En los últimos años se está trabajando en ofrecer a los usuarios soluciones que les permitan autenticarse (demostrar que son quienes dicen ser) cuando necesitan utilizar un recurso, aplicación o servicio web, normalmente desde su ordenador o móvil, sin el fastidio de las tediosas contraseñas.
En la actualidad, estos proveedores de identidades son casi siempre las grandes empresas tecnológicas donde la mayor parte de los usuarios tenemos una cuenta: Google, Facebook, Twitter, LinkedIn y Apple. De hecho, a veces se habla de social login.
De esta manera, para acceder a cualquier servicio (ajeno a esas compañías), basta con que el usuario se autentique, normalmente con una contraseña, en el proveedor de identidades. Es decir, puede registrarse o iniciar sesión a través de Google, Apple o alguna red social para no tener que crear una nueva cuenta y su clave correspondiente.
Hace años que Facebook impulso la OpenID Foundation para proponer un estándar que permitiera resolver la autenticación de usuarios en internet de manera federada. Este estándar se llama OpenID Connect, y está en su versión 1.0 desde el año 2014.
Gracias a esta especificación cuando, por ejemplo, vamos a realizar la compra de un curso en linea y tenemos que identificarnos en la web en la que estamos realizando la compra, normalmente se nos darán dos opciones:
La primera, tener una cuenta local en esa web con su propia contraseña. Habrá que crearla, o si ya la teníamos, recordar la contraseña que pusimos en su momento.
La segunda, entrar cómodamente con nuestra cuenta de Google, Facebook, etc. Solo tenemos que hacer clic en un botón de la web.
¿Cómo pagas?
Hay que preguntarse por qué tantas empresas de diferentes sectores se están ofreciendo para operar como proveedores de identidades. Apple, que era de las pocas que se habían quedado fuera de todo esto, lanzó su propia solución el año pasado.
En principio lo hacen de manera gratuita, pero podríamos pensar que gestionar la autenticación de millones de usuarios exige una infraestructura y un esfuerzo que no se ve compensado del todo con esta mejora del funcionamiento de internet. Obviamente, la respuesta está en los datos.
¿Cuales son los riesgos para la privacidad de los usuarios?
Cuando escogemos un proveedor de identidades para autenticarnos, nuestra privacidad se puede ver amenazada de diferentes maneras:
Falta de control sobre nuestros datos personales: Casi todos los proveedores de identidades exigen una serie de datos personales de los usuarios para poder disfrutar de autenticación federada. Estos datos permiten asociar nuestra identidad digital (en internet) con la física (en el mundo real): nombre, apellidos, número de teléfono, etc.
Falta de control sobre la compartición de nuestros datos personales con terceros: En casi todos los flujos de autenticación, el servicio al que accede el usuario puede pedir al proveedor de identidades los datos de este.
Filtración de datos personales: Una vez que hay datos personales del usuario (que además permiten identificarle) almacenados en el proveedor de identidades y en los servicios a los que ha accedido, puede ocurrir que no se protejan adecuadamente y se vean involucrados en una brecha de datos. Comprometida la cuenta del usuario en el proveedor de identidades, por ejemplo, se ven comprometidos todos los accesos que ha realizado a través de él.
Perfilado: El proveedor de identidades puede obtener mucha información sobre cada usuario. Sabe a qué accede en cada momento, desde qué dispositivo, etc. Esto le permite conocer mejor a los usuarios, sus gustos, hábitos, intereses, horarios. Todos sabemos lo valiosa que es esta información hoy en día para la mayor parte de las empresas.
Geolocalización. El proveedor de identidades puede obtener información sobre la localización de los usuarios (a través de información GPS, pero también de las direcciones IP, de las redes wifi o de las apps que tienen instaladas en sus dispositivos) en cada acceso que realizan. Esta valiosa información sirve para completar su perfil.
En conclusión, hay que tener en cuenta los riesgos que siempre existen para la privacidad. El servicio que ofrecen los proveedores de identidades, como ocurre en tantas ocasiones, no es gratis. Los usuarios lo pagamos con sus datos.
En este sentido, algunas webs y aplicaciones han dejado de ofrecer a sus usuarios la posibilidad de autenticarse de esta manera en un intento de proteger su privacidad o de no regalar a otras empresas datos tan valiosos.
Cada vez somos más los usuarios preocupados por proponer soluciones que permitan trabajar con este tipo de proveedores de manera más respetuosa con la privacidad. El primer paso es exigir ese respeto, así los proveedores de identidades irán incorporando la privacidad desde el diseño utilizando cifrado, desvinculación y ofreciendo una mayor transparencia.