← Volver al Glosario

OAuth

tag Internet y páginas web

OAuth es un estándar abierto para la autorización. No se trata de decir quién eres (eso es autenticación), sino de decidir qué permisos tiene una aplicación para actuar en tu nombre.

Permite que una aplicación acceda a tus datos desde otra (como tus contactos de Google o tus fotos de Instagram) sin que jamás llegue a conocer tu contraseña.

Su magia reside en los Tokens de Acceso. En lugar de compartir tus credenciales reales, el sistema genera una «llave digital» con un alcance limitado (Scope). Si esa llave se pierde o es robada, el daño es mínimo porque solo sirve para una tarea específica y caduca pronto.

Las 4 Figuras del «Baile» OAuth

En su funcionamiento intervienen cuatro actores:

  1. Propietario del Recurso: Tú (el usuario que tiene los datos).
  2. Cliente: La aplicación que quiere tus datos (ej: un editor de fotos).
  3. Servidor de Autorización: El guardián (ej: Google, Apple o Microsoft) que te pregunta: «¿Le das permiso a esta app?».
  4. Servidor de Recursos: Donde viven tus datos reales (tu nube de fotos o tu lista de emails).

OAuth vs. OpenID Connect (OIDC)

A menudo estos términos aparecen juntos, pero tienen misiones distintas:

ProtocoloPregunta que respondeAnalogía
OAuth 2.0¿A qué tienes permiso?Una tarjeta de hotel para entrar en la habitación.
OIDC (OpenID)¿Quién eres tú?Tu DNI o pasaporte oficial.

Hoy en día, casi todos usamos una mezcla de ambos. Cuando haces clic en «Log in with Apple», usas OIDC para identificarte y OAuth para dar permiso a la app para ver tu correo.

Consideraciones sobre OAuth en la actualidad

  • Integración con Passkeys: El flujo de OAuth ya no te pide una contraseña para confirmar el permiso; usas tu biometría (FaceID/Huella) vinculada a tu Passkey para autorizar a la nueva aplicación en milisegundos.
  • Permisos para Agentes de IA: Con la explosión de la IA agéntica este año, usamos OAuth para decirle a nuestra IA: «Tienes permiso para leer mis correos de hoy para resumirlos, pero no tienes permiso para borrarlos ni para enviarlos».
  • Privacidad Granular: Las plataformas ahora permiten «ocultar» datos reales. Por ejemplo, OAuth puede dar permiso a una app para verificar que eres mayor de 18 años sin revelarle tu fecha de nacimiento exacta.
  • DPoP (Demonstrating Proof-of-Possession): Para evitar que los hackers roben tokens, usamos DPoP, una técnica que asegura que el token solo funcione si se envía desde el mismo dispositivo que lo solicitó originalmente.

Consejo: Revisa periódicamente la sección de «Aplicaciones con acceso a tu cuenta» en tus perfiles de Google, Apple o redes sociales. Es común tener decenas de apps con «llaves» antiguas de OAuth que ya no usas. Revoca el acceso a lo que no necesites.

Términos por iniciales