Según diversos estudios sobre redes sociales en España, el 75 por ciento de las empresas españolas piensan in­cre­me­n­tar su uso de las redes sociales y entre el 20 y el 40 por ciento utiliza so­lu­cio­nes basadas en la nube. Esto obliga a los empleados de una empresa a recordar una gran cantidad de co­n­tra­se­ñas, además de las que ya memorizan para sus cuentas privadas de correo ele­c­tró­ni­co y redes sociales.

Por eso, no es de extrañar que el usuario habitual de Internet acabe pa­de­cie­n­do la fatiga de la co­n­tra­se­ña (en inglés, password fatigue), un síndrome crónico que se ma­ni­fie­s­ta cuando la persona empieza a utilizar se­cue­n­cias numéricas simples como “12345” o a anotar co­n­tra­se­ñas im­po­r­ta­n­tes en notas de post-it y pegarlas en la pantalla del ordenador. A largo plazo, esta situación no solo afecta la pro­du­c­ti­vi­dad, sino que también hace peligrar la seguridad de los datos. El remedio al problema es el single sign on (o SSO). Descubre qué significa exac­ta­me­n­te este término y en qué medida es segura esta extendida forma de au­te­n­ti­ca­ción.

¿Qué es SSO?

En el ámbito de las TI, el single sign on, también llamado “inicio de sesión único”, consiste en un proceso de au­te­n­ti­ca­ción que, por lo general, consta siempre de los mismos pasos:

  1. El usuario inicia sesión una vez en el di­s­po­si­ti­vo.
  2. Au­to­má­ti­ca­me­n­te, puede acceder a todos los or­de­na­do­res y servicios (incluida la nube) para los cuales haya obtenido au­to­ri­za­ción local, siempre y cuando siga uti­li­za­n­do el mismo di­s­po­si­ti­vo.
  3. En cuanto el usuario cierra la sesión en el di­s­po­si­ti­vo, se cancelan todos los derechos de acceso. Esto puede ocurrir al final de un plazo de tiempo pro­gra­ma­do, si el usuario apaga el equipo o si ejecuta ma­nua­l­me­n­te el single sign out o single sign off.

Por lo tanto, el SSO es una manera de acceder a múltiples apli­ca­cio­nes in­ter­re­la­cio­na­das, aunque in­de­pe­n­die­n­tes, con las que el usuario solo tiene que iniciar sesión una única vez en lugar de in­tro­du­cir los datos de acceso in­di­vi­dua­les de cada software. Debido a su facilidad de uso, los servicios de single sign on se utilizan tanto en el ámbito privado (apli­ca­cio­nes web y nubes privadas) como en el pro­fe­sio­nal (apli­ca­cio­nes internas de empresa y portales en Intranet).

¿Cómo funciona el single sign on?

Cuando un usuario desea iniciar sesión en varios servicios y apli­ca­cio­nes de Internet en un momento dado, no­r­ma­l­me­n­te debe in­tro­du­cir los datos de acceso para cada uno de ellos por separado. En cambio, si se ha re­gi­s­tra­do en un servicio de single sign on, un software as­ce­n­de­n­te se hace cargo de esta tarea. Este programa tiene guardados todos los datos de acceso del usuario y verifica su identidad para que acceda a los demás servicios sin su in­te­r­ve­n­ción y de manera to­ta­l­me­n­te au­to­má­ti­ca. Para ello, utiliza una identidad única y global del usuario (similar a una cre­de­n­cial VIP), conocida por todas las apli­ca­cio­nes im­pli­ca­das y en la que estas confían gracias a la repu­tación del servicio SSO.

Para que el proceso de single sign on se ejecute sin problemas, se utilizan varios sistemas de au­te­n­ti­ca­ción y au­to­ri­za­ción:

OpenID

OpenID es un estándar abierto de au­te­n­ti­ca­ción utilizado por más de mil millones de cuentas, incluidas las de Google, WordPress y PayPal. La última versión del sistema se llama OpenID Connect (OIDC) y es una co­m­bi­na­ción de OpenID y OAuth 2. Para uti­li­zar­lo en un proceso de single sign on, el usuario necesita una cuenta de OpenID, que le pro­po­r­cio­na el llamado proveedor de identidad de OpenID (por ejemplo, Google). Con esta cuenta (o la dirección URL asociada), el usuario inicia sesión en todos los sitios web que también son co­m­pa­ti­bles con el OpenID. Durante el proceso, el proveedor de identidad de confianza transmite un token al sitio web co­rre­s­po­n­die­n­te que sirve para probar la identidad del usuario.

