Trace Id is missing
Saltar al contenido principal
Seguridad de Microsoft

¿Qué es FIDO2?

Obtenga información sobre los conceptos básicos de la autenticación sin contraseña fido2, incluido cómo funciona y ayuda a proteger a las personas y organizaciones frente a ataques en línea.

Reducir el riesgo con la autenticación sin contraseña

FIDO2 definido

FIDO2 (Fast IDentity Online 2) es un estándar abierto para la autenticación de usuarios que pretende reforzar la forma en que las personas inician sesión en servicios en línea para aumentar la confianza general. FIDO2 refuerza la seguridad y protege a las personas y organizaciones frente a ciberdelincuentes mediante el uso de credenciales criptográficas resistentes a la suplantación de identidad para validar las identidades de los usuarios.

FIDO2 es el último estándar de autenticación abierta desarrollado por FIDO Alliance, un consorcio del sector de Microsoft y otras organizaciones tecnológicas, comerciales y gubernamentales. La alianza lanzó los estándares de autenticación FIDO 1.0, que introdujeron la autenticación multifactor resistente a la suplantación de identidad (MFA) en 2014 y el estándar de autenticación sin contraseña más reciente, FIDO2 (también denominado FIDO 2.0 o FIDO 2) en 2018.

¿Qué son las claves de paso y cómo se relacionan con FIDO2?

Independientemente del tiempo, la complejidad o la frecuencia con la que se cambien, las contraseñas se pueden poner en peligro si se comparten de forma voluntaria o no. Incluso con una solución de protección con contraseña segura, todas las organizaciones están en riesgo de suplantación de identidad (phishing), piratería y otros ciberataques en los que se roban contraseñas. Una vez en las manos equivocadas, se pueden usar contraseñas para obtener acceso no autorizado a cuentas en línea, dispositivos y archivos.

Las claves de paso son credenciales de inicio de sesión FIDO2 que se crean mediante criptografía de clave pública. Un reemplazo eficaz de las contraseñas, aumenta la ciberseguridad al tiempo que hace que el inicio de sesión en aplicaciones web y sitios web compatibles sea más fácil de usar que los métodos tradicionales.

La autenticación sin contraseña FIDO2 se basa en algoritmos criptográficos para generar un par de claves de paso públicas y privadas, números largos y aleatorios que están relacionados matemáticamente. El par de claves se usa para realizar la autenticación de usuario directamente en el dispositivo de un usuario final, ya sea un equipo de escritorio, un portátil, un teléfono móvil o una clave de seguridad. Una clave de paso se puede enlazar a un único dispositivo de usuario o sincronizarse automáticamente entre varios dispositivos de un usuario a través de un servicio en la nube.

¿Cómo funciona la autenticación FIDO2?

La autenticación sin contraseña de FIDO2 funciona generalmente mediante claves de paso como primer factor y factor principal para la autenticación de cuentas. En resumen, cuando un usuario se registra con un servicio en línea compatible con FIDO2, el dispositivo cliente registrado para realizar la autenticación genera un par de claves que solo funciona para esa aplicación web o sitio web.

La clave pública se cifra y se comparte con el servicio, pero la clave privada permanece de forma segura en el dispositivo del usuario. Después, cada vez que el usuario intenta iniciar sesión en el servicio, el servicio presenta un desafío único al cliente. El cliente activa el dispositivo de clave de paso para firmar la solicitud con la clave privada y devolverla. Esto hace que el proceso se proteja criptográficamente contra la suplantación de identidad.

Tipos de autenticadores FIDO2

Antes de que el dispositivo pueda generar un conjunto único de claves de paso FIDO2, debe confirmar que el usuario que solicita acceso no es un usuario no autorizado o un tipo de malware. Lo hace con un autenticador, que es un dispositivo que puede aceptar un PIN, biométrico u otro gesto del usuario.

Hay dos tipos de autenticadores FIDO:

Autenticadores de itinerancia (o multiplataforma)

Estos autenticadores son dispositivos de hardware portátiles que son independientes de los dispositivos cliente de los usuarios. Los autenticadores móviles incluyen claves de seguridad, smartphones, tabletas, dispositivos ponibles y otros dispositivos que se conectan con dispositivos cliente a través del protocolo USB o la comunicación de campo cercano (NFC) y la tecnología inalámbrica Bluetooth. Los usuarios comprueban sus identidades de varias maneras, como conectando una tecla FIDO y presionando un botón o proporcionando una biométrica, como una huella digital, en su smartphone. Los autenticadores móviles también se conocen como autenticadores multiplataforma porque permiten a los usuarios autenticarse en varios equipos, en cualquier momento y en cualquier lugar.

