Glosario de términos relacionados con la privacidad en Internet

OIDC

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

¿Qué es OIDC?

OIDC (OpenID Connect) es un protocolo de inicio de sesión alternativo donde el servicio o aplicación utiliza un servicio de terceros para autentificar al usuario. OIDC también se utiliza para aplicaciones de inicio de sesión único (SSO) que permiten a un usuario iniciar sesión una vez para acceder a múltiples aplicaciones relacionadas. Para el usuario, OIDC puede proporcionar una mejor seguridad al simplificar el proceso de inicio de sesión. También puede apoyar a los servicios y aplicaciones que ofrecen OIDC a los usuarios al trasladar parte de la responsabilidad de seguridad y los esfuerzos de codificación al autentificador de terceros.

OIDC puede mejorar la seguridad en línea para una persona al reducir el número de inicios de sesión necesarios. Tener menos conjuntos de criterios de inicio de sesión puede traducirse en mejores hábitos de contraseña y la información de inicio de sesión se almacena en menos bases de datos, lo que a su vez puede reducir los riesgos asociados con violaciones de datos. Tener menos inicios de sesión que recordar también puede mejorar la experiencia general en línea.

Las empresas a menudo ofrecerán inicio de sesión de terceros como un incentivo para configurar una cuenta: usar un inicio de sesión existente para crear una cuenta es más fácil que seleccionar un nuevo ID de usuario y contraseña, por lo que un usuario es más probable que cree una nueva cuenta. El inicio de sesión de terceros también puede reducir la pérdida de negocios causada por usuarios que olvidan su contraseña de un sitio y abandonan un carrito de compras lleno. Las aplicaciones de inicio de sesión único generalmente se consideran beneficiosas tanto para los usuarios como para las empresas—SSO puede reducir la frustración y la repetición de utilizar múltiples flujos de inicio de sesión diferentes.

¿Cómo se ve OIDC?

Un caso de uso común de OIDC es cuando se te da la opción de iniciar sesión en un servicio en particular (como un sitio de noticias) utilizando credenciales de otra fuente (como Facebook o Google). Otro uso común, conocido como inicio de sesión único o SSO, es cuando una sola sesión de inicio da a un usuario acceso a múltiples servicios. Por ejemplo, si has iniciado sesión en Gmail en tu navegador, no necesitas iniciar sesión por separado en YouTube. Google reconoce que has sido autentificado a través de Gmail, y no te pide que pruebes tu identidad una segunda vez. El SSO se usa a menudo en entornos de trabajo. Un empleador puede contratar a un proveedor de terceros para establecer un sistema de inicio de sesión que permita a un empleado iniciar sesión una vez y obtener acceso completo a múltiples aplicaciones, como la suite de Microsoft, Zoom y una interfaz de nómina.

¿Cómo funciona OIDC?

OIDC es un marco amplio con diferentes procesos dependiendo de la situación. En general, OIDC está diseñado para simplificar los inicios de sesión, ya sea para usar un inicio de sesión para acceder a otro servicio, o para usar un único inicio de sesión para acceder simultáneamente a múltiples aplicaciones. Lo que sigue es un ejemplo general de un flujo OIDC utilizando Google para iniciar sesión en Spotify.

Las partes involucradas

  • Usuario: La persona que quiere iniciar sesión en un servicio.
  • Parte dependiente: El servicio principal (como una aplicación web) al que el usuario está accediendo. Una parte dependiente ofrece al usuario la función de utilizar un inicio de sesión de terceros. (En nuestro ejemplo, Spotify es la parte dependiente.)
  • Proveedor de identidad: El tercero que procesará el inicio de sesión del usuario y autentificará al usuario. (En nuestro ejemplo, esto es Google.)