En sentido figurado, se podría comparar el SSO mediante OpenID con un viaje en el que hay que cruzar una frontera: el viajero (usuario) utiliza un pasaporte que le da un gobierno (el proveedor de identidad) y que el país de destino (el sitio web) considera fiable. De esta manera, el pasaporte sirve para verificar la identidad del viajero. Un buen ejemplo de este sistema es el botón de “Iniciar sesión con Facebook” que aparece en muchos sitios web.

Imagen: Botón de “Iniciar sesión con Facebook” en la página de inicio de Instagram
La opción de “Iniciar sesión con Facebook” se encuentra en muchos sitios web y facilita el registro y el inicio de sesión en di­fe­re­n­tes servicios

OAuth2

A di­fe­re­n­cia de OpenID, OAuth2 es más un estándar de au­to­ri­za­ción que de au­te­n­ti­ca­ción. La principal di­fe­re­n­cia es que, en lugar de au­te­n­ti­car­se él mismo en las páginas web, el usuario delega esta acción al de­no­mi­na­do cliente, que inicia sesión en las páginas con un token pro­po­r­cio­na­do por el proveedor de identidad. La ventaja es que el usuario no tiene que enviar sus datos al sitio web co­rre­s­po­n­die­n­te.

Una buena metáfora para este sistema podría ser la de “cuidar la casa”: el pro­pie­ta­rio de una casa (el usuario) le da la llave a un amigo (el cliente) y lo autoriza para entrar en la casa (el sitio web). Por ejemplo, puedes utilizar OAuth2 para importar los amigos de tu cuenta de Facebook a otro servicio sin compartir con él los datos de Facebook.

Hecho

Como son tan parecidos, los términos in­fo­r­má­ti­cos “au­te­n­ti­ca­ción” y “au­to­ri­za­ción” a menudo se confunden o se utilizan equi­vo­ca­da­me­n­te como sinónimos. La au­te­n­ti­ca­ción consiste en que un servicio ide­n­ti­fi­que a un usuario mediante sus datos de acceso. La au­to­ri­za­ción, en cambio, significa que el usuario ha otorgado a un servicio el derecho de utilizar cierta in­fo­r­ma­ción y funciones de su perfil.

SAML

SAML es el más antiguo de los tres sistemas me­n­cio­na­dos y se trata de un estándar abierto que se utiliza tanto para la au­te­n­ti­ca­ción como para la au­to­ri­za­ción en los procesos de SSO. De nuevo, se compone de tres partes pri­n­ci­pa­les: el usuario (llamado “principal”), el sitio web (llamado “proveedor de servicios”) y el proveedor de identidad que realiza la ve­ri­fi­ca­ción. El proceso es muy similar al del OpenID, por lo que aquí también podría aplicarse la metáfora del pasaporte.

En todo caso, con el sistema SAML, el propio sitio web realiza una solicitud de ide­n­ti­fi­ca­ción, que se envía en forma de mensaje XML al proveedor de identidad y que pro­po­r­cio­na in­fo­r­ma­ción sobre los datos re­que­ri­dos. El proveedor de identidad responde con la llamada “assertion”, que contiene la in­fo­r­ma­ción de au­te­n­ti­ca­ción y au­to­ri­za­ción so­li­ci­ta­da, así como algunos atributos es­pe­cí­fi­cos como las di­re­c­cio­nes de correo ele­c­tró­ni­co y los números de teléfono del usuario. Por lo tanto, SAML también puede co­m­pa­rar­se con un viaje en el que se presentan los do­cu­me­n­tos de identidad emitidos por el gobierno a petición del país de destino.