Autenticadores de plataforma (o enlazados)

Estos autenticadores se insertan en los dispositivos cliente de los usuarios, ya sea un equipo de escritorio, portátil, tableta o smartphone. Con funcionalidades biométricas y chips de hardware para proteger las claves de paso, los autenticadores de plataforma requieren que el usuario inicie sesión en los servicios compatibles con FIDO con su dispositivo cliente y, a continuación, se autentique a través del mismo dispositivo, generalmente con un pin o biométrico.

Algunos ejemplos de autenticadores de plataforma que usan datos biométricos son Microsoft Windows Hello, Apple Touch ID y Face ID y Android Fingerprint.

Cómo registrarse e iniciar sesión en servicios compatibles con FIDO2:

Para aprovechar la mayor seguridad que ofrece la autenticación FIDO2, siga estos pasos básicos:

Cómo registrarse en un servicio compatible con FIDO2:

Paso 1: Al registrarse con un servicio, se le pedirá que elija un método de autenticador FIDO compatible.

Paso 2: Active el autenticador FIDO con un gesto sencillo que admita el autenticador, ya sea escribir un PIN, tocar un lector de huellas digitales o insertar una clave de seguridad FIDO2.

Paso 3: Una vez activado el autenticador, el dispositivo generará un par de claves privadas y públicas que es único para el dispositivo, la cuenta y el servicio.

Paso 4: El dispositivo local almacena de forma segura la clave privada y cualquier información confidencial relativa al método de autenticación, como los datos biométricos. La clave pública se cifra y, junto con un identificador de credencial generado aleatoriamente, se registra con el servicio y se almacena en su servidor autenticador.

Cómo iniciar sesión en un servicio compatible con FIDO2:

Paso 1: El servicio emite un desafío criptográfico para confirmar su presencia.

Paso 2: Cuando se le solicite, realice el mismo gesto de autenticador usado durante el registro de la cuenta. Una vez que hayas confirmado tu presencia con el gesto, el dispositivo usará la clave privada almacenada localmente en el dispositivo para firmar el desafío.

Paso 3: El dispositivo envía el desafío firmado al servicio, que lo comprueba con la clave pública registrada de forma segura.

Paso 4: Una vez que haya terminado, ha iniciado sesión.

¿Cuáles son las ventajas de la autenticación FIDO2?

Las ventajas de la autenticación sin contraseña fido2 incluyen mayor seguridad y privacidad, experiencias fáciles de usar y escalabilidad mejorada. FIDO2 también reduce las cargas de trabajo y los costes asociados con la administración de acceso.

  • Aumenta la seguridad

    La autenticación sin contraseña FIDO2 aumenta significativamente la seguridad de inicio de sesión al basarse en claves de paso únicas. Con FIDO2, los hackers no pueden obtener acceso fácilmente a esta información confidencial a través de phishing, ransomware y otros actos comunes de ciberseguridad. Las claves biométricas y FIDO2 también ayudan a eliminar vulnerabilidades en los métodos de autenticación multifactor tradicionales, como el envío de códigos de acceso de un solo uso (TPP) a través de mensajes de texto.

  • Mejora la privacidad del usuario

    La autenticación FIDO refuerza la privacidad del usuario al almacenar de forma segura claves criptográficas privadas y datos biométricos en dispositivos de usuario. Además, dado que este método de autenticación genera pares de claves únicos, ayuda a evitar que los proveedores de servicios realicen un seguimiento de los usuarios entre sitios. Además, en respuesta a las preocupaciones de los consumidores sobre el posible uso incorrecto de los datos biométricos, los gobiernos están aplicando leyes de privacidad que impiden que las organizaciones vendan o compartan información biométrica.

  • Promueve la facilidad de uso

    Con la autenticación FIDO, los usuarios pueden autenticar de forma rápida y cómoda sus identidades mediante claves FIDO2, aplicaciones autenticadora o lectores de huellas digitales o cámaras insertadas en sus dispositivos. Aunque los usuarios deben realizar un segundo o incluso tercer paso de seguridad (por ejemplo, cuando se requiere más de una biométrica para la comprobación de identidad), se ahorran el tiempo y las molestias asociados con la creación, la memoria, la administración y el restablecimiento de contraseñas.

  • Mejora la escalabilidad

    FIDO2 es un estándar abierto y sin licencia que permite a las empresas y otras organizaciones escalar métodos de autenticación sin contraseña en todo el mundo. Con FIDO2, pueden ofrecer experiencias de inicio de sesión seguras y simplificadas a todos los empleados, clientes y asociados, independientemente del explorador y la plataforma que elijan.

