La autenticación es la acción de verificar la identidad de un usuario, y entenderla es el primer paso para diseñar sistemas seguros en la web. Si trabajas en desarrollo, seguridad o producto, este concepto define cómo proteges accesos y datos sin confundirlo con la autorización.

¿Qué es la autenticación y por qué importa?

Autenticar significa confirmar que alguien es quien dice ser. Piensa en la mirilla de una puerta, lo que en inglés llaman peephole: cuando llega una visita y miras por ahí, estás haciendo un proceso de autenticación visual.

De hecho, los humanos desarrollamos una capacidad evolutiva para reconocer rostros. Hay una parte del cerebro dedicada solo a eso, y por esa razón a veces ves caras humanas en objetos simples. Reconocer personas fue tan vital que quedó grabado en cómo funciona tu mente.

¿Qué es la autenticación? Es la acción de verificar la identidad de un usuario. En la web suele hacerse con nombre de usuario y contraseña, aunque existen métodos sin contraseña y biométricos.

¿Cómo autenticamos en el mundo real?

En el día a día, cuando intentas entrar a un edificio, la seguridad te pide un documento oficial. Puede ser el documento de tu país o, si hablamos de algo internacional, un pasaporte. Aun así, siempre comparan tu rostro con la foto del documento [01:00].

Y aquí aparece una distinción que mucha gente confunde: autenticar no es lo mismo que autorizar. Que llegues al edificio, muestres tu documento y confirmen que eres tú, no significa que tengas permiso para entrar a cualquier sala.

Un ejemplo claro: en el Parlamento sueco, el público puede ingresar, pero para acceder a la sala donde se toman decisiones necesitas dos cosas. Primero te autentican, luego te autorizan. Son procesos diferentes y complementarios.

¿Cómo funciona la autenticación en la web?

En la web, el método clásico para autenticar ha sido el uso de nombre de usuario y contraseña. Es la forma más extendida y la que probablemente usas todos los días.

Pero esto evolucionó. Hoy existen alternativas que vale la pena conocer:

• Passwordless: autenticación sin contraseña, usando enlaces mágicos, códigos temporales o llaves de seguridad.
• Métodos biométricos: huella digital, reconocimiento facial o de voz.
• Autenticación multifactor: combinar contraseña con un código adicional u otro factor.

¿Cuál es la diferencia entre autenticar y autorizar? Autenticar verifica quién eres. Autorizar define qué puedes hacer una vez identificado. Puedes estar autenticado y aun así no tener autorización para cierta acción.

La autenticación es solo la puerta de entrada. Lo que ocurre después, los permisos, los roles y los accesos específicos, pertenece al terreno de la autorización, y ese es el siguiente paso lógico para entender cómo se construye la seguridad de una aplicación.

Ahora te lanzo un reto: escribe en los comentarios una analogía de autenticación del mundo real, pero evita repetir un ejemplo que ya esté publicado. Entre más rápido escribas, menos opciones te quitan.