implementación adecuada de los mecanismos de autenticación y

autorización depende que el proceso de identificación sea de utilidad, por lo
cual es importante la apropiación de estos conocimientos por los estudiantes
considerando su aplicación profesional.

5.2. Recomendaciones académicas

En el desarrollo del módulo, se hará uso de los diferentes recursos en línea y

lecturas que permitirá la comprensión y entendimiento de los temas a tratar.

Para culminar con éxito este módulo, se requiere dedicar tiempo para la lectura
completa de la cartilla, los videos complementarios y la consulta bibliográfica
como apoyo al desarrollo de los temas, así como el desarrollo de las
actividades de aprendizaje complementarias.

5.3. Desarrollo de la unidad temática

AUTENTICACIÓN Y AUTORIZACIÓN – TÉCNICAS Y PROCEDIMIENTOS

Lectura 1 (Semana 3)
An Introduction to Identity Management. SANS Institute

Lee, Spencer. (2003). SANS Institute InfoSec Reading Room.

Lectura 2 (Semana 4)

Autenticación de usuarios. RedIRIS - Red académica y de investigación

española
http://www.rediris.es/cert/doc/unixsec/node14.html

1. Roles, permisos y privilegio

Para dar inicio al módulo, vamos a revisar algunos conceptos fundamentales
en la gestión de identidad y el control de acceso.
Permiso / Privilegio: Consiste en las autorizaciones o aprobaciones que
tienen los usuarios para tener derecho a realizar una tarea, actividad o acción
sobre un archivo, un servicio, la red o información. Por ejemplo, acceder a
documentos, aplicaciones, realizar acciones sobre archivos, entre otros.

Rol: Se refiere a la función que alguien o algo cumple. Con base en el rol, se
asignan los permisos y privilegios.

En los modelos de control de acceso se manejan estos conceptos. Desde el

proceso de autorización en la gestión de identidad se encuentra la gestión de
permisos y privilegios.

Los permisos pueden ser considerados desde dos frentes:

• Permisos a nivel de usuario: estos son aquellos asignados a un

usuario a modo general.

• Permisos a nivel de componente: son aquellos asignados al

componente, no al usuario. Un componente se puede referir a un
archivo, una carpeta, una aplicación, etc.

Los permisos pueden darse a nivel de un usuario o un grupo de usuarios

asociados a un rol.

2. Principios de autenticación
Recordando cuales son los principios de autenticación tenemos lo siguiente, un
usuario puede autenticarse frente a un sistema si cumple alguno de los
siguientes puntos:

• Sabe algo que solo el usuario puede saber

• Tiene algo que solo el usuario debería tener
 • Cuenta con alguna característica física o de comportamiento única del
usuario
• O una combinación de dos o de tres de los factores anteriores

La autenticación se basa en validar alguno de los elementos mencionados con

anterioridad para confirmar que un usuario es quien dice ser. La autenticación
cuenta con riesgos asociados al robo de identidad que puede darse por el robo
de los mecanismos de autenticación (contraseñas, tokens, etc.) y afectar la
confidencialidad de la información.
La autenticación puede manejarse en aplicaciones multiusuario haciendo uso
de JAAS (Java Authentication and Authorization Services) que es un framework
que Java proporciona para integrar la autenticación y autorización de usuarios
en aplicaciones basadas en este lenguaje. Por otra parte está la autenticación
en PHP donde se tienen unos mecanismos simples para autenticación HTTP
más no considera el proceso de autorización. También tenemos la
autenticación en aplicaciones .NET que brinda elementos para realizar
autenticación y autorización, y por ejemplo Kerberos es un protocolo que nos
sirve para autenticación en redes.
Se recomienda a los estudiantes profundizar en estos temas. Puede tomarse
como referencia las lecturas complementarias definidas para la unidad.
En el siguiente capítulo veremos algunos mecanismos para el proceso de
autenticación.
3. Mecanismos y técnicas de autenticación
Como se indicó en el módulo anterior a través de la autenticación es posible
validar que el usuario es quien dice ser.

