AM & Acceso

Access Management, SSO, MFA y flujos de autenticación modernos.

  1. Módulo 01

    Estándares, Protocolos y Servicios de Directorio

    1. 01.01

      Servicios de Directorio

      Leer artículo

      La base del stack de protocolos de IAM — qué es un servicio de directorio, el modelo de datos LDAP (DIT, DN, entradas, objectClasses, schema), los dominios y bosques de Active Directory, el salto a directorios cloud como Entra ID y Okta, la sincronización híbrida y por qué el directorio son las joyas de la corona de la empresa.

    2. 01.02

      SAML 2.0

      Leer artículo

      Cómo SAML 2.0 federa la identidad hacia apps web — los roles IdP/SP/usuario y el trust vía metadata XML, los flujos SP-initiated vs IdP-initiated, los bindings HTTP-Redirect/POST/Artifact, la anatomía de una SAML Assertion (Subject, Conditions, AuthnStatement, AttributeStatement), firma y cifrado, y cuándo SAML sigue siendo la opción correcta frente a OAuth/OIDC.

    3. 01.03

      OAuth 2.0

      Leer artículo

      Cómo OAuth 2.0 permite que una app actúe en tu nombre sin tu contraseña — los cuatro roles, access vs refresh tokens, los grant types y cuándo usar cada uno (Authorization Code + PKCE, Client Credentials, Device Code, Refresh Token; los deprecados Implicit y ROPC), scopes y consentimiento, y qué cambia OAuth 2.1. Más el punto crítico: OAuth autoriza al cliente, no autentica al usuario.

    4. 01.04

      OpenID Connect (OIDC)

      Leer artículo

      Cómo OIDC convierte OAuth 2.0 en autenticación real — el ID token (JWT) vs el access token, claims estándar (sub, iss, aud, exp, email…), los endpoints de discovery (.well-known/openid-configuration) y UserInfo, validación con JWKS, los flujos Authorization Code/Hybrid/Implicit, y el logout front-channel, back-channel y RP-initiated.

    5. 01.05

      SCIM 2.0

      Leer artículo

      Cómo SCIM 2.0 estandariza el aprovisionamiento de usuarios entre proveedores de identidad y apps — el modelo de recursos REST (User, Group, EnterpriseUser), los endpoints /Users, /Groups, /Bulk y /Schemas, las operaciones CRUD + Search + PATCH, cómo SCIM impulsa el ciclo JML y reemplaza scripts custom, y sus limitaciones reales con entitlements granulares y roles dinámicos.

    6. 01.06

      Tokens y Formatos

      Leer artículo

      Los bloques de construcción de los que dependen los protocolos — la estructura del JWT (header, payload, firma), tokens autocontenidos vs opacos/de referencia, JWE para payloads confidenciales, PASETO como alternativa más segura que evita la confusión de algoritmos, y cómo validar un token: firma, expiración, audiencia, emisor y revocación.

    7. 01.07

      Veteranos y Vanguardia

      Leer artículo

      Los protocolos de identidad más allá de los cuatro centrales — los tickets Kerberos que aún autentican cada login de Active Directory, RADIUS detrás del Wi-Fi y las VPN corporativas, los legacy WS-Federation y WS-Trust basados en SOAP vivos en grandes estados de ERP, y la vanguardia resistente a phishing de FIDO2/WebAuthn/CTAP.

    8. 01.08

      NIST SP 800-63 — Niveles de Aseguramiento

      Leer artículo

      Cómo NIST SP 800-63 convierte '¿qué tan fuerte debe ser esto?' en tres diales independientes — IAL (prueba de identidad), AAL (fuerza del autenticador) y FAL (aseguramiento de federación) — cada uno con tres niveles, y cómo combinarlos para encajar con el riesgo de un caso de uso (por ejemplo, IAL2/AAL2 para banca).

    9. 01.09

      La Frontera

      Leer artículo

      Hacia dónde se dirigen los protocolos de identidad — asegurar microservicios y cargas de trabajo con OAuth token exchange (RFC 8693), DPoP (RFC 9449) y SPIFFE en el service mesh; evaluación continua de acceso vía CAEP y el Shared Signals Framework; y devolver a las personas el control de sus credenciales con credenciales verificables, DIDs y OpenID for Verifiable Credentials (OID4VCI/OID4VP).

