Respuesta Rápida:
La autenticación verifica quién eres; la autorización verifica a qué tienes acceso. Equivocarse en lo segundo permite que un cliente vea la cuenta de otro, un patrón que OWASP llama Control de Acceso Roto y lista como la vulnerabilidad #1 del Top 10 de 2021. Para un negocio pequeño, esto se traduce en datos filtrados, multas y pérdida de confianza.
Puntos Clave:
- Dos preguntas distintas: Auth0 explica que autenticación verifica quién es un usuario y autorización verifica a qué tiene acceso — son procesos separados que la mayoría de dueños confunde.
- Control de Acceso Roto es la #1: en el Top 10 de OWASP de 2021, Control de Acceso Roto encabeza la lista, incluyendo el patrón IDOR que permite ver o editar la cuenta de otro cambiando un identificador en la URL.
- 2FA es práctica de expertos: NIST cita una encuesta de Google según la cual usar 2FA está entre las tres principales cosas que los expertos en seguridad hacen para protegerse en línea.
- La reutilización de contraseñas es masiva: NIST cita una estadística de TeleSign de que el 54% de los consumidores usa cinco contraseñas o menos para todas sus cuentas — una sola filtración compromete cinco servicios.
- JWT + RLS es el patrón moderno: la documentación de Supabase muestra cómo un JWT firmado más Row Level Security restringe el acceso a la base de datos a nivel de fila individual, sin escribir lógica de permisos en cada endpoint.
Si vendes en línea, tomas reservas, gestionas pacientes o simplemente tienes un panel de administración donde tu equipo edita pedidos, hay dos preguntas que tu plataforma debería contestar bien antes de hacer cualquier otra cosa. La primera es ¿quién eres? y la segunda es ¿qué tienes permitido ver? La mayoría de los dueños de negocio que atendemos en Houston, Cypress, Monterrey y Bogotá nunca distingue entre estas dos preguntas — y exactamente ahí es donde nacen las fugas de datos más caras.
Este artículo traduce los conceptos técnicos al idioma de un dueño: qué significan, cuáles son los patrones reales de error en negocios pequeños y qué deberías exigirle a tu programador, agencia o plataforma SaaS. Las citas son a fuentes que puedes leer tú mismo: OWASP, NIST, Auth0 y Supabase.
Autenticación vs. Autorización: la distinción que importa
Según la documentación de Auth0, la autenticación es el proceso de verificar quién es un usuario, mientras que la autorización es el proceso de verificar a qué tiene acceso. Auth0 añade que la autenticación normalmente ocurre antes de la autorización, y que la autorización normalmente ocurre después de una autenticación exitosa. Esto suena obvio, pero la implicación práctica para tu negocio es enorme: aunque tu cliente haya iniciado sesión correctamente con su contraseña (autenticación correcta), eso no significa que tenga permiso para abrir cualquier pedido (autorización).
Auth0 lo resume con un principio que vale la pena imprimir y pegar en la pared del programador: el acceso a un recurso está protegido tanto por autenticación como por autorización. Si no puedes probar tu identidad, no se te permitirá entrar al recurso. Y aun si puedes probar tu identidad, si no estás autorizado para ese recurso, igualmente se te negará el acceso.
Analogía práctica: la autenticación es mostrar tu credencial en la entrada del edificio. La autorización es la tarjeta magnética que solo abre los pisos donde trabajas. Tener credencial no significa que puedes entrar al piso de finanzas.
El Top 10 de OWASP y por qué te debería importar
OWASP es la fundación de referencia en seguridad de aplicaciones web. Su lista del Top 10 es lo que la industria usa para priorizar riesgos. En la edición de 2021, según la propia página A01:2021 de OWASP, Broken Access Control (Control de Acceso Roto) subió al puesto #1 — desplazando a las inyecciones, que habían encabezado la lista por años.
OWASP define el control de acceso como un mecanismo que hace cumplir la política de que los usuarios no puedan actuar fuera de sus permisos previstos. Cuando se rompe, OWASP enumera vulnerabilidades comunes que incluyen: permitir ver o editar la cuenta de otra persona proporcionando su identificador único — lo que OWASP llama Insecure Direct Object References (IDOR); evadir comprobaciones modificando la URL (parameter tampering o force browsing); acceder a una API con controles de acceso ausentes para POST, PUT y DELETE; elevación de privilegio, actuando como un usuario sin haber iniciado sesión o como administrador estando registrado como usuario común; y manipulación de metadatos, como reproducir o alterar un JSON Web Token (JWT).