Para ello los sistemas pueden hacer uso de los siguientes esquemas:

• El usuario es quien dice ser si conoce algo que solo debería conocer el
usuario. Ejemplo, un password.

• El usuario es quien dice ser si tiene algo que solo debería tener el
usuario. Ejemplo, un token.

• El usuario es quien dice ser si posee alguna característica física que

solo debe poseer el usuario. Ejemplo, la huella dactilar.

• El usuario es quien dice ser si realiza algo de forma única. Ejemplo,

patrón de escritura.

Puede darse una combinación de los anteriores factores de autenticación. A

mayor número de factores utilizados aumenta el nivel de seguridad para el
acceso. Sin embargo, es importante recordar que todo sistema es susceptible
de falla, de esta forma un usuario no autorizado puede obtener el factor de
autenticación de otro y suplantar su identidad.
Por esto a continuación vamos a revisar que técnicas pueden utilizarse o son
habitualmente utilizadas para la implementación de procesos de autenticación.

3.1. Uso de passwords y passphrase

Un password es una clave que hace uso de información secreta que solo
conoce el usuario que la ha definido para controlar el acceso a algún recurso.

De forma similar un passphrase es una secuencia de palabras o texto que

maneja mayor longitud para adicionar mayor seguridad.

La autenticación por este medio hace uso del nombre de usuario (ID) y de su
password o passphrase para conceder el acceso. Dado que es una clave que
debería ser únicamente conocida por el usuario, el sistema toma como
referencia esta información para validar la identidad del usuario, para ello el
sistema cuenta con pares (ID, Password/Passphrase) de todos los usuarios
registrados.

3.2. Certificados electrónicos

Un certificado electrónico o digital, es un archivo generado por una entidad de

certificación donde se asocian los datos de identidad de un usuario (ya sea una
persona o una empresa) para confirmar su identidad en internet. Los datos o
atributos principales y necesarios que componen un certificado son:

• La identidad del titular

• La clave pública del titular
• Fecha de caducidad del certificado (Período de validez)
• Identidad de la autoridad de certificación que lo emitió (como tercera
parte de confianza)

Ahora para ver como son usados los certificados electrónicos como método de
autenticación, es necesario revisar los sistemas de criptografía de clave pública
o criptografía asimétrica. En estos contamos con dos claves, una privada y otra
pública. La privada es de conocimiento exclusivo del propietario mientras la
pública puede ser conocida por otros usuarios.

En términos de seguridad la protección que sea dada a la clave privada es muy

importante, para ellos se han definido diferentes esquemas de protección
basados en métodos matemáticos. de esta forma, lo que sea cifrado con una
clave, solo lo puede descifrar la otra y viceversa.
 Ilustración 1. Funcionamiento de criptografía de clave pública.
http://www.futuver.com/index.php/es/que-hacemos/soluciones-tic/futucrypt.html

Los certificados electrónicos se utilizan para asegurar la vinculación de una

clave pública con una identidad. el uso de la criptografía asimétrica puede
servir para:

• Brindar confidencialidad, al utilizar la clave pública para cifrar un

mensaje que solo puede descifrarse con la clave privada, donde la clave
pública y privada utilizadas corresponden al mismo usuario.

• Brindar no repudio, cuando un usuario utiliza su clave privada para cifrar

un mensaje con lo cual lo está firmando y asegurando que solo él pudo
realizarlo porque debe ser el único conocedor de la clave privada. La
validación de la firma se da cuando se descifra el mensaje con la clave
pública del usuario que se supone envío el mensaje. A esto es lo que se
conoce como firma electrónica.

Con el uso de firmas electrónicas se asegura:

1. Integridad en los mensajes dado que las modificaciones darían

verificaciones incorrectas.

2. Verificación de la identidad del usuario firmante o del origen del

mensaje dado que solo se pudo hacer con la clave privada. Con
esto estamos hablando también del no repudio.

Dadas estas últimas dos características es por lo cual, la criptografía asimétrica

es usada a nivel de procesos de autenticación.