  • Simplifica la administración del acceso

    Los equipos de TI ya no necesitan implementar ni administrar la infraestructura y las directivas de contraseñas, lo que reduce los costes y los libera para centrarse en actividades de mayor valor. Además, aumenta la productividad entre el personal del departamento de soporte técnico, ya que no tienen que admitir solicitudes basadas en contraseña, como el restablecimiento de contraseñas.

¿Qué son WebAuthn y CTAP2?

El conjunto de especificaciones FIDO2 tiene dos componentes: Autenticación web (WebAuthn) y protocolo de cliente a autenticador 2 (CTAP2). El componente principal, WebAuthn, es una API de JavaScript que se implementa en plataformas y exploradores web compatibles para que los dispositivos registrados puedan realizar la autenticación FIDO2. El World Wide Web Consortium (W3C), la organización internacional de estándares para la World Wide Web, desarrolló WebAuthn en colaboración con la Fido Alliance. WebAuthn se convirtió en un estándar web W3C formal en 2019.

El segundo componente, CTAP2, desarrollado por FIDO Alliance, permite que los autenticadores móviles, como las claves de seguridad FIDO2 y los dispositivos móviles, se comuniquen con plataformas y exploradores compatibles con FIDO2.

¿Qué son FIDO U2F y FIDO UAF?

FIDO2 evolucionó a partir de FIDO 1.0, las primeras especificaciones de autenticación FIDO publicadas por la unión en 2014. Estas especificaciones originales incluían el protocolo FIDO Universal Second Factor (FIDO U2F) y el protocolo FIDO Universal Authentication Framework (FIDO UAF).

Fido U2F y FIDO UAF son formas de autenticación multifactor, lo que requiere dos o tres elementos de evidencia (o factores) para validar un usuario. Estos factores pueden ser algo que solo el usuario conoce (como un código de acceso o PIN), posee (como una clave FIDO o una aplicación autenticadora en un dispositivo móvil) o es (por ejemplo, una biométrica).

Obtenga más información sobre estas especificaciones:

FIDO U2F

FIDO U2F refuerza los estándares de autorización basados en contraseña con la autenticación en dos fases (2FA), que valida al usuario con dos evidencias. El protocolo FIDO U2F requiere que una persona proporcione una combinación válida de nombre de usuario y contraseña como primer factor y, a continuación, use un dispositivo USB, NFC o Bluetooth como segundo factor, normalmente autenticando presionando un botón o pulsando un teclado en un OTP con distinción de tiempo.

FIDO U2F es el sucesor de CTAP 1 y predecesor de CTAP2, que permite a los usuarios usar dispositivos móviles además de claves FIDO como dispositivos de segundo factor.

FIDO UAF

FIDO UAF facilita la autenticación sin contraseña multifactor. Requiere que una persona inicie sesión con un dispositivo cliente registrado en FIDO, que confirma la presencia del usuario con una comprobación biométrica, como una huella digital o un examen facial, o con un PIN, como primer factor. A continuación, el dispositivo genera el par de claves único como segundo factor. Un sitio web o una aplicación también pueden usar un tercer factor, como una biométrica o la ubicación geográfica del usuario.

FIDO UAF es el predecesor de la autenticación sin contraseña FIDO2.

Cómo implementar FIDO2

La implementación del estándar FIDO2 en sitios web y aplicaciones requiere que su organización tenga hardware y software modernos. Afortunadamente, todas las plataformas web líderes, como Microsoft Windows, Apple iOS y MacOS, y los sistemas Android, y todos los exploradores web principales, incluidos Microsoft Edge, Google Chrome, Apple Safari y Mozilla Firefox, admiten FIDO2. La solución de administración de identidades y acceso (IAM) también debe admitir la autenticación FIDO2.

En general, la implementación de la autenticación FIDO2 en sitios web y aplicaciones nuevos o existentes implica estos pasos clave:

  1. Defina la experiencia de inicio de sesión del usuario y los métodos de autenticación, y establezca directivas de control de acceso.
  2. Cree o modifique páginas de registro e inicio de sesión existentes con las especificaciones de protocolo FIDO adecuadas.
  3. Configure un servidor FIDO para autenticar las solicitudes de registro y autenticación de FIDO. El servidor FIDO puede ser un servidor independiente, integrarse con un servidor web o de aplicaciones o proporcionarse como un módulo IAM.
  4. Cree flujos de trabajo de autenticación nuevos o modifique los existentes.