El patrón IDOR en lenguaje de dueño:
Tu cliente Pedro abre la página de su factura: tutienda.com/factura?id=1042. Cambia el 1042 a 1041 en la barra de direcciones — y aparece la factura de otro cliente con nombre, dirección y total. Eso es IDOR. No requiere ser hacker, no requiere herramientas. Lo descubre un cliente curioso a las 11 de la noche.
Contraseñas y autenticación de dos factores (2FA)
Las contraseñas siguen siendo la primera línea de defensa — y siguen siendo el eslabón débil. NIST, el instituto de estándares de Estados Unidos, define la autenticación multifactor (MFA, a veces llamada 2FA) en su página de Back to Basics como una mejora de seguridad que te permite presentar dos piezas de evidencia — tus credenciales — al iniciar sesión en una cuenta.
El argumento más fuerte para encender 2FA no lo construye NIST por sí mismo. NIST cita una encuesta reciente de Google según la cual usar 2FA está entre las tres principales cosas que los expertos en seguridad hacen para protegerse en línea. Es decir: la gente que vive de proteger sistemas lo tiene activado en sus cuentas personales. Si ellos lo consideran imprescindible, tu panel de administración de Shopify, tu cuenta de email de negocio y tu acceso a la base de datos del CRM probablemente también lo necesitan.
NIST también cita una estadística de TeleSign que ilumina por qué las contraseñas solas son insuficientes: 54% de los consumidores usa cinco contraseñas o menos para todas sus cuentas. Y otra estadística de TeleSign citada por NIST: casi 9 de cada 10 (86%) dice que usar 2FA los hace sentir que su información en línea está más segura. Esto último es importante para tu negocio: ofrecer 2FA a tus clientes (no solo exigirlo internamente) es una señal de confianza tangible.
Decisión simple para dueños:
- Habilita 2FA hoy para tu cuenta de admin de tienda, hosting, dominio y email.
- Exige 2FA a todo empleado con acceso a datos de clientes o cobros.
- Prefiere apps de códigos (Google Authenticator, Authy) sobre SMS cuando el sistema lo permita — el SMS es interceptable.
- Documenta el proceso de recuperación: cuando alguien pierde su teléfono, necesitas un protocolo que no rompa la seguridad.
JWT, sesiones y por qué tu plataforma habla de tokens
Si tu programador o proveedor SaaS menciona JWT o tokens, aquí está la versión para dueño. JWT significa JSON Web Token: una credencial firmada y de corta duración que tu navegador presenta al servidor después de iniciar sesión, en cada petición. La documentación de Supabase, una plataforma usada por muchas aplicaciones modernas, indica que Supabase Auth usa JSON Web Tokens (JWTs) para autenticación.
Supabase también describe cómo funciona la integración: Auth se integra con las características de base de datos de Supabase, haciendo fácil usar Row Level Security (RLS) para autorización. En lenguaje de dueño: el sistema firma un token cuando inicias sesión, y ese token lleva tu identidad de manera verificable hasta la base de datos, donde reglas RLS deciden exactamente qué filas (qué pedidos, qué pacientes, qué clientes) puedes ver. Supabase también señala que Auth usa la base de datos Postgres del proyecto, almacenando datos de usuarios y otra información de Auth en un esquema especial — lo que conecta la identidad con las tablas de aplicación a través de triggers y referencias.
El riesgo asociado: OWASP enumera la manipulación de metadatos, como reproducir o alterar un JSON Web Token, entre los patrones de Control de Acceso Roto. Si tu plataforma no valida bien el JWT en el servidor — por ejemplo, si acepta un token alterado en el cliente — un atacante puede falsificar su identidad. Eso es responsabilidad de tu programador o de la plataforma SaaS que elijas, pero como dueño debes preguntar: ¿cómo validan el JWT? ¿Usan una librería estándar o lo escribieron a mano?