A partir de los sistemas de criptografía asimétrica se hace uso de un sistema

de autenticación llamado challenge - response o reto-respuesta. Este consiste
en los siguientes pasos:
 1. Un verificador (puede ser un servicio, un sistema, un servidor)
presenta un desafío a quien se quiere autenticar, utilizando la
clave pública de este para cifrar el mensaje.

2. La identidad que quiere autenticarse (cliente) recibe el mensaje y

si es quien dice ser, con su clave privada descifra el reto. y envía
la respuesta al verificador.

3. El verificador recibe la respuesta y valida que es correcta, por lo

cual permite o no el acceso al usuario que se estaba
identificando.

Ilustración 2. Protocolo reto - respuesta.

http://msdn.microsoft.com/en-us/library/cc236629.aspx

3.3. Dispositivos para autenticación

Ya hemos visto mecanismos de autenticación basados en algo que el usuario

sabe (los passwords) y algo que tiene (los certificados electrónicos). ahora
vamos a ver otro elemento que permite la autenticación de un usuario a partir
del conocimiento de una clave pero que no se encuentra en el sistema o en su
cabeza sino en un dispositivo externo. Estamos hablando de los tokens y las
tarjetas con funcionalidad de RFID.

Los tokens son dispositivos que guardan una clave secreta en memoria (claves
criptográficas) y son utilizados para soportar los procesos de autenticación.

Existen varios tipos de tokens:

• Generadores de claves dinámicas (OTP - One Time Password) en los

cuales el password generado es validado para una única sesión de login
o transacción.

• Tokens USB, el cual mediante conexión USB se comunica con un

controlador instalado en el equipo para realizar la autenticación.
 • Encontramos también tokens que cuentan con teclados numéricos
donde el usuario introduce un valor que le proporciona el sistema y el
dispositivo muestra la clave asociada al valor.

Ilustración 3. Token One time password y token USB.

http://www.syncron.be/images/stories/vasco/DP-Go-6_graphic.jpg
http://www.tokenguard.com/images/tokens/SID800.gif

Otro elemento que puede ser considerado como un dispositivo de autenticación

son las tarjetas inteligentes (Ejemplo: tarjetas bancarias con chip) en las cuales
se almacena información para la realización de transacciones y permite la
identificación de un usuario.

Ilustración 4. Ejemplo Smart Card.

http://smartcardsupply.com/images/p_smartcard02.gif

De otra parte tenemos las etiquetas RFID (Radio Frequence Identification -

identificación por radiofrecuencia) donde se almacena información que permita
la identificación mediante ondas de radio. En tal caso se requiere de un lector
de RFID que interactúa con las etiquetas a través del espectro
electromagnético. Actualmente nosotros usamos tarjetas RFID en nuestros
pasaportes.

Ilustración 5. Etiquetas RFID.

http://blog.sociatag.com/wp-content/uploads/2013/04/image.jpeg
http://inquirecontent-emea.ingrammicro.com/images/300/1023188553.jpg
3.4. Biométricos

La biometría es la ciencia que estudia las características biológicas

relacionadas con las distancias, permite mediante la aplicación de la
matemática y la computación identificar a las personas a partir de sus rasgos o
características físicas.
La biometría se basa principalmente en la visión por computador y el uso de
reconocimiento de patrones. Las características que usualmente se usan para
este proceso son la huella dactilar, el iris y las facciones del rostro
(reconocimiento facial) y a nivel de comportamiento el habla, la firma y la forma
de teclear.
El uso de la biometría se remonta al año 1882 cuando el policía francés
Alphonse Bertillon presento el primer sistema de identificación basado en
características físicas con el objetivo de identificar a criminales. Desde ese
momento los rasgos físicos han sido tomados como referencia para los
procesos de identificación.

Ilustración 6. Alphonse Bertillon y su sistema de medidas para identificación de criminales.

