Marta Beltrán y Jorge Navas Díaz
¿Cuántas contraseñas utiliza un usuario medio a lo largo del día? ¿50? ¿100? Y se supone que todas ellas tienen que ser diferentes, largas, suficientemente complejas, no estar relacionadas con su vida, etc. Todo esto para que sean seguras y un atacante no las pueda adivinar o reutilizar si las averigua o roba.
Para ahorrarles trabajo, en los últimos años se está trabajando mucho en ofrecer a los usuarios soluciones que les permitan autenticarse (demostrar que son quienes dicen ser) cuando necesitan utilizar un recurso, aplicación o servicio web, normalmente desde su ordenador o móvil.
Identificación a través de Facebook y Google
Una de estas soluciones son los esquemas federados para la gestión de accesos. Se llaman esquemas federados porque se basan en construir federaciones de confianza: los usuarios finales y los proveedores de los recursos, aplicaciones o servicios a los que quieren acceder (una tienda de comercio electrónico, el banco, la web para pedir cita con el médico) confían en proveedores de identidades.
En la actualidad, estos proveedores de identidades son casi siempre las grandes empresas tecnológicas donde la mayor parte de los usuarios tenemos una cuenta: Google, Facebook, Twitter, LinkedIn y Apple. De hecho, a veces se habla de social login.
De esta manera, para acceder a cualquier servicio (ajeno a esas compañías), basta con que el usuario se autentique, normalmente con una contraseña, en el proveedor de identidades. Es decir, puede registrarse o iniciar sesión a través de Google, Apple o alguna red social para no tener que crear una nueva cuenta y su clave correspondiente.
¿Cómo pueden actuar de intermediarios?
Hace años que Facebook y compañía colaboraron con un consorcio denominado la OpenID Foundation para proponer un estándar que permitiera resolver la autenticación de usuarios en internet de manera federada. Este estándar se llama OpenID Connect, y está en su versión 1.0 desde el año 2014.
Gracias a esta especificación cuando, por ejemplo, vamos a comprar un billete de avión y tenemos que identificarnos en la web en la que estamos realizando la compra, normalmente se nos darán dos opciones.
- La primera, tener una cuenta local en esa web con su propia contraseña. Habrá que crearla, o si ya la teníamos, recordar la contraseña que pusimos en su momento.
- La segunda, entrar cómodamente con nuestra cuenta de Google, Facebook, etc. Solo tenemos que hacer clic en un botón de la web. Si no habíamos iniciado sesión en este proveedor, se nos pide que lo hagamos en este momento. Si ya habíamos iniciado sesión, normalmente, ya estamos autenticados y podemos seguir con la compra directamente.
Casi todos los usuarios se han acostumbrado a realizar este segundo gesto en los últimos años. Les ahorra tener que manejar una cuenta por cada servicio que utilizan. Esto es especialmente útil en servicios que se utilizan solo una vez o de manera muy esporádica.
Hay que mencionar que un poco después de estandarizarse OpenID Connect las operadoras de telefonía también quisieron adoptar el papel de proveedor de identidades. Por este motivo, se propuso Mobile Connect, que se basa en las mismas ideas y conceptos, pero asociando al usuario su número de teléfono en lugar de una contraseña. De esta manera, la operadora sería quien permite la autenticación.
¿Un servicio gratuito?
Hay que preguntarse por qué tantas empresas de diferentes sectores se están ofreciendo para operar como proveedores de identidades. Apple, que era de las pocas que se habían quedado fuera de todo esto, lanzó su propia solución el año pasado.
En principio, lo hacen de manera gratuita. Podríamos pensar que lo hacen para mejorar la usabilidad de la web y para favorecer el uso de diferentes tipos de recursos, servicios y aplicaciones de manera segura –pueden dar más garantías que otras miles de empresas que ofrecen sus servicios por internet pero no son expertas en resolver la autenticación de usuarios–. Al fin y al cabo, al mejorar la experiencia de los usuarios y generar negocio en internet, resultan beneficiadas, aunque sea indirectamente.
