[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2023\/05\/04\/identificacion-autenticacion-autorizacion\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2023\/05\/04\/identificacion-autenticacion-autorizacion\/","headline":"Identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n \u00bfEn qu\u00e9 se diferencian?","name":"Identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n \u00bfEn qu\u00e9 se diferencian?","description":"\u00bfIdentificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n son lo mismo? \u00bfEn qu\u00e9 se diferencian estos procesos y por qu\u00e9 son tan importantes? \u2705","datePublished":"2023-05-04","dateModified":"2023-05-04","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2023\/04\/identificacion-autenticacion-1.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2023\/04\/identificacion-autenticacion-1.jpg","height":800,"width":1600},"url":"https:\/\/ayudaleyprotecciondatos.es\/2023\/05\/04\/identificacion-autenticacion-autorizacion\/","about":["CIBERSEGURIDAD"],"wordCount":1368,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              Utilizados muchas veces como si fueran sin\u00f3nimos o de manera intercambiable, la identificaci\u00f3n, autenticaci\u00f3n y la autorizaci\u00f3n son conceptos diferentes, aunque relacionados entre s\u00ed, que debemos distinguir, especialmente en el \u00e1mbito de la ciberseguridad y de la protecci\u00f3n de datos. En este art\u00edculo explicamos qu\u00e9 son la identificaci\u00f3n y autenticaci\u00f3n y la autorizaci\u00f3n, en qu\u00e9 se diferencian y c\u00f3mo se relacionan entre s\u00ed.Identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n. DiferenciasIdentificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n, tres partes de un todoIdentificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n en la protecci\u00f3n de datosIdentificaci\u00f3n y autenticaci\u00f3n y los datos biom\u00e9tricosIdentificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n. DiferenciasPr\u00e1cticamente cada d\u00eda nos identificamos, autenticamos y recibimos autorizaci\u00f3n para acceder y usar diferentes sistemas y funcionalidades; lo hacemos cuando entramos a nuestra bandeja de correo electr\u00f3nico, nuestro perfil en una red social o cuando queremos dejar un comentario en el art\u00edculo de un blog.Son operaciones que se han vuelto tan habituales en nuestro d\u00eda a d\u00eda, que pocas veces les prestamos realmente atenci\u00f3n, m\u00e1s all\u00e1 de introducir la informaci\u00f3n que se nos pide en el proceso de identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n. Y eso conlleva en que muchas veces usemos estos tres t\u00e9rminos como si de sin\u00f3nimos se tratar\u00e1n, cuando en realidad, son diferentes acciones y procesos, relacionados entre s\u00ed, c\u00f3mo veremos m\u00e1s adelante.As\u00ed que veamos qu\u00e9 es cada uno de ellos:\u00bfQu\u00e9 es la identificaci\u00f3n?La identificaci\u00f3n es la acci\u00f3n o proceso de identificar a una persona o una cosa. Se trata de establecer la identidad de alguien o algo, por ejemplo, a trav\u00e9s de un identificador \u00fanico, como el DNI, el nombre de usuario o un n\u00famero de tel\u00e9fono.\u00bfQu\u00e9 es la autenticaci\u00f3n?La autenticaci\u00f3n es el proceso de probar la identidad de una persona, es decir, comprobar mediante factor y mecanismos de autenticaci\u00f3n que la persona es qui\u00e9n dice ser. En el contexto de la ciberseguridad, es autenticar el identificador de un usuario. Para ello se puede usar uno o m\u00e1s de los siguientes factores de autenticaci\u00f3n:Conocimiento: Algo solo la persona conoce, como una contrase\u00f1a.Propiedad, algo que una persona posee, como un m\u00f3vil.Par\u00e1metros biom\u00e9tricos, como la huella digital.La autenticaci\u00f3n en seguridad inform\u00e1tica, c\u00f3mo veremos m\u00e1s adelante, es un elemento fundamental, porque, en principio, garantiza que quien accede al sistema es realmente quien dice ser.\u00bfQu\u00e9 es la autorizaci\u00f3n?Finalmente, la autorizaci\u00f3n es la acci\u00f3n de especificar qu\u00e9 derechos y privilegios de acceso tiene una persona. La autorizaci\u00f3n puede o no depender de la identificaci\u00f3n y la autenticaci\u00f3n.Tras esta explicaci\u00f3n seguramente ya pod\u00e9is ver cu\u00e1l es la diferencia entre autenticar y autorizar, o entre identificar y autenticar, y que en realidad, y c\u00f3mo veremos en el siguiente punto, si bien la autorizaci\u00f3n puede no requerir de un proceso de identificaci\u00f3n y autenticaci\u00f3n, no se puede hablar de identificaci\u00f3n sin autenticaci\u00f3n y viceversa (no, estos conceptos y procesos son complementarios y realmente nunca hablamos de autenticaci\u00f3n vs identificaci\u00f3n).En cualquier caso, para dejar claro los tres conceptos, veamos un ejemplo:Cuando vas a acceder a una cuenta en una red social, el primer