Tomado de http://kids.britannica.com/comptons/art-137305/Alphonse-Bertillon

Los sistemas biométricos funcionan a partir de la comparación de los rasgos

biométricos presentados que son comparados contra los almacenados en una
base de datos en el momento de realizar el proceso de identificación o registro
del usuario. Estos sistemas se enfrentan a dos grandes problemas para la
autenticación:
1. En la realización del registro, es necesario que al adquirir y guardar las
características, el sistema descarte posible ruidos o imperfecciones.
2. La lógica del sistema debe ser configurada de forma tal que las tasas de
error por falsos positivos (autenticar a un usuario que no lo es) o falsos
negativos (denegar el acceso a un usuario legitimo) sean mínimas.

Los rasgos biométricos para el proceso de identificación y autenticación deben

considerar las siguientes características:

• Universalidad frente a que el rasgo biométrico lo posea cada persona

• Particularidad frente a que el rasgo biométrico es específico o diferente
para cada persona
• Permanencia considerando el rasgo biométrico invariante en el tiempo
• Medible

Algunos de los rasgos utilizados en biometría para el control de acceso son:

Rasgos de la cabeza

• Cara: Se encuentra dentro de los rasgos más utilizados y aceptados

dado que no es intrusivo y no se requiere interacción por parte del
usuario. El proceso normal para el reconocimiento de los rasgos faciales
es el siguiente:

Ilustración 7. Proceso de reconocimiento por los rasgos de la cara. Autoría del docente

• Oreja: Pueden usarse las características de la oreja como rasgo de

reconocimiento. El proceso es el mismo aplicado al rostro. El
inconveniente se presenta cuando estas están ocultas bajo el cabello. Al
igual que la cara es un método pasivo frente al usuario que no requiere
de su interacción.
 Ilustración 8. Reconocimiento por rasgos de la oreja.
http://blogs.lainformacion.com/futuretech/2010/10/13/orejas/

• Iris: El iris es distintivo para cada persona, este tiene una morfología
definida desde la etapa de gestación. En este caso se requiere la
colaboración del usuario para realizar la captura del iris dado que una
imagen del rostro no es suficiente para capturar este nivel de detalle. El
procedimiento para reconocimiento por el iris es el siguiente:

Ilustración 9. Procesos reconocimiento por el iris. Autoría del docente

• Retina: En este caso se toman las venas existentes en la retina como

rasgo para reconocimiento. El proceso es similar al del iris.

Ilustración 10. Reconocimiento de la retina.

http://www.appliedbiometrics.com/es/tecnologia/reconocimiento-de-retina/
Rasgos de la mano

• Manos y dedos: Para este rasgo se considera el largo y ancho de los

dedos, y el ancho de la mano. En estos casos se requiere colaboración
del usuario para adquirir la imagen y es principalmente usado en
procesos de verificación dado que es difícil distinguir entre usuarios para
hacer uso de este método para identificación. el proceso es similar al de
cara e iris, se hace la adquisición de la imagen, se sacan las
características de longitud a partir de la demarcación de contornos y se
compara contra las existentes en una base de datos.

Ilustración 11. Biometría de mano.

http://www.rediris.es/cert/doc/unixsec/node14.html

• Huella dactilar: En el caso de la huella dactilar se toma referencia de

los patrones a nivel de valles y crestas (las líneas que podemos ver que
caracterizan nuestras huellas) y que son definidas durante la gestación.
Este método implica la colaboración del usuario para la adquisición de la
imagen y es el rasgo de más uso para la identificación y autenticación.

Ilustración 12. Crestas y valles en huella dactilar.

http://danimtzc.blogspot.com/2012/08/presentacion-inicial_14.html

Las huellas pueden adquirirse por sensores ópticos, térmicos o de

ultrasonido entre los más comunes. La forma de reconocer las huellas es
a partir del análisis de singularidades.
 Ilustración 13. Singularidades en huellas digitales.
http://www.biometricos.cl/equipos_biometria/porque_utilizar_la_biometria_por_huella_digital.php

El proceso para el análisis de huellas es el siguiente:

Ilustración 14. Biometría de la huella dactilar. Autoría del docente

• Huella de la mano: De forma similar al caso de la huella dactilar es

posible tomar como rasgo característico la huella de la mano completa.
Sin embargo para utilizar este método hay mayores implicaciones de
costos dado que se requieren escáneres más grandes. El proceso es
similar al presentado con la huella dactilar.

