Autenticacion Mutua
¿Qué es Autenticacion Mutua?
Autenticacion MutuaIntercambio de autenticacion en el que ambas partes — cliente y servidor, o dos servicios — demuestran criptograficamente su identidad antes de intercambiar datos.
La autenticacion mutua, tambien llamada autenticacion bidireccional, exige que ambos extremos de la conexion verifiquen la identidad del otro, no solo el servidor probandose ante el cliente. Hoy la implementacion dominante es mutual TLS (mTLS) tal y como la define RFC 8446 para TLS 1.3, donde cada lado presenta un certificado X.509 validado contra una CA privada. Otros ejemplos: AP-REQ/AP-REP de Kerberos, SSH con autenticacion de host y clave, IPsec IKEv2 con certificados y ceremonias FIDO2/WebAuthn con attestation. Es obligatoria en mallas de servicios (Istio, Linkerd, Consul) y en arquitecturas zero trust como Google BeyondCorp, donde cada llamada workload-a-workload usa identidades SPIFFE de corta duracion. Mitiga suplantacion, ataques man-in-the-middle y servicios rogue.
● Ejemplos
- 01
Malla Istio que aplica mTLS entre cada par de microservicios de un cluster Kubernetes.
- 02
APIs bancarias que exigen certificado de cliente emitido por la CA privada del banco ademas de tokens OAuth.
● Preguntas frecuentes
¿Qué es Autenticacion Mutua?
Intercambio de autenticacion en el que ambas partes — cliente y servidor, o dos servicios — demuestran criptograficamente su identidad antes de intercambiar datos. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Autenticacion Mutua?
Intercambio de autenticacion en el que ambas partes — cliente y servidor, o dos servicios — demuestran criptograficamente su identidad antes de intercambiar datos.
¿Cómo funciona Autenticacion Mutua?
La autenticacion mutua, tambien llamada autenticacion bidireccional, exige que ambos extremos de la conexion verifiquen la identidad del otro, no solo el servidor probandose ante el cliente. Hoy la implementacion dominante es mutual TLS (mTLS) tal y como la define RFC 8446 para TLS 1.3, donde cada lado presenta un certificado X.509 validado contra una CA privada. Otros ejemplos: AP-REQ/AP-REP de Kerberos, SSH con autenticacion de host y clave, IPsec IKEv2 con certificados y ceremonias FIDO2/WebAuthn con attestation. Es obligatoria en mallas de servicios (Istio, Linkerd, Consul) y en arquitecturas zero trust como Google BeyondCorp, donde cada llamada workload-a-workload usa identidades SPIFFE de corta duracion. Mitiga suplantacion, ataques man-in-the-middle y servicios rogue.
¿Cómo defenderse de Autenticacion Mutua?
Las defensas contra Autenticacion Mutua combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Autenticacion Mutua?
Nombres alternativos comunes: Autenticacion bidireccional, TLS mutuo, mTLS.
● Términos relacionados
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
- network-security№ 157
Fijación de certificados
Técnica por la que una aplicación incrusta un certificado o clave pública esperados y rechaza cualquier conexión TLS que no coincida, neutralizando CAs comprometidas o fraudulentas.
- network-security№ 878
Infraestructura de clave pública (PKI)
Conjunto de políticas, software, hardware y autoridades de confianza que emite, distribuye, valida y revoca certificados digitales que asocian identidades con claves públicas.
- network-security№ 156
Autoridad de certificación (CA)
Entidad de confianza que emite y firma certificados digitales, vinculando claves públicas a identidades verificadas como dominios u organizaciones.
- identity-access№ 584
Kerberos
Protocolo de autenticación de red basado en tickets que utiliza criptografía simétrica y un Centro de Distribución de Claves de confianza para ofrecer inicio de sesión único seguro.
- identity-access№ 076
Autenticación
Proceso de verificar que una entidad —usuario, dispositivo o servicio— es realmente quien dice ser antes de concederle acceso.