Pero también podríamos pensar que gestionar la autenticación de millones de usuarios exige una infraestructura y un esfuerzo que no se ve compensado del todo con esta mejora del funcionamiento de internet. Obviamente, la respuesta está en los datos.
Riesgos para la privacidad de los usuarios
Cada vez que escogemos usar un proveedor de identidades para autenticarnos, nuestra privacidad se puede ver amenazada de diferentes maneras. Se pueden resumir en estas cinco:
- Falta de control sobre nuestros datos personales. Casi todos los proveedores de identidades exigen una serie de datos personales de los usuarios para poder disfrutar de autenticación federada. Estos datos tienen que proporcionarse obligatoriamente y son identificativos; permiten asociar nuestra identidad digital (en internet) con la física (en el mundo real): nombre, apellidos, número de teléfono, etc.
- Falta de control sobre la compartición de nuestros datos personales con terceros. En casi todos los flujos de autenticación, el servicio al que accede el usuario puede pedir al proveedor de identidades los datos de este. Esto es muy cómodo, por ejemplo, para autocompletar formularios (con nuestro nombre o nuestra dirección para un envío). Pero también permite a la tienda o a la clínica, con los ejemplos que habíamos mencionado antes, saber quién es el usuario realmente. Y sin que este intervenga de manera explícita ni se dé cuenta en la mayoría de casos, esta compartición de información se realiza de manera automática. Es una comunicación entre el servicio al que accede y el proveedor de identidades.
- Fuga de datos personales. Una vez que hay datos personales del usuario (que además permiten identificarle) almacenados en el proveedor de identidades y en los servicios a los que ha accedido, puede ocurrir que no se protejan adecuadamente y se vean involucrados en una brecha de datos. Comprometida la cuenta del usuario en el proveedor de identidades, por ejemplo, se ven comprometidos todos los accesos que ha realizado a través de él.
- Perfilado. El proveedor de identidades puede obtener mucha información sobre cada usuario. Sabe a qué accede en cada momento, desde qué dispositivo, etc. Esto le permite conocer mejor a los usuarios, sus gustos, hábitos, intereses, horarios. Todos sabemos lo valiosa que es esta información hoy en día para la mayor parte de las empresas.
- Geolocalización. El proveedor de identidades puede obtener información sobre la localización de los usuarios (a través de información GPS, pero también de las direcciones IP, de las redes wifi o de las apps que tienen instaladas en sus dispositivos) en cada acceso que realizan. Esta valiosa información sirve para completar su perfil.
Conclusiones: ¿debemos fiarnos?
La autenticación basada en soluciones federadas, es decir, en utilizar Google, Facebook, Apple y compañía como proveedores de identidades es muy cómoda. Mejora la experiencia de los usuarios, les ahorra tiempo y esfuerzo y puede ser más segura en comparación con el uso de contraseñas débiles.
Pero hay que tener en cuenta los riesgos que supone para la privacidad. El servicio que ofrecen estos proveedores de identidades, como ocurre en tantas ocasiones, no es gratis (o no del todo). Los usuarios lo pagan con sus datos.
En este sentido, algunas webs y aplicaciones han dejado de ofrecer a sus usuarios la posibilidad de autenticarse de esta manera en un intento de proteger su privacidad o de no regalar a otras empresas datos tan valiosos.
Además, cada vez somos más investigadores y grupos de usuarios los que estamos proponiendo soluciones que permitan trabajar con este tipo de proveedores de manera más respetuosa con la privacidad. Pero el primer paso es que los usuarios exijan este respeto, así los proveedores de identidades irán incorporando la privacidad desde el diseño utilizando cifrado, desvinculación y ofreciendo una mayor transparencia.
Sobre los autores: Marta Beltrán es profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad de la Universidad Rey Juan Carlos y Jorge Navas Díaz es doctor en ciberseguridad por la Universidad Rey Juan Carlos
Este artículo fue publicado originalmente en The Conversation. Artículo original.