(dpa) – En muchos sitios de Internet, los usuarios pueden iniciar sesión con una cuenta que ya tienen en una de las grandes compañías de la red. Sin embargo, esta cómoda función puede ser problemática.
Un centro de asesoramiento al consumidor de Alemania advierte que, después de un inicio de sesión único (SSO) a través de la cuenta existente, las empresas pueden recopilar datos exhaustivos sobre lo que el usuario hace en el sitio respectivo.
El centro añade que las empresas suelen recibir información del perfil público del usuario, lo que implica que recopilan más datos de los que habrían sido necesarios para un registro regular. A partir de toda esta información, informa el centro, se pueden crear perfiles personales detallados que se utilizan, por ejemplo, con fines publicitarios.
Pero eso no es todo. Si la contraseña de la cuenta utilizada para los inicios de sesión SSO cae en manos de terceros, la situación se complica. En este caso, los proveedores no solo tienen acceso a la cuenta en la respectiva compañía de Internet, sino también a todos los sitios en los que se utiliza el inicio de sesión SSO a través de esta cuenta.
Los expertos del centro de atención al consumidor informan asimismo que los atacantes van específicamente a la caza de cuentas que se utilizan como llaves maestras, y ponen como ejemplo el caso de Facebook a principios de octubre: la red social informó entonces que unos delincuentes habían robado los datos de acceso de sus usuarios con la ayuda de cientos de aplicaciones.
El centro señala que las aplicaciones habían mostrado la supuesta opción SSO «Iniciar sesión con Facebook» llevando a las víctimas a rellenar formularios de «phishing» que reenviaban directamente los datos de acceso para que los delincuentes pudieran hacerse con las cuentas de Facebook afectadas.
Los asesores explican también que es posible que los sitios web o servicios en los que los usuarios se registran a través de SSO exijan a cambio amplios derechos dentro de la cuenta SSO. En algunos casos, prosiguen, el usuario no se percata de ello, lo que puede dar lugar, por ejemplo, a «likes» o publicaciones no deseadas. Sin embargo, estos derechos aparecen listados cuando se configura un inicio de sesión SSO.
El centro de asesoramiento recomienda a quienes decidan continuar utilizando el inicio de sesión único SSO leer cada punto y desactivar las casillas de los derechos individuales. Si esto no es posible para los derechos que no se desea conceder, la única opción es no utilizar el SSO para la página respectiva y cancelar la configuración.
A quienes quieran transmitir la menor cantidad posible de datos personales, el centro aconseja no utilizar el SSO. Según los expertos, quienes no quieran prescindir de la comodidad del SSO deberían asegurar especialmente bien su cuenta, lo que incluye una contraseña fuerte que no se use para ninguna otra cuenta e idealmente también una autenticación de dos factores activa.