Impersonation y delegación parecen sinónimos pero modelan cadenas de actores radicalmente distintas. La primera borra al intermediario de los logs; la segunda lo preserva. Entender la diferencia es crítico para cumplir auditorías de trazabilidad en entornos regulados como SOX, GDPR o HIPAA.
EaaS (Entitlements as a Service) es la oferta de autorización como servicio gestionado, con control plane, SDKs y UI. Resuelve el coste operativo de desplegar un motor de políticas propio y el gobierno fragmentado entre aplicaciones. En el ecosistema moderno compite y complementa a OPA, OpenFGA y motores embebidos, dibujando un mapa de trade-offs entre latencia, control y velocidad de entrega.
PAM (Privileged Access Management) es la disciplina que gobierna cómo se concede, supervisa y revoca el acceso a sistemas críticos. Resuelve el problema de las cuentas de administración compartidas, las credenciales permanentes y los accesos sin trazabilidad. En el ecosistema moderno, PAM converge con Zero Trust, Vault y los IdP para ofrecer credenciales efímeras y sesiones auditadas.
FIDO2 es el conjunto de especificaciones de FIDO Alliance y W3C que define autenticación basada en criptografía asimétrica ligada al origen, sin contraseñas compartidas. Resuelve el problema estructural del phishing y del credential stuffing, imposibles por construcción cuando no existe un secreto transmitido. Passkeys es la marca con la que Apple, Google y Microsoft llevaron esa tecnología al gran público desde 2022, convirtiendo lo que era propiedad de entornos de alta seguridad en el mecanismo de login por defecto de la web.
MFA (Multi-Factor Authentication) es la práctica de combinar dos o más factores independientes para autenticar a un usuario. Resuelve el problema estructural de la contraseña única, que lleva décadas demostrando ser insuficiente frente a phishing, reutilización y brechas masivas. En el ecosistema actual, MFA es el denominador mínimo exigible, y step-up authentication es el patrón que evita imponerlo de forma indiscriminada.
SCIM es el estándar REST/JSON que permite a un IdP crear, actualizar y desactivar usuarios en aplicaciones SaaS de forma automática. Resuelve el problema histórico del joiner/mover/leaver manual en arquitecturas con decenas o cientos de apps integradas. A pesar de tener una década de estándar, su adopción irregular es una de las fricciones silenciosas del SaaS empresarial.
La revocación inmediata de un JWT firmado es un problema que la criptografía no resuelve por sí sola. Gestionar sesiones en sistemas distribuidos exige combinar tiempos de vida cortos, rotación de refresh tokens, introspección y mecanismos de logout coordinados. Entender los trade-offs entre estado y autocontención define la postura real de seguridad de una aplicación.
Los macaroons son credenciales bearer construidas sobre HMAC encadenado que permiten atenuación descentralizada mediante caveats. Resuelven el problema de delegar permisos restringidos sin contactar al emisor, algo que JWT no puede hacer de forma nativa. A pesar de su elegancia técnica, el ecosistema OAuth y JWT los dejó en un nicho del que nunca salieron del todo.
LDAP (Lightweight Directory Access Protocol) es el estándar que modela la identidad corporativa como un árbol jerárquico consultable. Resuelve el problema de centralizar usuarios, grupos y recursos en un único servicio replicable, con décadas de despliegue en banca, administración pública e industria. Aunque los IdPs modernos hablan OIDC o SAML hacia las aplicaciones, LDAP sigue siendo el repositorio maestro subyacente en una parte abrumadora del tejido corporativo.
OAuth 2.0 cumplió más de una década acumulando parches, extensiones y lecciones dolorosas. La respuesta del IETF es doble: OAuth 2.1 consolida las buenas prácticas en un único documento, mientras DPoP, PAR y RAR cubren los agujeros del modelo original. En paralelo, GNAP se perfila como la siguiente generación sin buscar compatibilidad.