Autenticación fido2 y biométrica

La autenticación biométrica usa las características únicas de comportamiento o comportamiento de una persona para confirmar que la persona es quien dice ser. Los datos biométricos se recopilan y convierten en plantillas biométricas a las que solo se puede acceder con un algoritmo secreto. Cuando el usuario intenta iniciar sesión, el sistema vuelve a capturar la información, la convierte y la compara con la biométrica almacenada.

Entre los ejemplos de autenticación biométrica se incluyen los siguientes:

Biológico

  • Digitalización de huellas digitales
  • Análisis de la pantalla de la pantalla
  • Reconocimiento de voz
  • Coincidencia de DNA
  • Digitalización de las imágenes

Comportamiento

  • Uso de pantalla táctil
  • Velocidad de escritura
  • Métodos abreviados de teclado
  • Actividad del mouse

La autenticación biométrica es una realidad en los lugares de trabajo híbridos y digitales actuales. A los empleados les gusta el hecho de que les ofrece flexibilidad para autenticarse de forma rápida y segura dondequiera que elijan. Las empresas como esta reducen significativamente su superficie expuesta a ataques, lo que desalienta los ciberdelincuentes que, de lo contrario, podrían dirigirse a sus datos y sistemas.

Sin embargo, la autenticación biométrica no es totalmente prueba de hacker. Por ejemplo, los actores malintencionados pueden usar los datos biométricos de otra persona, como una foto o una huella digital de la huella digital, para suplantar a esa persona. O bien, pueden combinar varios exámenes de huellas digitales para crear un examen principal que les proporcione acceso a varias cuentas de usuario.

Existen otras desventajas de la autenticación biométrica. Algunos sistemas de reconocimiento facial, por ejemplo, tienen un sesgo inherente contra las mujeres y las personas de color. Además, algunas organizaciones deciden almacenar datos biométricos en servidores de bases de datos en lugar de en dispositivos de usuario final, lo que plantea preguntas sobre seguridad y privacidad. Aun así, la autenticación biométrica multifactor sigue siendo uno de los métodos más seguros disponibles actualmente para comprobar las identidades de los usuarios.

Ejemplos de autenticación FIDO2

Los requisitos de seguridad y logística para la comprobación de identidades varían dentro de las organizaciones y entre ellas. A continuación se indican las formas habituales en que las organizaciones de distintos sectores implementan la autenticación FIDO2.

  • Banca, servicios financieros y seguros

    Para proteger datos empresariales y de clientes confidenciales, los empleados que trabajan en oficinas corporativas suelen usar equipos de escritorio o portátiles proporcionados por la empresa con autenticadores de plataforma. La directiva de la empresa les prohíbe usar estos dispositivos para uso personal. Los empleados de la rama local y del centro de llamadas usan con frecuencia dispositivos compartidos y comprueban sus identidades mediante autenticadores móviles.

  • Industria y líneas aéreas

    Las organizaciones de estos sectores también deben dar cabida a personas que trabajan en distintas configuraciones y tienen distintas responsabilidades. Los empleados ejecutivos, de recursos humanos y otros empleados basados en la oficina suelen usar equipos de escritorio y portátiles dedicados y autenticarse con autenticadores de plataforma o itinerancia. Los agentes de la puerta del aeropuerto, los mecánicos de avión y los miembros de la tripulación suelen usar claves de seguridad de hardware o aplicaciones autenticadora en sus smartphones personales para autenticarse en tabletas o estaciones de trabajo compartidas.

  • Fabricación

    Para garantizar la seguridad física de las instalaciones de fabricación, los empleados autorizados y otras personas usan autenticadores móviles, como tarjetas inteligentes habilitadas para FIDO2 y claves FIDO2, o smartphones personales registrados con autenticadores de plataforma para desbloquear puertas. Además, los equipos de diseño de productos suelen usar equipos de escritorio o portátiles dedicados con autenticadores de plataforma para acceder a sistemas de diseño en línea que contienen información de propiedad.

  • Servicios de emergencia

    Las agencias gubernamentales y otros proveedores de servicios de emergencia no siempre pueden autenticar a los paramédicos y otros respondedores con huellas digitales o exámenes de iris. A menudo, estas personas llevan guantes o protectores oculares al mismo tiempo que necesitan acceder rápidamente a servicios en línea. En estos casos, se identifican a través de sistemas de reconocimiento de voz. También se pueden usar tecnologías emergentes para digitalizar formas de oído con smartphones.

Cree seguridad de tranquilidad con FIDO2

La autenticación sin contraseña se está convirtiendo rápidamente en un procedimiento recomendado para IAM. Al adoptar FIDO2, sabe que usa un estándar de confianza para asegurarse de que los usuarios son quienes dicen ser.

