📌 Tokens de Autenticación Estricta — Explicación completa

En autenticación basada en propiedad (algo que tienes), el usuario usa un dispositivo físico llamado autenticador para generar o recibir tokens que demuestran que es quien dice ser.

Ejemplos de autenticadores:

  • Tarjeta inteligente

  • Token OTP

  • Llave de seguridad FIDO (Yubikey, por ejemplo)

🚀 Tipos principales de generación de tokens

1️⃣ Autenticación basada en certificados

➡️ El usuario tiene una clave privada.
➡️ Firma un token → el servidor lo valida con la clave pública.

Ejemplo real:

  • Iniciar sesión en una red corporativa con una tarjeta inteligente que contiene un certificado.

Ventajas:

  • Muy seguro.

  • Las firmas son únicas y no se pueden falsificar.

Desventajas:

  • Alta carga administrativa → PKI, certificados, renovaciones.

2️⃣ Contraseña de un solo uso (OTP)

➡️ Se usa una función hash + valor secreto + semilla (timestamp u otro) → genera un token válido SOLO UNA VEZ.

Tipos de OTP:

  • HOTP (HMAC-based OTP) → Incremental, cada vez que se usa se genera otro.

  • TOTP (Time-based OTP) → Basado en tiempo → expira rápido (ejemplo: Google Authenticator).

Ejemplo real:

  • Usar Google Authenticator para iniciar sesión en un portal web.

Ventajas:

  • No necesita PKI.

  • Muy práctico → ideal para usuarios.

Desventajas:

  • Si te roban la semilla → pueden clonar el generador.

3️⃣ FIDO U2F (Universal 2nd Factor)

➡️ Usa clave pública/privada, pero no depende de PKI → el dispositivo (llave) firma el token.
➡️ La clave privada nunca sale del dispositivo.

Ejemplo real:

  • Llave Yubikey → solo al tocarla genera la firma → segura y rápida.

Ventajas:

  • Muy seguro.

  • No se pueden clonar ni interceptar.

Desventajas:

  • Necesitas tener físicamente la llave.

🛡️ Dispositivos Autenticadores (Tokens físicos)

Dispositivo Tecnología Ventaja Desventaja
Tarjeta inteligente (Certificado) PKI Muy seguro en entornos corporativos Administración PKI compleja
Token OTP (HOTP/TOTP) Hash + secreto compartido Simple y económico Pérdida o clonación de semilla
Llave de seguridad (FIDO U2F) Asimétrico (clave pública/privada) Muy seguro contra phishing y clonado Necesidad física de la llave
Tokens estáticos (Access cards) Código programado Simple y barato Muy fácil de clonar

💣 Atención: Tokens débiles (estáticos)

Algunos dispositivos antiguos (ejemplo: tarjetas de acceso a edificios) no generan tokens dinámicos.
Solo envían un código fijo.

Esto es muy peligroso → se pueden clonar fácilmente con:

  • Sniffers NFC

  • Dispositivos para duplicar tarjetas RFID

➡️ Estos tokens NO son recomendados para autenticación fuerte.

🎭 Analogía para comprenderlo

"Es como un candado que cambia la combinación cada vez que lo usas."

  • OTP → Cada vez que entras, cambia la combinación → solo tú sabes la nueva.

  • Certificado → Usas tu firma privada para demostrar que eres tú → muy confiable.

  • FIDO U2F → Solo funciona si tienes la llave física → como una llave real de tu casa.

🟪 Visión Purple Team (Ataque / Defensa)

🔴 Red Team (cómo podrían atacarte)

  • Phishing → Suplantar un portal para robar OTP.

  • Robo físico → Robar un token (especialmente llaves o tarjetas).

  • Replay Attack → Capturar y repetir tokens estáticos.

🟦 Blue Team (cómo defender)

  • Usar FIDO/U2F siempre que sea posible → sin dependencia de secretos compartidos.

  • Configurar PIN + Llave → Factor multifactor adicional.

  • Políticas → Bloquear accesos repetidos incorrectos → evitar fuerza bruta.

  • Inventario → Auditoría regular de dispositivos emitidos → revocar tokens perdidos o robados.

🟪 Purple Team (validación)

  • Pruebas de phishing y replay para tokens OTP → ¿Están bien protegidos?

  • Simular pérdida de llaves → ¿Cómo responde el sistema? (revocación inmediata)

  • Simular ataque con tarjeta NFC clonada → ¿El sistema la acepta?


Resumen mental

TOKEN DE AUTENTICACIÓN ESTRICTA 

TIPOS DE TOKENS: 

- Certificados → PKI → muy seguro pero complejo. 

- OTP (HOTP/TOTP) → seguro pero vulnerable a phishing/clonado de semilla.

- FIDO U2F → ideal → llave física que nunca expone su secreto. 


DISPOSITIVOS

- Tarjeta inteligente → PKI + PIN - Token OTP → código visible → barato pero vulnerable 

- Llave U2F → física + toque/biométrico → muy segura 


RIESGOS Y DEFENSAS: 

- Clonación (tokens estáticos) → NO recomendados - Robo → PIN/biometría - Phishing → FIDO → tokens que no comparten secretos → mitigan. 


PURPLE TEAM: 

- Simular ataques → Phishing, Robo, Replay. - Validar configuración → ¿PIN activo? ¿Revocación habilitada?


Mystara - Mind Hacker - Purple TeamBlog
Todos los derechos reservados 2024
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.