  2. Módulo 02

    Autenticación, Autorización y Gestión de Accesos

    1. 02.01

      Identificación, Autenticación, Autorización y Auditoría

      Leer artículo

      Cómo se descompone toda decisión de acceso en tres etapas secuenciales — identificación, autenticación y autorización — y por qué la auditoría es un pilar transversal y no una cuarta etapa. Resolvemos la confusión de las '3 vs 4 A's'.

    2. 02.02

      Factores de Autenticación

      Leer artículo

      Las cinco categorías de factores de autenticación con sus implementaciones específicas (contraseñas, TOTP, push, FIDO2, biometría, contexto), la diferencia entre SFA/2FA/MFA, step-up authentication y autenticación adaptativa basada en riesgo (RBA).

    3. 02.03

      Implementaciones de MFA

      Leer artículo

      Mecánica técnica de las implementaciones MFA más usadas — TOTP, SMS OTP, push, FIDO2/WebAuthn, passkeys, magic links — con sus flujos, vulnerabilidades concretas y patrones de fallback. Más CAPTCHA: por qué no es autenticación pero sí un complemento útil.

    4. 02.04

      Biometría

      Leer artículo

      Una inmersión práctica en la autenticación biométrica: las modalidades principales, cómo funciona el matching, las métricas de error FAR/FRR/EER y el compromiso del umbral, liveness detection y anti-spoofing (PAD), cómo deben almacenarse los templates, las restricciones de privacidad y regulación (BIPA, GDPR Art. 9) y la biometría comportamental.

    5. 02.05

      Inicio de Sesión Único (SSO)

      Leer artículo

      Cómo el Single Sign-On permite que una sola autenticación desbloquee muchas aplicaciones: la diferencia entre Web SSO, Enterprise SSO y Social SSO, los beneficios concretos para la UX y la postura de seguridad, el riesgo de 'romper la cadena' (blast radius) de un proveedor de identidad central, y por qué el Single Logout (SLO) es tan difícil que a menudo se ignora en silencio.

    6. 02.06

      Gestión de Sesiones

      Leer artículo

      Cómo se construyen y defienden las sesiones web: atributos de cookie (HttpOnly, Secure, SameSite, Domain, Path), session tokens del lado servidor frente a JWTs y sus trade-offs, timeouts sliding frente a absolutos, idle timeout y re-autenticación forzada, cómo revocar realmente una sesión, y los controles contra CSRF, XSS y session hijacking.

    7. 02.07

      Zero Trust

      Leer artículo

      Zero Trust como estrategia de seguridad, no como producto: los principios de NIST SP 800-207 (nunca confíes siempre verifica, asume la brecha, mínimo privilegio), la arquitectura Policy Decision Point / Policy Enforcement Point / Trust Algorithm, el Continuous Adaptive Trust que reevalúa la sesión durante toda su vida, por qué la identidad es el plano de control, y los mitos comunes.

  3. Módulo 03

    Modelos de Autorización (xBAC)

    1. 03.01

      Control de Acceso Discrecional (DAC)

      Próximamente
    2. 03.02

      Control de Acceso Obligatorio (MAC)

      Próximamente
    3. 03.03

      Control de Acceso Basado en Roles (RBAC)

      Próximamente
    4. 03.04

      Control de Acceso Basado en Atributos (ABAC)

      Próximamente
    5. 03.05

      Control de Acceso Basado en Políticas (PBAC)

      Próximamente
    6. 03.06

      Control de Acceso Basado en Relaciones (ReBAC)

      Próximamente
    7. 03.07

      Control de Acceso de Nueva Generación (NGAC)

      Próximamente
  4. Módulo 04

    Arquitectura de Autorización

    1. 04.01

      El Modelo XACML: PEP, PDP, PIP y PAP

      Próximamente
    2. 04.02

      Políticas como Código: OPA/Rego, Cedar y Casbin

      Próximamente
    3. 04.03

      Autorización de Grano Fino: Zanzibar, OpenFGA y afines

      Próximamente
    4. 04.04

      Autorización de Grano Grueso vs Grano Fino

      Próximamente
    5. 04.05

      Autorización Descentralizada: Sidecars, Edge y Multi-Cloud

      Próximamente
    6. 04.06

      Diseño de Política RBAC + ABAC para una App de Cashback

      Próximamente