Los tres patrones reales de fuga en negocios pequeños
De las fallas que OWASP enumera bajo Control de Acceso Roto, tres son las que vemos repetidamente en sitios de negocios pequeños:
1. IDOR en páginas de cuenta o facturación. El cliente cambia un número en la URL y ve datos de otro. OWASP lo describe como permitir ver o editar la cuenta de otra persona proporcionando su identificador único. La causa raíz: el servidor confía en el ID que viene en la URL en lugar de comprobar si el usuario actual es realmente dueño de ese ID.
2. APIs sin control de acceso en escritura. OWASP menciona explícitamente el acceso a API con controles de acceso ausentes para POST, PUT y DELETE. Versión dueño: tu plataforma protege bien la página de admin (no se puede entrar sin login), pero los endpoints internos que actualizan productos o borran clientes pueden ser llamados directamente sin sesión válida si alguien encuentra la URL.
3. Elevación de privilegio. OWASP lo define como actuar como un usuario sin haber iniciado sesión o como administrador estando registrado como usuario común. En la práctica: la diferencia entre un usuario normal y un administrador la decide un campo en el JWT o en la sesión, y ese campo no se valida correctamente del lado del servidor.
"La mayoría de dueños cree que el riesgo de seguridad es un hacker en sudadera. El riesgo real es un cliente aburrido que cambia un número en la URL y descubre que tu sistema confía demasiado."
- Diego Medina F, Fundador de MerchandisePROS
Qué significa esto para tu negocio
La autenticación y los permisos no son temas que delegues ciegamente al equipo de sistemas y olvides. Son decisiones de negocio: cuántos datos de clientes guardas, quién en tu equipo puede verlos, qué pasa cuando un empleado se va, y cómo demuestras a clientes y reguladores que tomas el tema en serio. Nuestro servicio de Consultoría Web (Website Consulting) revisa exactamente este perímetro como parte de la auditoría de UI/UX y de presencia digital: presencia de 2FA en el admin, riesgo de IDOR en páginas de cuenta, validación de formularios, exposición de mensajes de error, y disciplina de permisos en la plataforma actual (Shopify, WordPress, Wix, custom). Entregamos un reporte priorizado con qué arreglar primero y qué puede esperar — no un escaneo automatizado sin contexto.
Si solo tienes 60 segundos, empieza por la Auditoría Gratis: te da un puntaje 0-100 sobre seguridad básica, AEO, velocidad y conversión, con los puntos exactos que están abiertos. Si quieres ir directo a la conversación, agenda una llamada de 30 minutos y revisamos tu plataforma en vivo.
Preguntas Frecuentes
¿Cuál es la diferencia entre autenticación y autorización?
Auth0 lo explica directamente: la autenticación verifica quién es un usuario, mientras que la autorización verifica a qué tiene acceso. La autenticación normalmente ocurre primero (con contraseña, código de un solo uso, biometría); la autorización ocurre después y decide qué datos o acciones se permiten.
¿Qué es IDOR y por qué le importa a un negocio pequeño?
IDOR (Insecure Direct Object Reference) es una falla de control de acceso donde un usuario puede ver o editar la cuenta de otro simplemente cambiando un identificador en la URL. OWASP la lista entre los patrones más comunes de Control de Acceso Roto, la vulnerabilidad #1 del Top 10 de 2021.
¿Es 2FA realmente necesario para un negocio pequeño?
Sí. NIST cita una encuesta de Google que encontró que usar 2FA está entre las tres principales cosas que los expertos en seguridad hacen para protegerse en línea. Para una tienda, panel de admin o CRM, encender 2FA es la mejora de seguridad más barata y de mayor impacto disponible.
¿Qué es un JWT y por qué aparece en mi plataforma?
Un JWT (JSON Web Token) es la credencial corta y firmada que tu navegador presenta después de iniciar sesión. La documentación de Supabase indica que Supabase Auth usa JWTs para autenticación. Si un atacante manipula un JWT, OWASP lista esto como una falla de control de acceso por manipulación de metadatos.
¿Qué auditamos cuando revisamos la seguridad de inicio de sesión de un sitio?
Revisamos si hay 2FA disponible para administradores, si las páginas de cuenta tienen riesgo de IDOR, si los formularios usan HTTPS, si los datos de clientes están detrás de un control de acceso por fila, y si las páginas de error filtran información. Lo entregamos como un reporte priorizado, no como un escaneo automatizado sin contexto.