Para empezar a trabajar con FIDO2, evalúe cuidadosamente los requisitos específicos de la organización y del sector para la verificación de identidades. A continuación, simplifique la implementación de FIDO2 con Microsoft Entra ID (anteriormente conocido como Azure Active Directory). El asistente de métodos sin contraseña de Microsoft Entra ID simplifica la gestión de Windows Hello para empresas, la aplicación Microsoft Authenticator y las claves de seguridad FIDO2.

Más información sobre Seguridad de Microsoft

Microsoft Entra ID(anteriormente conocido como Azure Active Directory)

Proteja el acceso a los recursos y los datos mediante una autenticación sólida y un acceso adaptable basado en riesgos.

Más información

Microsoft Entra Identity Governance

Aumente la productividad y refuerce la seguridad mediante la automatización del acceso a las aplicaciones y los servicios.

Más información

Administración de permisos de Microsoft Entra

Administre los permisos de cualquier identidad o recurso en la infraestructura multinube.

Más información

Id. verificada por Microsoft Entra

Emita y compruebe con confianza el área de trabajo y otras credenciales con una solución de estándares abiertos.

Más información

Identidades de carga de trabajo de Microsoft Entra

Reduzca el riesgo al conceder a las aplicaciones y servicios acceso condicional a los recursos en la nube, todo en un solo lugar.

Más información

Preguntas más frecuentes

  • FIDO2 significa (Fast IDentity Online 2), el último estándar de autenticación abierta publicado por fido alliance. Formada por Microsoft y otras organizaciones tecnológicas, comerciales y gubernamentales, la alianza busca eliminar el uso de contraseñas en el World Wide Web.

    Las especificaciones de FIDO2 incluyen autenticación web (WebAuthn), una API web que permite a servicios en línea comunicarse con autenticadores de plataforma FIDO2 (como tecnologías de reconocimiento facial y de huellas digitales insertadas en plataformas y exploradores web). Desarrollado por el World Wide Web Consortium (W3C) en asociación con fido alliance, WebAuthn es un estándar formal de W3C.

    FIDO2 también incluye el protocolo cliente a autenticador 2 (CTAP2), desarrollado por la unión. CTAP2 conecta autenticadores móviles (como claves de seguridad FIDO2 externas y dispositivos móviles) a dispositivos cliente FIDO2 a través de USB, BLE o NFC.

  • FIDO2 es un estándar abierto y sin licencia para la autenticación multifactor sin contraseña en entornos móviles y de escritorio. FIDO2 funciona mediante criptografía de clave pública en lugar de contraseñas para validar las identidades de los usuarios, lo que frustra a los ciberdelincuentes que intentan robar credenciales de usuario mediante suplantación de identidad, malware y otros ataques basados en contraseñas.

  • Las ventajas de la autenticación FIDO2 incluyen mayor seguridad y privacidad, experiencias fáciles de usar y escalabilidad mejorada. FIDO2 también simplifica el control de acceso para los equipos de TI y el personal del departamento de soporte técnico al reducir las cargas de trabajo y los costos asociados con la administración de nombres de usuario y contraseñas.

  • Una clave FIDO2, también denominada clave de seguridad FIDO2, es un dispositivo de hardware físico necesario para la autenticación multifactor y en dos fases. Al actuar como autenticador FIDO móvil, usa USB, NFC o Bluetooth para conectarse a un dispositivo cliente FIDO2, lo que permite a los usuarios autenticarse en varios equipos, ya sea en la oficina, en casa o en otra configuración.

    El dispositivo cliente comprueba la identidad del usuario solicitando al usuario que use la tecla FIDO2 para realizar un gesto, como tocar un lector de huellas digitales, presionar un botón o escribir un PIN. Las teclas FIDO2 incluyen teclas de complemento, smartphones, tabletas, dispositivos ponibles y otros dispositivos.

  • Las organizaciones implementan métodos de autenticación FIDO2 en función de sus requisitos únicos de seguridad, logística y del sector.

    Por ejemplo, los bancos y los fabricantes controlados por investigación a menudo requieren que los empleados basados en la oficina y otros empleados usen equipos de escritorio y portátiles proporcionados por la empresa y solo para uso empresarial con autenticadores de plataforma. En su lugar, las organizaciones con personas que se desplazan, como las tripulaciones de las líneas aéreas y los equipos de respuesta ante emergencias, suelen acceder a tabletas o estaciones de trabajo compartidas y, a continuación, autenticarse con claves de seguridad o aplicaciones autenticadora en sus smartphones.

Sigue a Microsoft 365.