Cada vez es más habitual que sitios web o aplicaciones nos ofrezcan la posibilidad de iniciar sesión a través de terceros, habitualmente cuentas de grandes tecnológicas o de las redes sociales como Google, Facebook o Amazon.

Se trata de un tipo de Inicio de Sesión Único, SSO por sus siglas en inglés (Single Sign-On), e implica que una organización delega el proceso de autenticación a un proveedor de identidades (IDP), que será el que autentique al usuario y devuelva el control al servicio solicitado.

El estándar más utilizado para realizar este proceso de inicio de sesión a través de terceros es OAuth 2.0 (Open Authorisation 2.0), que permite que un sitio web o una aplicación acceda a recursos alojados por otras aplicaciones web en nombre de un usuario, proporcionando acceso consentido y restringiendo las acciones que el cliente puede realizar en los recursos en nombre del usuario.

Es decir, OAuth 2.0 es un protocolo de autorización y no un protocolo de autenticación y, por lo tanto, el proceso de inicio de sesión se realiza sin que en ningún momento se compartan las credenciales del usuario, aunque sí determinados datos personales como puede ser el nombre, apellidos, fecha de nacimiento o teléfono de contacto.

De esta manera, cada vez que queramos acceder al sitio o aplicación, seremos redirigidos a la página de autenticación de ese tercero, que será el encargado de comprobar las credenciales y, en el caso de que sean correctas, devolver un token de autorización, que facilitará el acceso al servicio solicitado.

Ventaja de los servicios de autenticación federada

Sin duda, se trata de un sistema de autenticación diseñado para hacerle la vida más cómoda a los usuarios, y que tiene indudables ventajas:

• Nos ahorramos el tedioso proceso de registro.
• No tendremos que recordar una nueva contraseña.
• No corremos el riesgo de que nuestras credenciales puedan verse afectadas por una brecha de seguridad en el servicio al que accedemos, puesto que no la guardan en sus servidores.

Riesgos de los servicios de autenticación federada

Pero no todo son ventajas, y sí que encontramos numerosos riesgos que pueden hacer poco aconsejable el uso de estos sistemas de autenticación, al menos si no tomamos las medidas de seguridad y de protección de nuestros datos personales adecuadas.

• Cuando vinculamos nuestro acceso a Google, Microsoft, Facebook o LinkedIn con otro servicio, estamos autorizando a que estas empresas compartan la información que poseen sobre nosotros con otras compañías. ¿Somos realmente conscientes de toda la información que estamos consintiendo que ambas empresas compartan? Seguramente no, y es más, es posible que se dé el caso de que estemos compartiendo más información de la que hubiéramos tenido que proporcionar en caso de realizar el proceso de registro.
• Es posible que la información que la empresa obtiene de nosotros se utilice para finalidades distintas a las consentidas inicialmente.
• Al mismo tiempo, damos información a la empresa que utilizamos para realizar la autenticación sobre las aplicaciones que utilizamos y el uso que les damos, lo que les permite mejorar el perfil que tienen sobre nosotros.
• En el caso de que el servicio al que queremos acceder se vea afectado por una brecha de seguridad, no se verán comprometidas nuestras credenciales de acceso, pero no debemos olvidar que sí que se revelaría información personal sensible.
• Si la que sufre una brecha de seguridad es la empresa con la que nos autenticamos, perderemos también el control sobre del resto de servicios en los que nos hemos registrado con esa cuenta.
• Habitualmente las empresas como Facebook, Google, Microsoft o Apple permiten comprobar todas las conexiones con terceros y revocar el acceso, lo que no significa que también se esté revocando el permiso de esos sitios web para utilizar nuestros datos.

Recomendaciones para el uso seguro de la autenticación federada

Para hacer un uso de estos servicios, la Agencia Española de Protección de Datos ofrece las siguientes recomendaciones:

• Antes de iniciar sesión con la cuenta de un tercero, recomienda recabar toda la información posible sobre el servicio al que se quiere acceder, los datos a los que tendrá acceso y el uso que se va a hacer de ella.
• Si se trata de una aplicación de la que no tenemos suficiente información y solo se va a hacer un uso puntual de ella, es mejor crear una cuenta nueva o, en todo caso, utilizar cuentas creadas específicamente para este fin.
• No guardar contraseñas en el navegador ni reutilizarlas en diferentes servicios. La mejor alternativa es utilizar gestores de contraseñas fiables para generar contraseñas robustas y poder acceder a ellas cuando se necesiten y tenerlas almacenada de forma segura.
• Utilizar solo servicios SSO que ofrezcan las mejores garantías sobre los datos personales que compartirán con otras aplicaciones y medidas de seguridad adecuadas, como un segundo factor de autenticación.
• Gestionar adecuadamente los permisos de acceso a los datos personales que se concede a la aplicación que se utiliza para realizar la autenticación.
• Revisar periódicamente las aplicaciones en las que se permite que se inicie sesión, eliminado o revocando el permiso para aquellas que ya no se utilicen y gestionar los datos personales a los que puede acceder cada aplicación.

Además, puede ser conveniente utilizar en esos sitios web o aplicaciones servicios de pago como PayPal o una tarjeta de crédito, con el fin de evitar posibles filtraciones de datos bancarios.