paso es identificarse, para lo que deberemos introducir o bien el nombre de usuario o bien una direcci\u00f3n de correo electr\u00f3nico. Despu\u00e9s se nos pedir\u00e1 introducir una contrase\u00f1a, procediendo as\u00ed a la autenticaci\u00f3n si usuario y contrase\u00f1a coinciden. Si adem\u00e1s, tenemos activada la autenticaci\u00f3n multifactor, se nos pedir\u00e1 un segundo factor de autenticaci\u00f3n (puede ser un c\u00f3digo enviado por SMS a nuestro m\u00f3vil). Finalmente, una vez se ha realizado la identificaci\u00f3n y la autenticaci\u00f3n, el sistema nos autorizar\u00e1 a acceder a nuestro perfil y realizar diferentes acciones (publicar posts, comentarios, im\u00e1genes, dar \u00abme gusta\u00bb, etc.).Identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n, tres partes de un todoC\u00f3mo hemos venido diciendo, identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n est\u00e1n estrechamente relacionadas y forman, generalmente, tres partes de un todo, especialmente en el campo de la seguridad de la informaci\u00f3n.C\u00f3mo hab\u00e9is visto en el ejemplo del punto anterior, la identificaci\u00f3n y la autenticaci\u00f3n en seguridad inform\u00e1tica son clave, porque a trav\u00e9s de ellas se evita que terceros no autorizados puedan acceder a sistemas o datos confidenciales. Junto a la autorizaci\u00f3n, es posible, adem\u00e1s, crear un sistema de privilegios y roles vinculado al identificador, es decir, se puede gestionar el nivel de acceso a recursos y datos de los miembros de una organizaci\u00f3n.Por ejemplo, en una empresa no todos los empleados deben tener acceso a la base de datos de fichas de clientes, de manera que a los identificadores de los empleados para acceder al sistema se les vincular\u00e1 un nivel de autorizaci\u00f3n en base su puesto y actividad en la empresa.En ese sentido, identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n se convierten en una medida de seguridad m\u00e1s.Identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n en la protecci\u00f3n de datosEn la protecci\u00f3n de datos, c\u00f3mo pod\u00e9is imaginar, la identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n son elementos clave para asegurar que solo personas con la autorizaci\u00f3n debida acceden a los datos personales que maneja y trata una empresa. C\u00f3mo dec\u00edamos, son parte de las medidas de seguridad t\u00e9cnicas, pero tambi\u00e9n organizativas (los niveles de autorizaci\u00f3n basados en roles o privilegios entrar\u00edan aqu\u00ed), que debe implementar una empresa para evitar que terceros no autorizados puedan tener acceso a la informaci\u00f3n personal de clientes, empleados, proveedores, etc.Adem\u00e1s, la identificaci\u00f3n y los factores de autenticaci\u00f3n pueden considerarse tambi\u00e9n datos personales, en tanto cuanto permiten identificar a una persona, por lo que las medidas de protecci\u00f3n de datos tambi\u00e9n debe extenderse a estos elementos (por ejemplo, mediante el cifrado de la base de datos de empleados y\/o usuarios).Identificaci\u00f3n y autenticaci\u00f3n y los datos biom\u00e9tricosFinalmente, cabe se\u00f1alar que cada vez es m\u00e1s habitual el uso de sistemas de identificaci\u00f3n y autenticaci\u00f3n basados en datos biom\u00e9tricos (como los lectores de huellas digitales o el reconocimiento facial). En ese sentido, y si la empresa est\u00e1 pensando en adoptar este tipo de sistemas, es importante tener en cuenta que los datos biom\u00e9tricos, cuando se usan para la autenticaci\u00f3n de personas, tienen consideraci\u00f3n de datos personales de categor\u00edas especiales (art. 9 del RGPD) y que es necesario aplicar ciertas medidas de protecci\u00f3n de datos (evaluaci\u00f3n de impacto, consentimiento expreso, existencia de una ley o normativa previa que lo contemple), as\u00ed como determinar la proporcionalidad e idoneidad de la medida.Hay que tener en cuenta que el CEPD considera el uso de datos biom\u00e9tricos para la autenticaci\u00f3n, una medida excesiva e intrusiva, que puede entrar en conflicto con los derechos y libertades de los interesados, por lo que es fundamental someterla antes a ese juicio de idoneidad y proporcionalidad, es decir, si la medida es necesaria y no existe otra alternativa menos intrusiva para alcanzar la finalidad perseguida y si los beneficios obtenidos son mayores que los perjuicios causados a los derechos y libertades de los interesados.En cualquier caso, antes de implementar un sistema de autenticaci\u00f3n biom\u00e9trico, es recomendable consultar con un profesional de protecci\u00f3n de datos la idoneidad de hacerlo en base a la normativa de protecci\u00f3n de datos."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2023\/05\/04\/identificacion-autenticacion-autorizacion\/#breadcrumbitem","name":"Identificaci\u00f3n, autenticaci\u00f3n y autorizaci\u00f3n \u00bfEn qu\u00e9 se diferencian?"}}]}]