Los pasos de un proceso de inicio de sesión de terceros con OIDC

  • Visitas el sitio web de Spotify (o abres la aplicación de Spotify) y optas por iniciar sesión utilizando tus credenciales de Google.
    • El usuario visita un sitio web alojado por una parte dependiente que ofrece inicio de sesión de terceros con un proveedor de identidad.
  • Spotify solicita a Google que te autentifique.
    • La parte dependiente envía una solicitud de autentificación al proveedor de identidad.
  • Inicias sesión en Google y aceptas que Google comparta información básica de identificación con Spotify.
    • Se le presenta al usuario una pantalla de inicio de sesión u otro aviso para iniciar sesión en el proveedor de identidad. El método exacto para autentificar al usuario depende del proveedor de identidad—puede ser ID de usuario y contraseña, un biométrico como una huella digital, un código de acceso único enviado por mensaje de texto, o cualquier combinación de estos.
  • Google verifica que eres tú quien está iniciando sesión y crea un token que contiene alguna información sobre ti y detalles sobre el inicio de sesión. Este token se envía a Spotify para confirmar un inicio de sesión exitoso.
    • El proveedor de identidad valida al usuario y crea un token de identidad. El token de identidad contiene información del usuario, como nombre de usuario, nombre real y posiblemente otros datos identificativos. El token también indica la hora de autentificación y la expiración de la autentificación.
  • Spotify recibe el token de identidad, confirma que el token proviene de Google y te otorga acceso al contenido de Spotify.
    • La parte dependiente recibe el token de identidad y verifica que todo esté en orden y que el token provenga de la fuente correcta. Si se considera que el proceso de autentificación fue exitoso, se le otorga al usuario acceso al contenido de la parte dependiente.

OIDC vs. OAuth

Tanto OIDC como OAuth están destinados a simplificar el proceso de obtener acceso en línea a un sitio, aplicación o servicio. Aunque OIDC se basa en el marco de OAuth, OIDC tiene un propósito diferente del propósito original de OAuth. La principal diferencia entre OIDC y OAuth es autentificación vs. autorización. OIDC ayuda a una entidad a autentificar a un individuo, es decir, a verificar que una persona es quien dice ser. Un proceso OIDC resulta en un token de identidad que contiene el estado de verificación de la autentificación de usuario, y posiblemente alguna información sobre el usuario.

El propósito central de OAuth es facilitar la transferencia de los datos de un individuo de una entidad a otra. Un proceso OAuth resulta en un token de acceso que contiene detalles sobre qué datos pueden ser accedidos, y qué permisos tiene la parte accesora respecto a esos datos. Ejemplos de OAuth en acción incluyen compartir tu libreta de direcciones de Gmail con LinkedIn para encontrar conexiones, o permitir que una aplicación no relacionada publique una actualización en tu página de Facebook.

Riesgos de seguridad y privacidad con OIDC y OAuth

OAuth y OIDC ambos ofrecen una mayor seguridad. El beneficio de usar un inicio de sesión de terceros (es decir, OIDC) cuando está disponible es que reduce la cantidad de inicios de sesión que necesitas llevar un registro, lo que a su vez puede traducirse en mejores hábitos de seguridad (como usar contraseñas fuertes y únicas). Los protocolos OAuth resultan en no tener que compartir credenciales entre servicios y menos exposición a violaciones de datos; también dan al individuo un control más refinado de cómo otros usan sus datos.

Pero como con cualquier avance en seguridad, los riesgos también evolucionan en respuesta. Con OIDC, los hackers pueden engañar a un individuo para que use una pantalla de inicio de sesión de terceros falsa con el fin de recopilar la ID y contraseña del usuario. Por eso es importante usar autentificación de segundo factor para detectar y prevenir estos intentos de phishing. Con respecto a la privacidad, usar un inicio de sesión de terceros da a Google o Facebook más datos para recopilar sobre tu actividad, ya que pueden usarla para monitorear el uso de las aplicaciones y sitios web en los que inicias sesión y con qué frecuencia los visitas. (Esta es la razón por la cual Brave tiene Permiso de inicio de sesión de Google.)

Con el proceso OAuth, los hackers con credenciales de inicio de sesión robadas pueden inyectar una falsa URL en el proceso, desviando los tokens de acceso destinados al cliente a los sitios web de los hackers. Los hackers luego pueden usar los tokens secuestrados para acceder ilegalmente a los datos de un usuario.

¿Te atreves a descubrir el nuevo Internet de Brave?

Brave está desarrollado por un equipo de precursores de la web centrados en el rendimiento y la privacidad. Ayúdanos a solventar las deficiencias de la navegación.