¿Qué es OAuth? Guía práctica de autorización delegada
Privacidad, seguridad e identidad
OAuth es un marco de autorización, normalmente OAuth 2.0, que permite a una aplicación acceder a un recurso en nombre de un usuario o servicio sin recibir su contraseña. Usa tokens, alcances y consentimiento para limitar qué puede hacer una integración.
Revisado por Jackie, Head of Learning & Development, Levellers · Última revisión 18 June 2026
Qué significa
OAuth permite conectar aplicaciones sin entregar contraseñas a cada servicio. En lugar de compartir credenciales, el usuario autoriza a una aplicación a acceder a datos o acciones concretas mediante un servidor de autorización.
En contextos de IA, OAuth importa porque muchos conectores dan a asistentes acceso a correo, archivos, calendarios, repositorios o sistemas de negocio. Un alcance mal diseñado puede convertir una herramienta útil en un riesgo serio.
Por qué importa
OAuth es una pieza clave de seguridad porque separa identidad, consentimiento y acceso. Permite revocar permisos, limitar alcances y auditar integraciones mejor que compartir contraseñas.
Pero OAuth no es seguridad mágica. Si los alcances son demasiado amplios, los tokens se almacenan mal o la aprobación se concede sin revisión, una integración puede acceder a más de lo necesario.
Cómo funciona
El flujo habitual redirige al usuario a un servidor de autorización. Allí inicia sesión, revisa lo que la aplicación solicita y concede o rechaza permisos. La aplicación recibe un código o token que representa el acceso aprobado.
Los alcances definen qué puede hacer el token, por ejemplo leer calendario, enviar correo o acceder a ciertos archivos. Los tokens de acceso suelen ser limitados; los tokens de actualización pueden mantener sesiones y por eso requieren protección especial.
Los equipos deben revisar redirecciones, clientes registrados, caducidad, almacenamiento de tokens, mínimos privilegios, registros de auditoría y procesos de revocación. En conectores de IA, también deben preguntar qué hará el modelo con el contenido accedido.
Ejemplos
Una herramienta de IA pide leer todos los correos del usuario. El equipo reduce el alcance, exige revisión de seguridad y limita el uso a un buzón de prueba.
Un producto SaaS usa OAuth para conectarse a Google Drive. La empresa revisa qué carpetas ve, cómo almacena tokens y cómo se revoca el acceso.
Un conector de IA para Slack solicita permisos de escritura. El equipo lo bloquea hasta que exista un caso de negocio y registro de acciones.
Malentendidos habituales
OAuth no autentica al usuario por sí solo; autoriza acceso delegado. OpenID Connect se usa cuando se necesita una capa de identidad encima.
Consentir un alcance no significa que el uso sea seguro o proporcional. Los equipos deben revisar necesidad, datos y riesgo.
Un token filtrado puede ser tan peligroso como una contraseña si concede permisos amplios y no se revoca rápido.
Riesgos y límites
El riesgo principal es el exceso de permisos. Muchas integraciones piden más acceso del necesario porque resulta más fácil para el proveedor.
Los flujos mal implementados pueden sufrir ataques de redirección, robo de tokens, suplantación de cliente o falta de validación. Las recomendaciones actuales de seguridad deben seguirse, no solo la especificación base.
En IA, el riesgo aumenta cuando un asistente puede leer, resumir o actuar sobre datos empresariales. La autorización debe ir unida a controles de uso y revisión.
Qué hacer ahora
Catalogue las aplicaciones y conectores OAuth aprobados.
Exija mínimos privilegios, revisión de alcances y caducidad adecuada de tokens.
Proteja tokens de actualización y defina procesos de revocación.
Revise conectores de IA con una evaluación adicional de datos y acciones.
Registre quién aprobó cada integración y qué acceso concedió.
FAQs
¿OAuth es lo mismo que iniciar sesión?
No. OAuth delega autorización. Para identidad se suele usar OpenID Connect encima de OAuth.
¿OAuth elimina las contraseñas?
Evita entregar la contraseña a cada aplicación, pero los tokens también deben protegerse.
¿Qué es un alcance?
Un alcance describe el permiso que se concede, como leer calendario o enviar correo.
¿Por qué importa para IA?
Porque los conectores de IA pueden usar OAuth para acceder a datos empresariales y actuar sobre ellos.
Fuentes
RFC 6749 - The OAuth 2.0 Authorization Framework (IETF). Core framework, roles, scopes, redirect URI matching, access tokens and refresh tokens.
RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage (IETF). Bearer token behaviour, storage and transport risks, and why possession of a token matters.
RFC 9700: Best Current Practice for OAuth 2.0 Security (IETF). Current OAuth security best practice and deprecation of weaker patterns.
RFC 7636 - Proof Key for Code Exchange by OAuth Public Clients (IETF). PKCE and protection against authorisation code interception.
API authentication and authorisation (NCSC). Plain-English distinction between OAuth authorisation and OpenID Connect authentication, plus modern token protection options.
Using Software as a Service (SaaS) securely (NCSC). Governance framing for SaaS configuration, shadow IT and ongoing security posture.