Ilustración 15. Geometría de la mano.

http://redyseguridad.fi-p.unam.mx/proyectos/biometria/clasificacionsistemas/recomano.html
Otros rasgos a usar

Es posible emplear otros rasgos del cuerpo para realizar reconocimiento. Entre
estos están el uso del ADN, y patrones como el habla, el caminar, la escritura y
la firma.

3.5. Autenticación de varios factores

La autenticación a partir de varios factores o autenticación robusta, es una

técnica que va cobrando mayor fuerza en la actualidad. Con esta se busca
añadir capas de seguridad frente a la autenticación que permitan identificar la
identidad de un usuario disminuyendo los riesgos asociados al robo de
identidad por el uso de un único factor. Usualmente se habla de doble factor de
autenticación y se hace uso de claves en conjunto con el manejo de tokens, o
claves y el uso de certificados digitales, o tarjetas con el uso de biométricos. A
mayor número de factores utilizados aumenta el nivel de seguridad frente a la
autenticación.
3.6. Autenticación Single Sign-On

Los sistemas Single Sign-On permiten a un usuario la autenticación a varios

servicios o aplicaciones a partir de un único proceso de autenticación inicial.
Estos sistemas surgieron a partir de la necesidad de brindarles a los usuarios la
facilidad para el acceso a los recursos sin el problema de manejar y recordar
muchas contraseñas y nombres de usuario necesarios anteriormente por cada
servicio.
Este concepto es fácilmente identificable a nivel organizacional, donde a partir
de un único par de ID y password/passphrase los usuarios pueden acceder a
las aplicaciones de la organización (por ejemplo, el uso de directorio activo).
También se puede identificar en servicios de internet tales como los portales de
google o yahoo, donde con un único punto de identificación es posible acceder
a los diferentes servicios con lo que cuenta el portal.

Ilustración 16. Google y Yahoo. Autenticación Single Sign-On.

http://blog.supermedia.com/media/Google-Products.jpg
http://www.pocketberry.com/wp-content/uploads/2011/04/yahoo-mobile-app.png
4. Tecnologías para gestión de identidad
Ahora que contamos con más nociones sobre lo que es la gestión de
identidades, vamos a ver algunas tecnologías que permiten su implementación
a nivel empresarial.
Ante la implementación de la gestión de identidad en las organizaciones se
interesan en:

• La reducción de costos asociados a la administración de usuarios

• Mejorar la seguridad frente a la información
• Optimizar la carga administrativa frente al soporte a usuarios
• y de acuerdo con el tipo de organización, cumplir con regulación que le
aplique ya sea externa (ejemplo el cumplimiento en el sector financiero)
e interna (políticas)
Las tecnologías o soluciones que vamos a ver son las siguientes:

• Directorios
• Gestión de acceso web
• Gestión de passwords
• Federación de identidades
La utilidad en la implementación de soluciones tecnológicas como las
mencionadas se encuentra en facilitar los procesos de gestión de usuarios
abarcando los procesos de identificación, autenticación, autorización y
auditoria.

4.1. Directorios

Los directorios son un tipo específico de bases de datos en los cuales se

almacena información pertinente a un objeto (este puede ser un individuo,
recurso de red o un documento) de una organización. A través de los servicios
de directorio se cuenta con la plataforma que permite gestionar la identificación,
autenticación, autorización y el control de acceso a los datos que se
encuentran en el directorio.
El servicio de directorio a partir de un nombre o identificar permite la búsqueda
de valores requeridos utilizando las relaciones entre los objetos del directorio y
concede el acceso a los recursos solicitados de acuerdo a los permisos
previamente concedidos a un usuario.
Un directorio al ser considerado una base de datos, se diferencia de una base
de datos relacional en:

