¿Qué es el Nivel de Garantía de Autenticación (AAL)?

El Nivel de Garantía de Autenticación (AAL, por sus siglas en inglés) se refiere a una clasificación utilizada para describir la fortaleza y fiabilidad de los procesos de autenticación. Definido en la Publicación Especial SP 800-63-3 del NIST, el AAL ayuda a las organizaciones a determinar el nivel de seguridad adecuado para sus interacciones digitales.

Existen tres niveles de AAL:

• Ofrece cierta confianza en la autenticación del usuario.
• Generalmente implica una autenticación de un solo factor, como una contraseña o un dispositivo OTP.

• Requiere dos factores diferentes para la autenticación.
• Este nivel aborda medidas de seguridad adicionales como la resistencia a ataques de repetición y tiempos de reautenticación más cortos.
• Las passkeys sincronizadas cumplen con el nivel AAL2.

• Implica una autenticación multifactor que utiliza un autenticador basado en hardware.
• Presenta requisitos de seguridad estrictos, incluyendo la resistencia a la suplantación del verificador y la resistencia a la vulneración del verificador.
• Las passkeys vinculadas al dispositivo cumplen con el nivel AAL3.

Cada nivel se adapta a diferentes necesidades de seguridad, desde entornos de bajo riesgo en AAL1 hasta altas exigencias de seguridad en AAL3.

---

A continuación, se ofrece un análisis más profundo de los niveles de garantía de autenticación y sus implicaciones:

• Dirigido a aplicaciones de baja seguridad donde se prioriza la comodidad.
• Vulnerable a amenazas de seguridad comunes debido a la dependencia de formas de autenticación simples como las contraseñas (p. ej., Phishing, ataque Man-in-the-Middle, Credential Stuffing, ...)

• Adecuado para transacciones que requieren una mayor seguridad.
• Combina factores físicos (p. ej., tokens de seguridad) y factores basados en el conocimiento (p. ej., contraseñas) para reforzar la seguridad.

• Diseñado para entornos de alto riesgo, garantizando la máxima seguridad.
• Utiliza medidas criptográficas avanzadas y resistencia del hardware a la manipulación física.

• El NIST aprueba las passkeys sincronizadas (p. ej., a través del Llavero de iCloud) como compatibles con AAL2, mejorando el marco de seguridad para las entidades digitales y allanando el camino para una adopción más amplia de las passkeys.
• Las passkeys también se pueden utilizar en escenarios de mayor riesgo como autenticación compatible con AAL3, si son passkeys vinculadas al dispositivo, que no permiten la sincronización de passkeys entre dispositivos como en AAL2.

Lea más sobre la conformidad de las passkeys con el AAL en este blog.

---

AAL1 proporciona seguridad de autenticación básica, comúnmente utilizada en entornos de bajo riesgo donde la comodidad del usuario es una prioridad.

AAL2 requiere dos factores de autenticación diferentes, lo que reduce significativamente el riesgo de acceso no autorizado en comparación con AAL1.

AAL3 es el nivel más alto de garantía de autenticación, que implica autenticadores basados en hardware y medidas de seguridad estrictas como la resistencia a la suplantación del verificador.

Las passkeys sincronizadas (p. ej., a través del Llavero de iCloud) se clasifican como compatibles con AAL2, mientras que las passkeys vinculadas al dispositivo se clasifican como compatibles con AAL3. Lea más al respecto en este blog.