Todas las entradas

Construir o comprar la autenticación: la factura que no ves venir

AuthagonalJune 30, 2026
authbuild-vs-buyssosecuritysaas

Traducido con IA del original en inglés. Leer el original

La autenticación es la funcionalidad que todo ingeniero está seguro de poder construir en un fin de semana, y tiene razón. Puedes construir un formulario de inicio de sesión, una tabla de usuarios y un correo de restablecimiento de contraseña para el domingo por la noche. El fin de semana es real. El fin de semana tampoco es el coste. El coste es todo lo que llega después, en un calendario que tú no fijas, para un sistema que nunca puedes apagar.

La parte que crees que es el trabajo

Correo y contraseña. Una tabla de sesiones. Un enlace de «olvidé mi contraseña» que envía un token por correo. Inicio de sesión social si te sientes meticuloso. Esto de verdad es un fin de semana, y si ese fuera todo el trabajo, deberías construirlo sin duda. No es todo el trabajo, y sabes que no lo es, y por eso estás leyendo un artículo sobre construir o comprar en vez de simplemente construirlo.

La factura que no ves venir

Ahora eres dueño de una superficie de seguridad, para siempre. Hash de contraseñas, y re-hash de cada usuario el día que te das cuenta de que tu factor de coste de bcrypt estaba ajustado para el hardware de 2019. Limitación de tasa y bloqueo de cuentas. Credential stuffing, porque tu endpoint de inicio de sesión se une a todas las listas de reproducción de brechas en el primer mes desde el lanzamiento. Y la grande: la responsabilidad. El día que almacenas credenciales te conviertes en un objetivo, y una brecha deja de ser un riesgo abstracto en la presentación de precios de otro. Es tu incidente, tu correo de divulgación, la confianza de tus clientes y, posiblemente, tu regulador.

El trabajo de protocolos aterriza en el momento en que le vendes a alguien serio. El SSO empresarial significa SAML, y SAML significa verificación de firma XML, que es su propio género de CVE (de verdad que no quieres encontrarte con la envoltura de firma en producción; más sobre eso aquí). SCIM significa construir aprovisionamiento y desaprovisionamiento, y el desaprovisionamiento es un control de seguridad: equivócate y un empleado despedido conserva su acceso. MFA significa inscripción, códigos de recuperación y la cola de soporte cuando alguien pierde su teléfono. Los registros de auditoría significan retención y evidencia de manipulaciones, porque el auditor de SOC 2 del cliente preguntará, y «registramos en un archivo en algún sitio» no es una respuesta.

La cola operativa nunca termina. Rotación de claves y JWKS. Invalidación de sesiones que funcione de verdad en todos los dispositivos. Revocación de tokens. Y la guardia, para el único sistema de tu stack que, cuando se cae, se lo lleva todo por delante: nadie inicia sesión, ninguna llamada a la API se autentica, todo tu producto es una página 500. La autenticación es de nivel cero. Te estás apuntando a mantener un sistema de seguridad de nivel cero funcionando para siempre, con la misma plantilla que ibas a dedicar a tu producto real.

La cola de cumplimiento es anual. SOC 2, ISO 27001, el cuestionario de seguridad de un posible cliente: cada uno pregunta, en detalle, por cada punto anterior. A los auditores no les seduce el «lo hicimos nosotros mismos». Comprar la autenticación te permite señalar los controles de un proveedor; construirla hace que esos controles sean tuyos para documentar, demostrar y defender, cada año.

Cuándo construir es de verdad la decisión correcta

Esto no es un discurso de «comprar, siempre», porque sería deshonesto y lo verías al instante. Construye tu propia autenticación cuando:

  • Es una pequeña herramienta interna detrás de una VPN, un puñado de usuarios, sin superficie de cumplimiento. El fin de semana sí es todo el trabajo.
  • La autenticación es tu producto. Si estás construyendo una empresa de identidad, construye identidad. Es tu diferenciador, no tu carga.
  • Tienes requisitos genuinamente inusuales que ningún proveedor cubre, y un equipo de seguridad dedicado que será dueño del resultado durante toda su vida. Fíjate en las dos mitades de esa frase. El equipo es la mitad cara.

Fuera de esos casos, las cuentas son más simples de lo que parecen. El coste de «construir» nunca fue el primer fin de semana. Es la propiedad perpetua de un sistema crítico para la seguridad que no hace que tu producto sea mejor, solo más tuyo.

El replanteamiento honesto

Construir la autenticación no hace que tu producto sea más valioso para un solo cliente. Nadie jamás compró tu software porque implementaste a mano la verificación de la firma SAML. Solo convierte la autenticación de ser problema de otro en ser tuyo, para siempre, y gasta la ingeniería que podrías haber puesto en aquello por lo que la gente realmente paga.

La objeción habitual a comprar, que los proveedores de autenticación cobran una fortuna por activar las funciones empresariales, es real. Pero ese es un argumento sobre qué proveedor, no sobre construir o comprar. Buena parte de esa factura es un impuesto por funciones que no tienes que pagar. Compra una autenticación que incluya SSO, SCIM, MFA y registros de auditoría sin el peaje por conexión, y la pregunta de construir o comprar se responde prácticamente sola.

Antes de gastar un sprint en un sistema de inicio de sesión, vale la pena ver exactamente qué exigirán de él los clientes empresariales. Esto es lo que está incluido, en todos los planes.