• El servicio de directorio realiza más acciones de lectura que de escritura

• Los datos suelen ser redundantes porque se procura que las búsquedas
sean eficientes
• Los directorios no manejan relaciones múltiples (cardinalidad en bases
de datos), se manejan listas de nombres o identificadores
 • Los directorios se utilizan para objetos identificados (usuarios, agendas,
listas, productos, servicios, perfiles, entre otros) para los cuales se da
muchos usos, mientras las bases de datos relacionales permite
automatizar un modelo relacional de datos dedicado
Hay varios tipos de directorios de acuerdo al tipo de implementación o
propósito:

• Libretas de direcciones, ejemplo, las manejadas en correo electrónico. Si

las libretas son manejadas como aplicaciones independientes sería
necesario establecer un estándar para el intercambio de información
(como LDIF - LDAP data interchange format) para que otras aplicaciones
pudieran hacer uso de los libretas.

• Directorios de sistema operativo de red, donde se almacenan datos de

los recursos de la red. Ejemplos de este tipo de directorios son Directorio
activo de Microsoft.

• Otro ejemplo de directorio es el servicio de nombres de dominio (DNS -

Domain name service) usado a nivel de internet que resuelve a partir de
un nombre cual es la dirección IP asociada.
A través del uso de los directorios se pueden configurar políticas de seguridad
y control de acceso que permitan determinar qué recursos puede o no acceder
un usuario en un sistema.
El estándar para la implementación de directorios es X.500 (DAP - directory
access protocol) que posteriormente fue la base del estándar LDAP
(Lightweight directory access protocol - Protocolo ligero de acceso a directorio).
LDAP diseñado en la Universidad de Michigan se generó como una versión
"ligera" del estándar X.500 dado su complejidad. Inicialmente LDAP actuaba
como conector o pasarela entre los usuarios y los servicios X.500
posteriormente se trabajó para convertirlo en el estándar para el manejo del
servicio de directorio.
La estructura básica de un directorio LDAP es la siguiente:
Se parte de una raíz que representa a la organización y a la cual se asigna un
distinguished name (DN), de esta se desprenden grupos de objetos formando
una jerarquía, esto corresponde al espacio de nombres que es utilizado.
Cada objeto ingresado es una entrada de directorio a la cual se asigna un DN.
A su vez, las entradas se componen de una serie de atributos descriptivos. De
acuerdo a los atributos que se manejen se define el esquema de directorio.
Algunos de los atributos descriptivos más usados son:

• dc - > domain component

• ou -> organizationa unit
• cn -> common name
• uid -> identificador de usuario
 Ilustración 17. Ejemplo directorio LDAP.
http://www.openldap.org/doc/admin24/intro.html#What%20is%20a%20directory%20service

Existe una implementación de código abierto de LDAP desarrollada por el

proyecto OpenLDAP, que lleva este mismo nombre. A través del estudio de
este puede adquirirse mayor profundidad sobre el protocolo. Se recomienda
revisar la lectura complementaria Guía de OpenLDAP.
4.2. Gestión de acceso web

La gestión de acceso web permite sean definidos los controles para que los
usuarios interactúen con una plataforma basada en web a través del buscador.
Este tipo de gestión ha tomado fuerza a partir de la difusión del e-commerce y
las transacciones en línea.
En estos sistemas, el usuario envía las credenciales a un servidor web, el cual
hace la validación de las mismas frente a las políticas de seguridad con las que
cuenta el directorio y de acuerdo a esto concede o niega el acceso a la
aplicación y los recursos que están siendo solicitados.
A través de las herramientas de gestión de acceso web usualmente se provee
un single sign-on a los usuarios para acceder a diferentes recursos que se
encuentran dentro del mismo ambiente web, ejemplos de esto tenemos en los
servicios de google.
Una forma en la que se mantiene la autenticación a través de un servidor web,
es mediante el uso de cookies. a través de estas el buscador web puede
validar si un usuario tiene derechos de acceder a un recurso mientras se
mantenga la sesión de usuario.
Como parte de la información que puede transmitirse en la cookie está el
número de cuenta, el password, hábitos de búsqueda e información personal.
El acceso a aplicaciones a través de la web está expuesto a ataques de
seguridad asociados a robo de las cookies por XSS o intercepción de
comunicaciones. Para ampliar información sobre este tema, remitirse a las
lecturas complementarias sobre gestión de sesiones web.

