Autenticación y contraseñas

Inicio de sesión único (SSO)

Lectura de aproximadamente 4 minutos

Última actualización: 2026-03-05

Qué es el inicio de sesión único (SSO)

El inicio de sesión único (SSO) es un mecanismo que permite acceder a múltiples servicios y aplicaciones relacionados con una sola autenticación. Por ejemplo, al iniciar sesión en una cuenta de Google, se puede acceder a Gmail, Google Drive, YouTube y todos los servicios de Google sin necesidad de volver a iniciar sesión. Este es un ejemplo típico de SSO.

En entornos empresariales, con un solo inicio de sesión en el portal interno, se puede acceder a decenas de sistemas como correo electrónico, chat, gestión de asistencia y gestión de gastos. Reduce drásticamente el número de contraseñas que el usuario debe gestionar y tiene el efecto de prevenir la reutilización de contraseñas que causa los ataques de credential stuffing.

Principales protocolos de SSO

Existen varios protocolos como mecanismos técnicos para implementar SSO.

  • SAML 2.0: Protocolo estándar para SSO empresarial. Intercambia aserciones (información de autenticación) basadas en XML entre el IdP (Identity Provider) y el SP (Service Provider). Compatible con IdPs como Okta, Azure AD y OneLogin
  • OpenID Connect (OIDC): Protocolo que añade una capa de autenticación sobre OAuth 2.0. Al ser ligero y basado en JSON, tiene alta afinidad con aplicaciones web y móviles. "Iniciar sesión con Google" e "Iniciar sesión con GitHub" utilizan este mecanismo
  • Kerberos: Protocolo de autenticación basado en tickets utilizado en entornos Active Directory. Especializado en SSO dentro de redes internas y se utiliza de forma estándar en entornos de dominio Windows

Para SSO entre servicios web, OIDC se está convirtiendo en la corriente principal, mientras que SAML 2.0 sigue siendo ampliamente utilizado para la integración de sistemas internos empresariales.

Ventajas y riesgos del SSO

SSO tiene ventajas tanto en comodidad como en seguridad, pero también presenta riesgos inherentes.

Ventajas

  • Eliminación de la fatiga de contraseñas: Al necesitar recordar solo una contraseña, es más fácil establecer una contraseña robusta
  • Gestión centralizada de seguridad: Al centralizar la infraestructura de autenticación, se puede aplicar autenticación de dos factores y políticas de acceso de forma uniforme a todos los servicios
  • Reducción de costes de gestión de TI: Se reducen las solicitudes de restablecimiento de contraseñas, y la desactivación de cuentas de empleados que dejan la empresa se refleja en todos los servicios con una sola operación en el IdP

Riesgos

  • Punto único de fallo: Si el IdP se cae, no se puede iniciar sesión en ninguno de los servicios vinculados. La disponibilidad del IdP está directamente vinculada a la disponibilidad de todos los sistemas
  • Alcance del impacto en caso de compromiso: Si la cuenta SSO es secuestrada, todos los servicios vinculados se ven comprometidos simultáneamente. El impacto de la filtración de una sola contraseña es más grave que antes
  • Dependencia del proveedor: La dependencia de un IdP específico aumenta los costes de migración

Para mitigar los riesgos, es importante configurar obligatoriamente una autenticación robusta con passkeys o llaves de seguridad FIDO2 en la cuenta SSO.

Operación segura de SSO

Presentamos puntos prácticos para operar SSO de forma segura.

  • Priorizar la protección de la cuenta del IdP: Configure el medio de autenticación más robusto (llave de seguridad de hardware, passkeys) en la cuenta del IdP, que es el punto de partida del SSO. La autenticación por SMS sola no es suficiente
  • Configuración adecuada de la gestión de sesiones: Establezca la duración de la sesión lo más corta posible sin afectar al trabajo. Para el acceso a servicios de alta confidencialidad, solicite reautenticación (autenticación escalonada)
  • Monitorización de registros de acceso: Implemente un sistema que detecte inicios de sesión desde ubicaciones o dispositivos inusuales y genere alertas
  • Principio de mínimo privilegio: En coordinación con IAM, permita solo el acceso mínimo necesario a los servicios según el rol del usuario
  • Medios de acceso de emergencia: Prepare medios de acceso de emergencia (cuentas de emergencia) a sistemas críticos en caso de fallo del IdP

Conceptos erróneos comunes

Si implemento SSO, todos los problemas de gestión de contraseñas se resuelven
SSO reduce el número de contraseñas, pero los servicios no compatibles con SSO siguen necesitando contraseñas individuales. Además, si la contraseña de la cuenta SSO es débil, todos los servicios quedan en riesgo. La combinación con un gestor de contraseñas es la solución realista.
Si uso SSO, la seguridad mejora automáticamente
SSO permite la gestión centralizada de la autenticación, pero no refuerza la seguridad por sí mismo. Si la operación es inadecuada, como no configurar la autenticación de dos factores, establecer duraciones de sesión demasiado largas o no monitorizar los registros de acceso, el riesgo puede aumentar.

Términos relacionados

OAuth 2.0 Un marco de autorización (RFC 6749) que otorga a aplicaciones de terceros acceso… Autenticación de dos factores (2FA) Un método de seguridad que requiere un factor de autenticación adicional más all… Passkey Una tecnología de autenticación sin contraseña basada en el estándar FIDO2/WebAu… IAM (Gestión de Identidad y Acceso) Un marco para gestionar centralmente la autenticación (verificación de identidad… Credential Stuffing Un ataque automatizado que toma combinaciones de nombre de usuario y contraseña …

Artículos relacionados

Autenticación de dos factores (2FA) - La mejor defensa para tus cuentas Comprende cómo funciona 2FA, los diferentes tipos (SMS, TOTP, FIDO2), cómo configurarla y por qué la… Seguridad de contraseñas - Cómo crear contraseñas fuertes y gestionarlas Aprende qué hace fuerte a una contraseña, cómo usar gestores de contraseñas, cómo verificar filtraci…
← Glosario