Inicio de Sesion con Enlace Magico.

Flujo de autenticacion sin contrasena en el que el usuario recibe una URL de un solo uso por correo o SMS que, al pulsarla, autentica la sesion. Pertenece a la categoría de Identidad y acceso en ciberseguridad.

Flujo de autenticacion sin contrasena en el que el usuario recibe una URL de un solo uso por correo o SMS que, al pulsarla, autentica la sesion.

La autenticacion con enlace magico sustituye el paso de la contrasena por una URL unica y caducable enviada a un canal que el usuario ya controla, normalmente su correo principal o un telefono verificado. El enlace contiene un token firmado de vida corta (a menudo un JWT o un nonce opaco) que la aplicacion valida e intercambia por una sesion. Slack, Notion, Substack, Vercel y muchos productos SaaS lo usan como flujo predeterminado porque elimina la reutilizacion y el almacenamiento de contrasenas. NIST SP 800-63B lo clasifica como autenticador fuera de banda (AAL2) cuando el canal es suficientemente independiente. Los riesgos incluyen phishing del enlace, secuestro del correo y relays AiTM; las mitigaciones son TTL cortos, vinculacion al dispositivo, tokens de un solo uso y combinarlo con passkey o comprobacion de confianza del dispositivo.

Las defensas contra Inicio de Sesion con Enlace Magico combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: Enlace magico, Inicio sin contrasena por enlace.