4.3. Gestión de passwords/passphrase

La gestión de passwords/passphrase adquiere relevancia ante la gran cantidad

de passwords/passphrase manejada por los usuarios y sus requerimientos de
cambio. Ante estos eventos los administradores deben realizar el cambio
directamente desde la consola de gestión de cada plataforma, y pueden
encontrarse n plataformas y aplicaciones en una organización. Ante esto
existen varias tecnologías para gestionar los passwords de tal forma que se
puede facilitar el manejo para los usuarios, la labor de administración y soporte
y los aspectos de seguridad.
Entre estos están la sincronización de passwords, el autoservicio para cambio
de password y el cambio de password asistido. En el primer caso, a través de
la sincronización un usuario puede mantener un password para múltiples
sistemas o aplicaciones. Esta opción representa un problema grande de
seguridad, dado que es un único punto de falla que puede ser atacado por un
usuario no autorizado para ganar acceso a los recursos del usuario legítimo.
En el caso del autoservicio para cambio de password, se trata de opciones
manejadas por ejemplo en aplicaciones y sistemas operativos, donde el usuario
a través de una opción de configuración tiene el privilegio y los permisos para
realizar el cambio de su propio password, como medidas de seguridad en este
caso se suelen usar preguntas de seguridad, manejo de mecanismos de
autenticación adicionales como tokens o smart cards, como medida para
validar la identidad del usuario.
La última tecnología presentada sobre el cambio de password asistido,
comprende funcionalidades que le permiten al equipo de soporte o help desk,
validar la identidad del usuario antes de cambiar el password. El proceso
usualmente se realiza a través del uso de preguntas de seguridad por una
herramienta de gestión de passwords antes de realizar el cambio. Una vez
realizada la autenticación y el cambio de password, el sistema o aplicativo
exige al usuario que realice el cambio de nuevo para asegurar que solo el
conocerá el nuevo.
4.4. Federación de identidades

Para comprender la definición de federación de identidades, es necesario

conocer primero algunos conceptos adicionales a los mencionados en la
unidad uno (sujeto, objeto).

• Tabla de capacidades: son las capacidades de acceso de un sujeto

sobre un objeto
 • Dominio de identidad o seguridad: son el conjunto de sujetos, objetos
y mecanismos para la identificación y gestión de acceso

• Proveedor de servicio: es un sistema que provee los objetos a los

cuales se puede acceder

• Proveedor de identidad: es un sistema que provee los mecanismos

para identificación y control de acceso

• Proveedor de políticas: es el sistema encargado de las políticas de

seguridad

A partir de esto podemos definir la federación de identidades como los

mecanismos para permitir a una identidad que pertenece a un dominio de
identidad manejar los objetos ofrecidos por un proveedor de servicio que este
asociado al dominio de identidad siguiendo las políticas de seguridad (del
proveedor de políticas).

Ilustración 18. Esquema del sistema federado de identidades.

Tomado de "Single Sign-on y federación de identidades" Palazón, Felguera, Castellá

En el esquema presentado en la ilustración 2, el sujeto se identifica con el

proveedor de identidad para tener acceso a un recurso provisto por el
proveedor de servicio. El proveedor de identidad valida las credenciales del
sujeto con el proveedor de políticas, a su vez valida el acceso al recurso con el
proveedor de servicio, el cual valida las políticas de acceso (tabla de
capacidades) del sujeto sobre el recurso para conceder o denegar el acceso.
En la federación de identidades se reúne la identidad de un sujeto que exista
en varios dominios de identidad y que funcionan bajo relaciones de confianza.
No aplica hablar de federación de identidades si solo existe un dominio dado
que esto sería control de acceso delegado.
El problema inicial frente a la federación de identidades es asegurar las
relaciones de confianza entre los dominios conservando las características de
seguridad, segundo, realizar la comunicación entre los dominios considerando
que el diseño de cada sistema puede ser diferente así como el uso de
estructuras y lenguajes.
Existen varios patrones de federación:

• Federación ad-hoc: donde se establece la relación entre pares de

dominio.

