16.9 C
Buenos Aires
InicioTecnologíaIniciar sesión a través de Google, Facebook y otros servicios: es seguro?

Iniciar sesión a través de Google, Facebook y otros servicios: es seguro?

El mundo de las contraseñas es complejo. Cuanto más fáciles de recordar son, más inseguras. Y cuanto más seguras, más difícil recordarlas. Más allá de que existen reglas para pensar combinaciones seguras, y que hay gestores de contraseñas, una opción que ofrecen muchas páginas web y aplicaciones es usar Google, Facebook y otras redes sociales para iniciar sesión.

La fórmula es simple: “Continuar con Google”, con Apple, con Instagram, Facebook u otras aplicaciones de terceros, es un sistema de autenticación que usa los datos que ya tenemos cargados en el sistema para ahorrarnos crear una cuenta desde cero. Pero, ¿cuán seguro es este sistema? ¿Quién se hace cargo de los datos personales bajo este esquema? ¿Hay que tener alguna medida de seguridad extra?

“El SSO (Single Sign-On) es un esquema de autenticación que permite que un usuario pueda acceder a múltiples sistemas (o aplicaciones) luego de pasar una única instancia de autenticación”, explica a Clarín Federico Pacheco, manager de I+D+i en BASE4 Security, una empresa argentina de ciberseguridad.

“Hay que tener en cuenta que loguearse con Google no está considerado estrictamente un tipo de SSO, sino que es un método de provisión de identidad. Tradicionalmente se habla de SSO cuando una organización administra todas las aplicaciones a las que permite acceso el SSO, además del SSO en sí”, aclara.

Hecha esta aclaración, es válido preguntarse por este tipo de logueo, que es tan común entre los usuarios para ahorrar tiempo.

Las ventajas del logueo a través de terceros

Google login / app viajes. Foto: ShutterstockGoogle login / app viajes. Foto: Shutterstock“El Inicio de Sesión Único (SSO) es un esquema de autenticación que permite a una organización obtener acceso consentido a la información personal de un usuario al tiempo que permite el registro e inicio de sesión en los servicios, en lugar de exigir un registro a través de un formulario independiente”, explican desde ESET.

Presenta ciertas ventajas, según explican:

Facilidad de registro y acceso: En lugar de tener que rellenar otro formulario con nombre, apellidos, número de teléfono o dirección de correo electrónico, solo es necesario hacer clic en la opción SSO preferida y compartir esos datos (y posiblemente también otros) con la nueva aplicación o sitio web. Lo que ESET destaca es que que «la contraseña nunca se comparte con el sitio web, sino que la identidad se verifica mediante un token de autenticación».Atracción y captación de usuarios: Los servicios en línea entienden que cuanto más fácil resulte registrarse e iniciar sesión, más probable es que se avance y se vuelva a ingresar.Se acabó el cansancio de las contraseñas: Los sitios web tienen diferentes requisitos de contraseña; además, se debe utilizar una combinación única de nombre de usuario y contraseña cada vez. Esta implementación establece una contraseña segura y con una sola de las grandes plataformas de Internet se puede dar acceso a cientos de otros sitios web, reduciendo el número de contraseñas que se necesitan crear y memorizar.Mejor prevención de los compromisos de cuentas autoinfligidos (en algunos casos): Tener que recordar únicamente la contraseña de una cuenta de Google, por ejemplo, y proteger la cuenta adecuadamente puede reducir la necesidad de generar, y luego depender, de una extensa lista de contraseñas mal protegida.

Posibles riesgos

El otro lado: los peligros. Foto ArchivoEl otro lado: los peligros. Foto ArchivoAhora bien, la compañía advierte que, a pesar de la comodidad (o precisamente por ella), esto también representa ciertos problemas:

Todos los huevos están en la misma canasta: Si las credenciales de Facebook o Google caen en las manos equivocadas, los ciberdelincuentes no solo tendrían acceso a esa cuenta, sino también a todos los sitios web a los que se la hayas vinculado.Proteger la cuenta principal “como si tu vida dependiera de ello”: Una contraseña segura -quizá en forma de frase que mezcle mayúsculas, minúsculas y números- puede ser clave para proteger las cuentas y datos personales. Si por alguna razón no se utiliza un gestor de contraseñas que ayude con la elaboración, es útil elegir una frase de contraseña en un formato que permita añadirle el nombre del sitio web, pero sin que toda la cadena sea demasiado predecible.Cuestiones de privacidad: Cuando se vinculan cuentas, se está permitiendo que la información personal se transmita al sitio web y, debido a lo fácil que es configurarlo, se podría estar consintiendo la transferencia de más información de la que se espera. Si bien Facebook, Google, Microsoft o Apple permiten comprobar todas las conexiones con terceros, revocar el acceso no significa que también se esté revocando el consentimiento de un sitio web para utilizar los datos. Además, si después de “eliminar conexiones” se vuelve a entrar en el mismo sitio web y se utiliza el login social, se permite el ingreso igual que antes, como si nunca se hubiera revocado el acceso.

La seguridad: ¿quién se hace cargo?

Securizar cuentas online: medidas para proteger identidades. Foto ShutterstockSecurizar cuentas online: medidas para proteger identidades. Foto ShutterstockPor último, vale preguntarse entonces si es conveniente usar este método de logueo o no, pero antes hay que entender quién maneja la autorización de la identidad. “En ese caso la seguridad de la autenticación y la gestión de credenciales son manejadas por el llamado «proveedor de identidad» (en este caso, Google). El sitio web del tercero no tiene acceso a las credenciales ni al proceso de autenticación”, explica Pacheco.

“Si hablamos de provisión de identidad con proveedores de confianza, sí, es recomendable usar este método. El uso de estos sistemas tiene ventajas como la simplificación del proceso de alta en un servicio sin tener que crear un usuario explícitamente, con su correspondiente usuario y contraseña. Otra ventaja es la posibilidad de uso de medidas de seguridad avanzadas (como 2FA, passkeys, etc.) que están integradas en estos proveedores, y pueden no estarlo en otros servicios”, explica.

Las passkeys son un método más seguro y cómodo de iniciar sesión que, de hecho, algunas empresas como Google ya sugieren adoptar por defecto.

“Además, es más fácil tener control y visibilidad sobre las aplicaciones y sitios web a los que se otorgó acceso. Para usarlos de forma segura, es fundamental utilizar contraseñas robustas en la cuenta principal, y reforzar las configuraciones con otros factores de autenticación. Además, se debe seguir la buena práctica de revisar permisos con regularidad, y revocarlos si se dejaron de usar las cuentas”, sigue Pacheco.

“Como medida adicional, conviene activar la autenticación con códigos de un solo uso (OTP) cuando sea posible, para que se solicite ante cambios de navegador, ubicación, y otros cambios”, cierra.

Por último, nunca hay que olvidar que, se elija el método que se elija, sea con Google, Facebook o una cuenta creada específicamente para un servicio, siempre hay que tener activado un segundo factor de autenticación para evitar el compromiso de cuentas. La seguridad, a fin de cuentas, es contextual respecto de la situación y el usuario que esté en juego.

Más noticias
Noticias Relacionadas