Cuando se combinan con otras medidas de seguridad y privacidad, los inicios de sesión sociales pueden ahorrar mucho tiempo
Es común encontrar, a la hora de navegar en algunos sitios o aplicaciones la opción de “Continuar con…” seguido de Google, Facebook, Linkedin, etcétera y aunque esto es bastante cómodo puede que no estemos considerando los contras de está acción.
A esto se le llama SSO, y de acuerdo con Eset, se trata de un esquema de autenticación que permite a una organización obtener acceso consentido a la información personal de un usuario al tiempo que permite el registro e inicio de sesión en los servicios, en lugar de exigir un registro a través de un formulario independiente.
Eset explicó que, por ejemplo, cuando se vincula un acceso a Google con otro servicio se está autorizando a Google a compartir la información personal a cambio de facilidad de acceso y comodidad.
No obstante, advirtió, las consecuencias de esto son:
Todos los huevos están en la misma cesta: si las credenciales de Facebook o Google caen en las manos equivocadas, los ciberdelincuentes no solo tendrían acceso a esa cuenta, sino también a todos los sitios web a los que se la hayas vinculado.
Si por alguna razón no se utiliza un gestor de contraseñas que ayude con la elaboración, es útil elegir una frase de contraseña en un formato que permita añadirle el nombre del sitio web, pero sin que toda la cadena sea demasiado predecible.
Cuestiones de privacidad. cuando se vinculan cuentas, se está permitiendo que la información personal se transmita al sitio web y, debido a lo fácil que es configurarlo, se podría estar consintiendo la transferencia de más información de la que se espera. Si bien Facebook, Google, Microsoft o Apple permiten comprobar todas las conexiones con terceros, revocar el acceso no significa que también se esté revocando el consentimiento de un sitio web para utilizar los datos
Atracción y captación de usuarios (y las implicaciones para la huella digital): Al registrarse en aplicaciones o sitios web que no se utilizan de manera frecuente es fácil olvidar su existencia o ingreso. Para evitarlo, desde Eset, aconsejan llevar un registro de todos los sitios web en los que se ingresa y de la información personal que se guarda allí; por ejemplo, la información de la tarjeta de crédito puede estar almacenada en un sitio web que se hayas utilizado una vez. Aunque esto puede ocurrir independientemente de cómo se inicie sesión, la naturaleza sin fricciones del método “exprés” hace más fácil el olvidarse de todas esas aplicaciones o sitios web en los que alguna vez se inició sesión con la cuenta de Google o Facebook
“Cuando se combinan con otras medidas de seguridad y privacidad, los inicios de sesión sociales pueden ahorrar mucho tiempo. Pero en el caso de los sitios web que guardan tu información personal, como tu nombre completo, dirección, datos bancarios o números de tarjeta de crédito, es más seguro optar por una cuenta independiente protegida por una frase de contraseña compleja y única, junto con la autenticación de dos factores (2FA).”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Eset Latinoamérica.
Para evitar ser víctima de algún ataque, la firma recomendó el uso de SSO solo si:
Se habilita la autenticación de doble factor (2FA) en la cuenta principal, ya que así será más difícil que alguien se haga pasar por ti en Internet
Se confia en la plataforma que se utiliza para acceder al otro sitio web; no obstante, la confianza es algo voluble y se deben tomar otras precauciones
Se utilizan servicios de pago como PayPal o una tarjeta de crédito virtual como opciones de pago para cualquier sitio web al que se haya accedido utilizando SSO; esto ayudará a evitar que se filtren los datos bancarios
Se realiza un seguimiento de todos los sitios web a los que se la ha vinculado
Existen otras formas de acceder a las cuentas online y mantenerlas seguras, además de los inicios de sesión sociales. Una opción, según Eset, es crear una cuenta independiente para cada servicio y utilizar un gestor de contraseñas que evita crear, gestionar y rellenar automáticamente las credenciales de inicio de sesión. Otra opción, es usar una dirección de correo electrónico desechable, sobre todo para sitios web que no son de gran interés o que no se piensa volver a utilizar. Además, algunos gobiernos han creado una identificación única de ciudadano que da a la gente acceso en línea a servicios ofrecidos por algunas organizaciones públicas y privadas.
“Sea cual sea el método que elijas, podrás disfrutar de tu presencia en Internet sin demasiados problemas (o prisas) siempre que sigas las prácticas generales de ciberhigiene, como evitar revelar tus credenciales, activar el 2FA y ser consciente de toda tu huella digital.”, concluyó Gutiérrez.
