Logotipo ORSYS le mag 2025

El medio de la formación y las competencias

Inicio > Glosario de ciberseguridad > Token 🟢 Protección

Token 🟢 Protección

Un ficha en ciberseguridad es una forma de ficha digital Se utiliza para autenticar, autorizar o proteger las comunicaciones entre usuarios, aplicaciones o sistemas. Suele utilizarse para evitar el manejo directo de información sensible, como contraseñas.

Las fichas se utilizan en diversos contextos:

  • Autenticación (por ejemplo: JWT - JSON Web Token) → token de autenticación.
  • Autorización (por ejemplo, OAuth)
  • Asegurar las sesiones (fichas CSRFfichas de acceso)
  • API seguras (fichas de acceso transmitidas con las solicitudes)

A menudo son temporales, están firmados o cifrados y se utilizan como medio seguro para verificar la identidad de un usuario o la validez de una solicitud.

Atención: un token de ciberseguridad es diferente de un token de IA (unidad elemental de texto, fragmento de una palabra) o de un token de blockchain (criptoactivo).

 

Criterios Token en ciberseguridad Ficha en AI Blockchain token (criptoactivo)
Naturaleza Dispositivo hardware/software o cadena codificada Unidad de texto (palabra, subpalabra, carácter) Instrumento digital (contrato inteligente, valor)
Función principal Autenticación, gestión de sesiones, seguridad Permitir el tratamiento de textos y la modelización Representar un valor o un derecho, facilitar los intercambios
Vida útil Efímero (OTP), sesión activa (JWT limitado) Instantánea del preprocesamiento de textos Indefinido mientras exista la cadena de bloques
Apoyo físico Sí (tokens hardware) o virtual (JWT) Sólo software (algoritmo de tokenización) Puramente virtual (contrato inteligente en blockchain)
Contexto de utilización Seguridad, IAM, SSO, VPN Procesamiento del lenguaje natural, traducción, chatbots Financiación descentralizada, gobernanzaactivos digitales

 

 

 

Objetivos

 

  • Protección de los intercambios de información sensible
  • Impedir el acceso no autorizado
  • Ofrecer un método flexible de autenticación/autorización
  • Reducir la exposición de contraseñas o datos sensibles

🧩 Tipos

 

  • JWT (Token Web JSON) para la autenticación de usuarios sin estado (el servidor no almacena la sesión en memoria)
  • Token OAuth para que las aplicaciones puedan acceder a los recursos sin compartir identificadores
  • CSRF token para protegerse contra los ataques de falsificación de petición en sitios cruzados
  • Identificador de acceso a la API para llamadas seguras a servicios web
  • Actualizar ficha para obtener un nuevo token de acceso sin tener que volver a autenticarse

 

⚙️ Cómo ponerlo en práctica

 

  1. Creación de la ficha tras la autenticación, el servidor genera un token firmado o cifrado
  2. Transmisión se envía al cliente (por ejemplo, el navegador) y se almacena (ej. galleta o localStorage)
  3. Utilice el cliente la envía con cada solicitud posterior (por ejemplo, en la cabecera HTTP)
  4. Consulte el servidor descodifica y comprueba la validez, la firma y la caducidad.
  5. Renovación o revocación con token de actualización o mecanismos de lista negra

 

🧨 Consecuencias

 

  • En caso de compromiso Un token robado puede permitir el acceso no autorizado hasta que haya caducado o haya sido revocado.
  • Complejidad de la gestión seguridad, caducidad, almacenamiento, transmisión

 

🛠️ Herramientas

 

  • Auth0, Keycloak, Okta Gestión completa de tokens y autenticación
  • JWT.io para descifrar y comprobar JWTs
  • Cartero para probar las llamadas a la API con tokens

💡 Ejemplos

 

  • Un sitio web utiliza JWT para que el usuario no tenga que volver a identificarse en cada página
  • Una aplicación móvil utiliza OAuth 2.0 para conectarse a una cuenta de Google
  • Un formulario HTML incluye un CSRF token para evitar envíos malintencionados

 

He aquí una ejemplo real de JWT (JSON Web Token)Se divide en tres partes principales:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

 

🔍 Descifrando las tres partes:

  • Cabecera indica el tipo de ficha y el algoritmo de firma
{
"alg": "HS256",
"typ": "JWT
}
  • Carga útil (datos) contiene información sobre el usuario o los derechos
{
"sub": "1234567890",
" nombre: "John Doe,
"iat": 1516239022
}
  • Firma resultado de la firma criptográfica de las dos primeras partes, utilizando una clave secreta

El servidor puede comprobar esta firma para asegurarse de que el contenido no ha sido modificado. Si el token está caducado o falsificado, se rechaza.

✅ Ventajas / ❌ Inconvenientes

 

  • Ventajas :
    • Mayor seguridad
    • Reducción de la carga del servidor (sin estado)
    • Flexibilidad de la arquitectura (API, microservicios)
  • Desventajas :
    • Gestión compleja (almacenamiento, rotación, revocación)
    • Riesgos en caso de almacenamiento o transmisión no seguros

🧗 Retos

 

  • Protección del almacenamiento local de tokens
  • Garantizar una espiración y una rotación eficaces
  • Evitar ataques de interceptación (Ej. XSS, hombre en el medio)

📈 Acontecimientos recientes

 

  • Confianza cero integración de fichas en arquitecturas sin confianza implícita
  • Informática confidencial procesamiento seguro de fichas en un entorno aislado
  • Vinculación de fichas vincular un token a una sesión o dispositivo para evitar robos

📊 Cifras recientes

 

  • En 2024, más de 90 % API REST utilizar tokens de autenticación como JWT (Fuente: Gartner, 2024)
  • Aproximadamente 60 % de fugas de datos relacionados con las API se deben a una mala gestión de los tokens (Fuente: Imperva, 2024)
  • Se prevé que el mercado de soluciones de gestión de identidades y accesos (IAM) alcance los 1.000 millones de euros. 24 100 millones de $ en 2025 (Fuente: MarketsandMarkets, 2024)
Volver al glosario

ámbito de formación

Ciberseguridad

formación asociada

Seguridad de sistemas y redes, nivel 1

Hacking y seguridad, nivel 1

Seguridad de los sistemas de información, resumen

MEJOR

Hacia la ORSYS Cyber Academy: un espacio gratuito dedicado a la ciberseguridad