+5491136057263
info@socialmediaweb.com.ar

El precio que pagamos por iniciar sesión con Facebook o Google en las aplicaciones

www.socialmediaweb.com.ar

El precio que pagamos por iniciar sesión con Facebook o Google en las aplicaciones

















El uso de la cuenta de Facebook y Google data de 2014, cuando se comenzaron a ofrecer el servicio de validación de identidades basado en el estándar denominado OpenID Connect

¿

Cuántas contraseñas

utiliza un usuario medio a lo largo del día? ¿50? ¿100? Y se supone que todas las

claves

tienen que ser

diferentes, largas, suficientemente complejas


, no estar relacionadas con su vida, etc

. Todo esto para que sean seguras y un atacante no las pueda adivinar o reutilizar si las averigua o roba.















































Para ahorrarles trabajo, en los últimos años se está trabajando mucho en ofrecer a los usuarios soluciones que les permitan

autenticarse

(demostrar que son quienes dicen ser) cuando necesitan utilizar un recurso, aplicación o servicio web, normalmente desde su computadora o móvil.



Identificación a través de Facebook y Google

Una de estas soluciones son los esquemas federados para la gestión de accesos. Se llaman

esquemas federados

porque se basan en construir federaciones de confianza: los usuarios finales y los proveedores de los recursos, aplicaciones o servicios a los que quieren acceder (una tienda de comercio electrónico, el banco, la web para pedir cita con el médico)

confían en proveedores de identidades

.





























En la actualidad, estos

proveedores de identidades

son casi siempre las

grandes empresas tecnológicas

donde la mayor parte de los usuarios tenemos una cuenta:

Google, Facebook, Twitter, LinkedIn y Apple

. De hecho, a veces se habla de social login.




















De esta manera, para acceder a cualquier servicio (ajeno a esas compañías), basta con que el usuario se autentique, normalmente con una contraseña, en el proveedor de identidades. Es decir, puede

registrarse o iniciar sesión

a través de Google, Apple o alguna red social para no tener que crear una nueva cuenta y su clave correspondiente.






Apple, una de las pocas compañias tecnológicas que se habían quedado fuera de todo esto, lanzó su propia solución como proveedor de identidades para utilizar servicios digitales
Apple, una de las pocas compañias tecnológicas que se habían quedado fuera de todo esto, lanzó su propia solución como proveedor de identidades para utilizar servicios digitales
















Hace años que

Facebook

y compañía colaboraron con un consorcio denominado la

OpenID Foundation

para proponer un estándar que permitiera resolver la autenticación de usuarios en internet de manera federada. Este estándar se llama OpenID Connect, y está en su versión 1.0 desde el año 2014.











Gracias a esta especificación cuando, por ejemplo, vamos a comprar un billete de avión y tenemos que identificarnos en la web en la que estamos realizando la compra, normalmente se nos darán dos opciones.


  • La primera, tener una

    cuenta local en esa web con su propia contraseña

    . Habrá que crearla, o si ya la teníamos, recordar la contraseña que pusimos en su momento.

  • La segunda, entrar cómodamente con nuestra

    cuenta de Google, Facebook, etc

    . Solo tenemos que hacer clic en un botón de la web. Si no habíamos iniciado sesión en este proveedor, se nos pide que lo hagamos en este momento. Si ya habíamos iniciado sesión, normalmente, ya estamos autenticados y podemos seguir con la compra directamente.







Casi todos los usuarios se han acostumbrado a realizar este segundo gesto en los últimos años. Les ahorra tener que manejar una cuenta por cada servicio que utilizan. Esto es especialmente útil en servicios que se utilizan solo una vez o de manera muy esporádica.


Hay que mencionar que un poco después de estandarizarse

OpenID Connect

las operadoras de telefonía también quisieron adoptar el papel de proveedor de identidades. Por este motivo, se propuso

Mobile Connect

, que se basa en las mismas ideas y conceptos, pero asociando al usuario su número de teléfono en lugar de una contraseña. De esta manera, la operadora sería quien permite la autenticación.












¿Un servicio gratuito?

Hay que preguntarse

por qué tantas empresas

de diferentes sectores para operar como

proveedores de identidades

. Apple, que era de las pocas que se habían quedado fuera de todo esto, lanzó su propia solución el año pasado.