Posibles so­lu­cio­nes para el single sign on

En la práctica, en el ámbito in­fo­r­má­ti­co hay bá­si­ca­me­n­te tres posibles so­lu­cio­nes para llevar a cabo procesos de SSO:

Solución de portal

Como su nombre indica, con esta solución de SSO, el usuario inicia sesión en un portal, es decir, un sistema que integra varias apli­ca­cio­nes, procesos y servicios. Si la au­te­n­ti­ca­ción se lleva a cabo con éxito, el usuario obtiene un código de ide­n­ti­fi­ca­ción general (algo parecido a una cookie), con el que puede acceder a todas las funciones in­te­gra­das en el portal. Las cuentas de Google son un buen ejemplo de esta solución: una vez que el usuario se registra e inicia sesión, obtiene acceso inmediato al resto de servicios del gigante in­fo­r­má­ti­co, como Play Store o Gmail.

Sistema de tickets

También el nombre del sistema de tickets habla por sí solo: el pla­n­tea­mie­n­to que propone esta solución SSO es una red compuesta por servicios que se reconocen entre sí. Si el usuario inicia sesión en uno de ellos, se le asignará un ticket virtual con el que podrá ide­n­ti­fi­car­se en todas las demás apli­ca­cio­nes que formen parte de ese “círculo de confianza”. Como ejemplo, podemos mencionar el servicio de au­te­n­ti­ca­ción Kerberos o el proyecto Liberty Alliance.

Solución local

En el caso de las so­lu­cio­nes locales de single sign on, por lo general, el llamado cliente SSO se instala en el ordenador que se utiliza re­gu­la­r­me­n­te. Este se configura para que obtenga los datos de acceso de todas las apli­ca­cio­nes y servicios re­que­ri­dos, por ejemplo, de un archivo local en­cri­p­ta­do en el disco duro, un servidor de red local o una base de datos, y los in­tro­du­z­ca au­to­má­ti­ca­me­n­te en la interfaz de inicio de sesión abierta en ese momento. Son clientes SSO de este tipo los servicios de co­n­tra­se­ña de na­ve­ga­do­res como Safari o Chrome. Un método pa­r­ti­cu­la­r­me­n­te seguro es el uso de un token físico para almacenar los datos de acceso, como podría ser un lápiz de memoria USB o una tarjeta in­te­li­ge­n­te.

Imagen: Esquema de las soluciones single sign on
En lugar de iniciar sesión para cada apli­ca­ción y servicio por separado, los sistemas SSO se hacen cargo de esta tarea después de una única au­te­n­ti­ca­ción.

¿Qué ventajas y de­s­ve­n­ta­jas tiene el single sign on?

Con el SSO, se puede acceder a múltiples servicios y apli­ca­cio­nes sin tener que iniciar sesión en cada uno de ellos.

Ventajas del SSO

Para el usuario, ante todo, supone no tener que recordar múltiples co­n­tra­se­ñas. Como se libera to­ta­l­me­n­te de la re­s­po­n­sa­bi­li­dad de ge­s­tio­nar­las, el método de single sign on puede co­n­si­de­rar­se una al­te­r­na­ti­va a los ad­mi­ni­s­tra­do­res de co­n­tra­se­ñas. Debido a la comodidad y al ahorro de tiempo que comporta, esta opción suele tener cada vez más ace­p­ta­ción en el ámbito privado y pro­fe­sio­nal.

La mayoría de las veces, las empresas suelen im­ple­me­n­tar un sistema SSO en los lugares de trabajo con la esperanza de aumentar la pro­du­c­ti­vi­dad de sus empleados y reducir las consultas técnicas por olvido de las co­n­tra­se­ñas. De esta manera, se reduce la carga de trabajo y los costes de los de­pa­r­ta­me­n­tos de in­fo­r­má­ti­ca. Al mismo tiempo, se facilita a los pro­fe­sio­na­les la tarea de crear cuentas para los nuevos empleados o de eliminar las de los antiguos.

También se dice que estos métodos conllevan grandes ventajas para la seguridad de los datos internos de las empresas: si los empleados solo tienen que utilizar una co­n­tra­se­ña, se evitan los errores típicos de marcación de co­n­tra­se­ñas que a menudo co­n­tri­bu­yen al éxito de los ataques ci­be­r­né­ti­cos, de modo que puede co­m­pli­car­se mucho acceder ilí­ci­ta­me­n­te a la in­fo­r­ma­ción. Además, debido a que los datos de acceso solo se in­tro­du­cen en una única interfaz, se reduce la vu­l­ne­ra­bi­li­dad frente a los ataques de tipo phishing y man-in-the-browser. De esta manera, la empresa puede pe­r­mi­ti­r­se co­n­ce­n­trar en un solo punto todos sus esfuerzos para mantener la seguridad –por ejemplo, los ce­r­ti­fi­ca­dos SSL.

De­s­ve­n­ta­jas del SSO

Por el otro lado, el single sign on presenta ciertos costes de im­ple­me­n­ta­ción y algunas carencias irre­me­dia­bles: bá­si­ca­me­n­te, solo se puede utilizar con aquellos servicios que son co­m­pa­ti­bles con el sistema SSO co­rre­s­po­n­die­n­te. Asimismo, si el sistema SSO falla, resulta imposible acceder a las apli­ca­cio­nes vi­n­cu­la­das. Este es el caso, por ejemplo, de las cuentas de redes sociales que se han agregado al sistema pero que son blo­quea­das por la propia red, como en bi­blio­te­cas e in­s­ti­tu­cio­nes edu­ca­ti­vas, en ciertos lugares de trabajo por motivos de pro­du­c­ción o en los países donde existe censura (por ejemplo, la República Popular de China).

Además, hay que ser precavido con la seguridad que tanto pro­mo­cio­na el single sign on: por ejemplo, si el usuario abandona su lugar de trabajo, otra persona puede, en teoría, seguir ac­ce­die­n­do a las apli­ca­cio­nes abiertas hasta que se cierren con el single sign out au­to­má­ti­co. También puede haber problemas si la “co­n­tra­se­ña maestra” para la interfaz de SSO cae en malas manos, porque el atacante gozará de acceso inmediato a todos los servicios asociados. Ten en cuenta que incluso los mejores SSO, a pesar de su repu­tación, no son inmunes al phishing.

También está dando bastantes que­bra­de­ros de cabeza el ahora vigente RGPD, que regula los re­qui­si­tos de pro­te­c­ción de datos pe­r­so­na­les en toda Europa desde el 25 de mayo de 2018. En todos los casos, es necesario obtener el co­n­se­n­ti­mie­n­to explícito de los usuarios para poder im­ple­me­n­tar el single sign on de acuerdo con la normativa. En este sentido, la situación jurídica ya era pro­ble­má­ti­ca con la antigua Ley Orgánica de Pro­te­c­ción de Datos (LOPD). Por el momento, uno de los problemas sigue siendo la re­co­pi­la­ción masiva de datos por parte de empresas de Internet como Google y Facebook, que puede ocasionar au­té­n­ti­cas ca­tá­s­tro­fes si se producen fi­l­tra­cio­nes de in­fo­r­ma­ción, tanto en términos de pri­va­ci­dad de los usuarios como de datos internos de las empresas.

En vista de estos riesgos evidentes, hay que prestar especial atención a la seguridad de los datos al­ma­ce­na­dos del lado del servidor. En el mejor de los casos, la seguridad de los pro­ce­di­mie­n­tos de single sign on debería re­fo­r­zar­se con medios efectivos de au­te­n­ti­ca­ción de dos factores. Estos incluyen, por ejemplo, tarjetas in­te­li­ge­n­tes o tokens que puedan generar un TAN.

Estudio de caso: Facebook vs. Verimi

El caso de Facebook sirve para ilustrar las ventajas y de­s­ve­n­ta­jas del single sign on. La pla­ta­fo­r­ma de esta red social permite al usuario re­gi­s­trar­se e iniciar sesión en otros sitios web uti­li­za­n­do la cuenta de Facebook. Para ello, el llamado plugin social se integra en la forma de un botón de “Iniciar sesión con Facebook” en la página de registro o inicio de sesión co­rre­s­po­n­die­n­te. Para el usuario, esto resulta muy cómodo, pero también tiene la de­s­ve­n­ta­ja de que Facebook recopila más datos pe­r­so­na­les cuantos más servicios y apli­ca­cio­nes se conecten de esta manera con la cuenta de la red social. Un solo ataque ci­be­r­né­ti­co sería su­fi­cie­n­te para obtener acceso a todos los datos.

Facebook también se toma la libertad de ceder a los servicios in­vo­lu­cra­dos dichos datos, que en realidad estaban de­s­ti­na­dos ex­clu­si­va­me­n­te a la pla­ta­fo­r­ma de la red social. Esto incluye datos públicos como el nombre y la imagen de perfil, pero también privados como la edad, el lugar de re­si­de­n­cia o la situación se­n­ti­me­n­tal de la persona. Aunque Facebook comunica de forma bastante tra­n­s­pa­re­n­te los datos que cede a algunos servicios para que los usuarios puedan uti­li­zar­los, a menudo no deja más remedio que aceptarlo. A la inversa, Facebook también recibe datos de los servicios asociados, lo que permite a la pla­ta­fo­r­ma co­m­ple­me­n­tar los perfiles de usuario y, por lo tanto, dirigir y pe­r­so­na­li­zar la pu­bli­ci­dad todavía más.

Lo que hemos comentado de Facebook también puede aplicarse, hasta cierto punto, a otros pro­vee­do­res de servicios online como Google o Amazon. Este problema llevó a varias empresas alemanas (incluidas Allianz, Deutsche Bank, Telekom y Axel Springer) a unir sus fuerzas y lanzar un producto rival al mercado europeo en abril de 2018: Verimi. Este nuevo proveedor de identidad de SSO ofrecería un mayor nivel de pro­te­c­ción y tra­n­s­pa­re­n­cia en cuanto al uso de los datos y podría, por lo tanto, uti­li­zar­se a largo plazo en el sector bancario y ad­mi­ni­s­tra­ti­vo. Se basa en el Re­gla­me­n­to General de Pro­te­c­ción de Datos y en el al­ma­ce­na­mie­n­to cifrado de datos pe­r­so­na­les en centros de datos ex­clu­si­va­me­n­te europeos. La medida en que este proyecto pre­va­le­z­ca en el futuro dependerá de cuántos co­la­bo­ra­do­res decidan in­te­grar­lo en sus sitios web y apli­ca­cio­nes.

En resumen: SSO ¿sí o no?

Si buscas in­fo­r­ma­ción sobre el single sign on en Internet, verás que este cómodo sistema de au­te­n­ti­ca­ción múltiple ha recibido re­la­ti­va­me­n­te pocas críticas. Al contrario, durante años, este método ha supuesto una auténtica re­ve­la­ción para el entorno de trabajo digital en términos de comodidad y seguridad de datos. En este sentido, Bitglass, el agente de seguridad es­ta­dou­ni­de­n­se para el acceso a la nube (CASB, por sus siglas en inglés, celebra el uso de los servicios en la nube por parte de cada vez más empresas de todo el mundo y, al mismo tiempo, lamenta el uso co­m­pa­ra­ti­va­me­n­te bajo de los procesos de single-sign on. En su opinión, el hecho de utilizar so­lu­cio­nes de acceso a servicios y apli­ca­cio­nes que compiten unas con otras in­vo­lu­n­ta­ria­me­n­te no permite apro­ve­char todo el potencial de la di­gi­ta­li­za­ción.

No obstante, la otra cara de la moneda también es bien conocida. Hace poco, el famoso proveedor de identidad de Facebook se ganó una dudosa repu­tación debido al robo de datos de Cambridge Analytica. En abril de 2018, se demostró que el pro­ce­di­mie­n­to interno de “Iniciar sesión con Facebook” era vu­l­ne­ra­ble frente a los ataques de tipo phishing y man-in-the-browser, lo que volvió a poner de relieve el mayor riesgo del SSO: una interfaz de inicio de sesión único también implica que solo sea necesario un único ataque ci­be­r­né­ti­co para provocar daños si­g­ni­fi­ca­ti­vos. Los in­ve­s­ti­ga­do­res de la Uni­ve­r­si­dad de Princeton están pidiendo a los ope­ra­do­res de esta red social que informen mejor a sus usuarios sobre los riesgos del single sign on.

Ir al menú principal