Inicio de sesión social - Accede con Google, Apple y más

Lectura de 2 min aprox.

El inicio de sesión social es un mecanismo que permite acceder a servicios externos usando una cuenta de redes sociales como Google, Apple o Facebook. Los usuarios no necesitan crear una nueva contraseña y pueden empezar a usar un servicio fácilmente con la información de su cuenta existente. Técnicamente se basa en los protocolos OAuth 2.0 y OpenID Connect (OIDC), y su gran característica es que la autenticación se completa sin confiar una contraseña al servicio.

Cómo funcionan OAuth 2.0 / OpenID Connect

Detrás del inicio de sesión social funciona el flujo de código de autorización (Authorization Code Flow) de OAuth 2.0. Cuando un usuario pulsa el botón «Iniciar sesión con Google», primero es redirigido a la pantalla de autenticación de Google y, una vez que el usuario concede el permiso, se devuelve un código de autorización al servicio. Con ese código de autorización, el servicio obtiene de Google un token de acceso y un token de ID, y recibe la información de identificación del usuario (dirección de correo electrónico, nombre, etc.). Lo importante es que el servicio nunca toca la contraseña del usuario. Como la verificación de la contraseña se completa por completo del lado de Google, no existe riesgo de que la contraseña se filtre aunque la base de datos del servicio sea vulnerada.

Diferencias entre el inicio de sesión de Google, Apple y Facebook

Aun dentro del mismo inicio de sesión social, los proveedores difieren mucho en su postura sobre la privacidad. «Sign in with Apple» de Apple ofrece una función de retransmisión que oculta la dirección de correo electrónico del usuario, por lo que al servicio solo se le entrega una dirección aleatoria. El inicio de sesión de Google comparte la dirección de correo electrónico y la información del perfil, pero el usuario puede controlar con detalle el alcance (el rango de lo que se comparte). El inicio de sesión de Facebook ha tendido históricamente a exigir un amplio acceso a los datos, y en el incidente de Cambridge Analytica de 2018 se descubrió que los datos de decenas de millones de personas se habían recopilado de forma ilícita a través del inicio de sesión social. La elección del proveedor debe hacerse con cuidado, no solo por comodidad, sino también desde el punto de vista de la protección de la privacidad.

El equilibrio entre comodidad y riesgo

El mayor beneficio del inicio de sesión social es el alivio de la fatiga de contraseñas. Se dice que el usuario promedio tiene más de 100 cuentas en línea y, a menos que use un gestor de contraseñas, reutilizar contraseñas se convierte en la norma. El inicio de sesión social mitiga este problema, pero genera otro riesgo. Lo que más se suele pasar por alto es la concesión excesiva de permisos. Al iniciar sesión pueden pedirte permisos innecesarios como «acceso a los contactos» o «ver tus publicaciones», y concederlos a la ligera hace que tu información personal se comparta de forma amplia. Consulta también el artículo que explica en detalle los riesgos de los permisos de OAuth.

Para conciliar la autenticación y la privacidad, libros sobre seguridad de la autenticación web (Amazon)también son una referencia útil.

Riesgos cuando se suspende una cuenta de redes sociales

En los servicios que dependen del inicio de sesión social, existe el peligro de perder el acceso en cadena si la cuenta de redes sociales se suspende o elimina. La suspensión de cuentas en las plataformas de redes sociales puede producirse sin previo aviso, y no es raro que una apelación tarde varias semanas. Durante ese tiempo, los servicios a los que solo se puede acceder mediante inicio de sesión social quedan completamente inutilizables. Como medida, es importante configurar un método de inicio de sesión alternativo con dirección de correo electrónico y contraseña tras registrarse con el inicio de sesión social. Al igual que con el inicio de sesión único, se requiere un diseño que evite un único punto de fallo (Single Point of Failure).

La perspectiva de la privacidad

Cuando usas el inicio de sesión social, el proveedor de la red social puede saber a qué servicios accedes y cuándo. Esto es una forma de seguimiento entre sitios y puede usarse para la segmentación publicitaria. Desde el punto de vista de las regulaciones de privacidad como el RGPD, es importante que los usuarios comprendan con exactitud el alcance de los datos compartidos mediante el inicio de sesión social y adopten el hábito de rechazar los permisos innecesarios. En la guía de configuración de privacidad puedes consultar cómo gestionar los permisos en cada plataforma. En los ataques de phishing también se ha confirmado la técnica de mostrar una pantalla de inicio de sesión social falsa para robar tokens de acceso, así que verifica siempre que la URL de la pantalla de inicio de sesión sea legítima.