Ir al contenido
Endpoint e Identidad

¿Qué es SSO (inicio de sesión único)?

SSO (Single Sign-On, o inicio de sesión único) es el método de autenticación que permite entrar una vez y acceder a varias aplicaciones sin escribir la contraseña de nuevo en cada una. En lugar de una contraseña distinta para cada sistema, la persona se identifica una sola vez, ante un proveedor de identidad central, que pasa una prueba segura para que las demás aplicaciones confíen en ella.

Zamak TechnologiesActualizado el 11 de julio de 2026

Cómo funciona el SSO

En lugar de guardar una contraseña en cada aplicación, el SSO concentra la identificación en un único proveedor de identidad. Las aplicaciones pasan a confiar en una prueba firmada por él, no en una contraseña propia.

1

La persona pide acceso a una aplicación

Al abrir un sistema, en vez de pedir una contraseña propia, la aplicación reenvía la solicitud al proveedor de identidad central.

2

El proveedor comprueba la identidad una vez

Aquí es donde la identidad se verifica de verdad, casi siempre con una segunda prueba (MFA). Hecho eso, no hay que repetirlo en cada aplicación.

3

Se emite un token seguro

Confirmada la identidad, el proveedor genera una prueba firmada y temporal, el token, que atestigua quién es la persona sin exponer ninguna contraseña.

4

Las aplicaciones confían en el token

Cada sistema acepta el token y da el acceso. La persona circula entre las aplicaciones sin escribir la contraseña de nuevo, y no hay una contraseña distinta que se filtre en cada una.

Fuente: Cyber Encyclopedia de N-able (definición y flujo de autenticación).

Señales de que la empresa necesita SSO

  • Las personas administran decenas de contraseñas distintas, pegan anotaciones en el monitor y reutilizan la misma contraseña en varios sistemas para poder con todo.
  • El soporte gasta parte del día restableciendo contraseñas olvidadas, y cada restablecimiento es un momento en el que un estafador puede hacerse pasar por el usuario.
  • Cuando alguien sale de la empresa, hay que buscar cuenta por cuenta para cortar el acceso, y casi siempre alguna queda olvidada y activa.
  • No hay forma clara de saber quién tiene acceso a qué, porque cada aplicación guarda su propia lista de usuarios y contraseñas.

SSO, gestor de contraseñas y MFA: cómo encajan

  • SSO (inicio de sesión único) Una identidad central abre varias aplicaciones. Reduce el número de contraseñas a proteger a una sola, y da un único lugar para exigir MFA y cortar el acceso cuando alguien sale.
  • Gestor de contraseñas Guarda muchas contraseñas distintas en una bóveda y las completa por usted. Sigue habiendo una contraseña por aplicación, solo que organizada. Ayuda, pero no concentra la identidad ni el corte de acceso.
  • MFA (segunda verificación) La prueba extra además de la contraseña. En el SSO es esencial: como una única identidad abre todo, esa identidad tiene que estar protegida por MFA, siempre.
  • El riesgo que el SSO concentra Si roban la identidad única y no hay MFA, el atacante entra en todas las aplicaciones a la vez. Por eso el SSO sin MFA cambia comodidad por peligro.

Por qué demasiadas contraseñas se volvieron un riesgo

30%
de los dispositivos encontrados en registros de programas que roban contraseñas eran equipos corporativos gestionados (Verizon DBIR 2025)
22%
de las brechas empiezan por una credencial robada, el vector de entrada nº 1 (Verizon DBIR 2025)
$ 4,44 M
es el costo promedio de una filtración de datos (IBM 2025)

Cada persona en una empresa acumula decenas de contraseñas, y la respuesta humana ante eso es siempre la misma: repetir la misma contraseña en varios sistemas y anotarla donde sea más fácil. Basta con que una de esas contraseñas reutilizadas se filtre para que el atacante la pruebe en todos lados, y por eso la credencial robada es la vía de entrada número uno (22%, Verizon DBIR 2025) y el factor humano aparece en el 60% de las brechas (Verizon DBIR 2025). El tamaño del problema queda claro en un dato: de los dispositivos encontrados en registros de programas que roban contraseñas, el 30% eran equipos corporativos gestionados (Verizon DBIR 2025). El SSO ataca la raíz: reduce muchas contraseñas a una identidad central, protegida por MFA, que la empresa puede reforzar y revocar en un solo lugar. Hecho sin MFA, sin embargo, concentra el riesgo en vez de reducirlo, mientras una brecha aún cuesta, en promedio, $ 4,44 millones (IBM 2025).