En principio,

lo hacen de manera gratuita

. Podríamos pensar que lo hacen para mejorar la usabilidad de la web y para favorecer el uso de diferentes tipos de recursos, servicios y aplicaciones de manera segura -pueden dar más garantías que otras miles de empresas que ofrecen sus servicios por Internet pero no son expertas en resolver la autenticación de usuarios-. Al fin y al cabo, al mejorar la experiencia de los usuarios y generar negocio en Internet, resultan beneficiadas, aunque sea indirectamente.





Pero también podríamos pensar que

gestionar la autenticación

de millones de usuarios exige una infraestructura y un esfuerzo que no se ve compensado del todo con esta mejora del funcionamiento de Internet. Obviamente,

la respuesta está en los datos

.



Riesgos para la privacidad de los usuarios

Cada vez que escogemos

usar un proveedor de identidades

para autenticarnos, nuestra

privacidad

se puede ver

amenazada de diferentes maneras

. Se pueden resumir en estas cinco:



  • Falta de control sobre nuestros datos personales:

    casi todos los proveedores de identidades exigen una serie de datos personales de los usuarios para poder disfrutar de autenticación federada. Estos datos tienen que proporcionarse obligatoriamente y son identificativos; permiten asociar nuestra identidad digital (en internet) con la física (en el mundo real): nombre, apellidos, número de teléfono, etc.


  • Falta de control sobre la compartición de nuestros datos personales con terceros:

    en casi todos los flujos de autenticación, el servicio al que accede el usuario puede pedir al proveedor de identidades los datos de este. Esto es muy cómodo, por ejemplo, para autocompletar formularios (con nuestro nombre o nuestra dirección para un envío). Pero también permite a la tienda o a la clínica, con los ejemplos que habíamos mencionado antes, saber quién es el usuario realmente. Y sin que este intervenga de manera explícita ni se dé cuenta en la mayoría de casos, esta compartición de información se realiza de manera automática. Es una comunicación entre el servicio al que accede y el proveedor de identidades.


  • Fuga de datos personales:

    una vez que hay datos personales del usuario (que además permiten identificarle) almacenados en el proveedor de identidades y en los servicios a los que ha accedido, puede ocurrir que no se protejan adecuadamente y se vean involucrados en una brecha de datos. Comprometida la cuenta del usuario en el proveedor de identidades, por ejemplo, se ven comprometidos todos los accesos que ha realizado a través de él.


  • Perfilado:

    el proveedor de identidades puede obtener mucha información sobre cada usuario. Sabe a qué accede en cada momento, desde qué dispositivo, etc. Esto le permite conocer mejor a los usuarios, sus gustos, hábitos, intereses, horarios. Todos sabemos lo valiosa que es esta información hoy en día para la mayor parte de las empresas.


  • Geolocalización:

    el proveedor de identidades puede obtener información sobre la localización de los usuarios (a través de información GPS, pero también de las direcciones IP, de las redes wifi o de las apps que tienen instaladas en sus dispositivos) en cada acceso que realizan. Esta valiosa información sirve para completar su perfil.


Conclusiones: ¿debemos fiarnos?

La

autenticación

basada en

soluciones federadas

, es decir, en utilizar Google, Facebook, Apple y compañía como proveedores de identidades

es muy cómoda

. Mejora la experiencia de los usuarios, les ahorra tiempo y esfuerzo y puede ser más segura en comparación con el uso de contraseñas débiles.


Pero hay que tener en cuenta los

riesgos

que supone para la

privacidad

. El servicio que ofrecen estos proveedores de identidades, como ocurre en tantas ocasiones,

no es gratis

(o no del todo).

Los usuarios lo pagan con sus datos

.


En este sentido, algunas webs y aplicaciones han dejado de ofrecer a sus usuarios la posibilidad de autenticarse de esta manera en un intento de proteger su privacidad o de no regalar a otras empresas datos tan valiosos.


Además, cada vez somos más investigadores y grupos de usuarios los que estamos proponiendo soluciones que permitan trabajar con este tipo de proveedores de manera más

respetuosa con la privacidad

. Pero el primer paso es que los usuarios exijan este respeto, así los proveedores de identidades irán incorporando la privacidad desde el diseño utilizando cifrado, desvinculación y ofreciendo una mayor transparencia.



Este artículo fue escrito por Marta Beltrán, profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos, y por Jorge Navas Diaz, doctorando en Ciberseguridad, Universidad Rey Juan Carlos



Puedes leer el artículo original en The Conversation aquí


.









ADEMÁS









Fuente: https://www.lanacion.com.ar/tecnologia/el-precio-pagamos-iniciar-sesion-facebook-google-nid2392855

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

A %d blogueros les gusta esto: