Autenticacion Step-Up
¿Qué es Autenticacion Step-Up?
Autenticacion Step-UpPatron que exige factores de autenticacion adicionales o mas fuertes cuando el usuario intenta una operacion de mayor riesgo que la sesion actual.
La autenticacion step-up introduce friccion solo cuando se necesita. El usuario se autentica una vez con sus credenciales habituales y, al pedir una accion sensible — transferir dinero, cambiar el correo de recuperacion, leer PII o entrar a un panel privilegiado — el sistema solicita una prueba fresca y mas fuerte. NIST SP 800-63B y los parametros acr_values / max_age de OpenID Connect formalizan el concepto: las aplicaciones pueden pedir un Authentication Context Class Reference concreto o reautenticacion en N segundos. Las implementaciones tipicas reutilizan passkeys, codigos TOTP, llaves hardware o biometria justo antes de la accion privilegiada. El patron preserva la usabilidad cotidiana protegiendo las transacciones de alto valor.
● Ejemplos
- 01
Aplicacion bancaria que pide tocar la llave hardware antes de autorizar una transferencia superior a 5.000 EUR.
- 02
El modo sudo de GitHub que vuelve a pedir passkey antes de eliminar un repositorio.
● Preguntas frecuentes
¿Qué es Autenticacion Step-Up?
Patron que exige factores de autenticacion adicionales o mas fuertes cuando el usuario intenta una operacion de mayor riesgo que la sesion actual. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Autenticacion Step-Up?
Patron que exige factores de autenticacion adicionales o mas fuertes cuando el usuario intenta una operacion de mayor riesgo que la sesion actual.
¿Cómo funciona Autenticacion Step-Up?
La autenticacion step-up introduce friccion solo cuando se necesita. El usuario se autentica una vez con sus credenciales habituales y, al pedir una accion sensible — transferir dinero, cambiar el correo de recuperacion, leer PII o entrar a un panel privilegiado — el sistema solicita una prueba fresca y mas fuerte. NIST SP 800-63B y los parametros acr_values / max_age de OpenID Connect formalizan el concepto: las aplicaciones pueden pedir un Authentication Context Class Reference concreto o reautenticacion en N segundos. Las implementaciones tipicas reutilizan passkeys, codigos TOTP, llaves hardware o biometria justo antes de la accion privilegiada. El patron preserva la usabilidad cotidiana protegiendo las transacciones de alto valor.
¿Cómo defenderse de Autenticacion Step-Up?
Las defensas contra Autenticacion Step-Up combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Autenticacion Step-Up?
Nombres alternativos comunes: Reautenticacion, Autenticacion transaccional, MFA step-up.
● Términos relacionados
- identity-access№ 708
Autenticación multifactor (MFA)
Método de autenticación que requiere dos o más factores independientes —normalmente de categorías distintas— antes de conceder acceso.
- identity-access№ 015
Autenticacion Adaptativa
Enfoque de autenticacion que ajusta en tiempo real la fuerza y el numero de factores requeridos en funcion de senales como dispositivo, ubicacion o comportamiento.
- identity-access№ 940
Autenticacion Basada en Riesgo (RBA)
Estrategia de autenticacion que calcula en tiempo real un score de riesgo por cada inicio de sesion y ajusta la respuesta — permitir, retar o bloquear — segun ese score.
- identity-access№ 216
Autenticacion Continua
Enfoque que valida la identidad del usuario durante toda la sesion mediante senales conductuales y del dispositivo, en lugar de hacerlo solo al iniciar sesion.
- identity-access№ 793
Passkey
Credencial FIDO2/WebAuthn resistente al phishing: un par de claves asimétricas ligado al dispositivo o sincronizable que sustituye la contraseña por un desafío-respuesta criptográfico.
- identity-access№ 760
OpenID Connect (OIDC)
Capa de identidad construida sobre OAuth 2.0 que permite a los clientes verificar la identidad de un usuario y obtener información de perfil mediante tokens ID firmados.