Cómo adoptar el SSO con seguridad

El SSO solo entrega lo que promete cuando la identidad central está bien protegida. Sin ese cuidado, cambia muchas puertas frágiles por una puerta única y demasiado valiosa. Lo que separa una de la otra:

  1. MFA en la identidad central, siempreComo un login abre todo, esa identidad necesita la segunda verificación. El SSO sin MFA concentra el riesgo en vez de reducirlo.
  2. Empiece por las aplicaciones más usadasConecte primero los sistemas del día a día, donde la reutilización de contraseñas es mayor. La ganancia de seguridad aparece pronto.
  3. Corte el acceso en un solo lugarCuando alguien sale, apagar la identidad central quita el acceso a todas las aplicaciones a la vez, sin buscar cuenta por cuenta.
  4. Cuide la disponibilidadComo todo depende del proveedor de identidad, elija un servicio confiable y con plan para la indisponibilidad. Una identidad central bien cuidada es más resiliente que decenas de logins sueltos.
  5. Mantenga las otras capasEl SSO organiza la identidad, pero no reemplaza la protección de endpoint ni la seguridad de correo. Es una pieza, no la defensa entera.

En la práctica

Si un empleado saliera hoy, ¿cuánto tardaría en cortar su acceso a todos los sistemas? Con el inicio de sesión único y MFA, es un clic; sin él, es una cacería, y la cuenta olvidada se vuelve una puerta abierta.

Cómo trata Zamak el inicio de sesión único

Zamak Technologies concentra la identidad en un inicio de sesión único protegido por una segunda verificación (MFA), para reducir el número de contraseñas que pueden filtrarse y dar a la empresa un solo lugar para reforzar el acceso y cortarlo en el momento en que alguien sale. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde todavía se depende de muchas contraseñas sueltas. Forma parte de la Ciberseguridad del Método Zamak.

Preguntas frecuentes sobre SSO

¿Cuál es la diferencia entre SSO y un gestor de contraseñas?
El gestor de contraseñas guarda muchas contraseñas distintas en una bóveda y las completa por usted: sigue habiendo una contraseña por aplicación. El SSO reemplaza esas contraseñas por una identidad central que abre varias aplicaciones con un único login. El gestor organiza; el SSO concentra la identidad en un solo punto, protegido por MFA.
¿El SSO es seguro? ¿No aumenta el riesgo?
El SSO es seguro cuando la identidad central está protegida por MFA. Sin MFA, concentra el riesgo: una única contraseña robada abriría todo. Con MFA, reduce el riesgo, porque hay menos contraseñas para filtrar y un solo lugar para reforzar y revocar el acceso.
¿El SSO es lo mismo que el MFA?
No, y los dos van juntos. El SSO decide cuántas contraseñas escribe usted (idealmente una). El MFA decide cuántas pruebas da además de la contraseña (dos o más). El SSO organiza el acceso; el MFA asegura que es la persona correcta. El estándar recomendado es SSO con MFA.
¿Qué pasa si el proveedor de identidad se cae?
Como el SSO concentra el acceso, una indisponibilidad del proveedor puede bloquear el login en varias aplicaciones. Por eso elegir un servicio confiable y un plan para la indisponibilidad forma parte de un buen SSO. La ganancia de seguridad y de control suele superar ese riesgo, cuando está bien gestionado.
¿El SSO sirve para una empresa pequeña?
Sí. Cuanto menor es el equipo, más acumulan contraseñas las personas y más las reutilizan. Entregado como servicio gestionado, el inicio de sesión único con MFA queda al alcance sin exigir un equipo de TI grande, y simplifica cortar el acceso cuando alguien sale.
¿Tengo que cambiar todos mis sistemas para usar SSO?
No. La mayoría de las aplicaciones de negocio ya hablan los estándares de inicio de sesión único y se conectan a un proveedor de identidad central. La adopción suele ser gradual: empieza por los sistemas más usados y crece, sin cambiar las aplicaciones.