Ilustración 19. Federación ad- hoc.

Tomado de "Single Sign-on y federación de identidades" Palazón, Felguera, Castellá

• Federación hub-and-spoke: en este caso hay una organización

dominante que dicta los estándares, las políticas de confiabilidad dentro
de un conjunto de organizaciones miembro.
 Ilustración 20. Federación hub-and-spoke.
Tomado de "Single Sign-on y federación de identidades" Palazón, Felguera, Castellá

• Red de federación de identidades: En este tipo se cuenta con una

organización independiente para la federación de identidades entre las
organizaciones miembro.

Ilustración 21. Federación por red.

Tomado de "Single Sign-on y federación de identidades" Palazón, Felguera, Castellá

La federación de identidades puede relacionarse con el esquema de single

sign-on en términos que podemos contar con varios dominios de identidad
dentro de un gran dominio de single sign-on en el cual el usuario se autentica
frente a un dominio y esto le da acceso a otros dominios dentro del single sign-
on.
 Ilustración 22. Federación de identidades y single sign-on.
Tomado de "Single Sign-on y federación de identidades" Palazón, Felguera, Castellá

Los ejemplos de federación de identidades son visto de forma mayor a nivel

académico, algunos de ellos son:

• Federación de identidades en la Universidad de la Colima - México.

Acceso a varias aplicaciones federadas a través de single sign-on.
http://wayf.ucol.mx/federacion/

• REFEDS - Research and Education Federations. https://refeds.org/

• Servicio RENATA. Redes para investigación entre América Latina y

Europa.
http://www.renata.edu.co/index.php/component/content/article/5-
noticias/6615-continua-avance-en-los-servicios-que-ofrece-renata-a-
traves-de-elcira.html

Este es un ejemplo de una propuesta de gestión de identidad aplicado al

Consorcio Minero Benito Juárez Peña presentado a partir de una tesis de la
Universidad de Colima

• Arquitectura de gestión de identidad digital para Consorcio Minero Benito

Juárez.
http://digeset.ucol.mx/tesis_posgrado/Pdf/Refugio_Javier_Villalobos_Bec
erra.pdf
Y este el ejemplo de implantación de un sistema de federación de identidades
en el servicio de salud de las Islas Baleares

• Implantación de un sistema de federación de identidades en el Servei de

Salut de les Illes Balears.
http://www.socinfo.es/contenido/seminarios/1415sanidad7/Ibsalut.pdf

3. Glosario de términos

Remitirse al glosario

4. Bibliografía

• Harris, S. (2011). CISSP All-in-One Exam Guide, Chapter 4: Access Control.

Fifth Edition. New York: McGraw Hill Professional

• Romero Palazón, Jose Maria. Autenticación y autorización en aplicaciones

multiusuario. Universitat Oberta de Catalunya.
http://www.exabyteinformatica.com/uoc/Dactiloscopia/Identidad_digital/Identi
dad_digital_%28Modulo_2%29.pdf
• IEEE - Boulgouris. N, Plataniotis. K, Tzanakou. E. (2010). Biometrics.
Theory, Methods, and Applications
http://books.google.com.co/books?id=fefutm-
Dhy0C&printsec=frontcover&dq=Biometrics:+Theory,+Methods,+and+Applic
ations&hl=es-
419&sa=X&ei=QJQLVIWCOJPlsATu6IKQAg&ved=0CBwQ6AEwAA#v=onep
age&q=Biometrics%3A%20Theory%2C%20Methods%2C%20and%20Applic
ations&f=false

• Creación de Federación de identidad para las redes académicas. Gobierno

Federal de Brasil. (2013) http://elcira.eu/docs/Camila_Santos_CF.pdf

• Sistemas de identidad. Implementación y organizaciones.

http://www.openliberty.org/wiki/index.php/Existing_Identity_Systems