Los usuarios de Internet se han acostumbrado a autenticarse en páginas web, aplicaciones y servicios utilizando para ello a proveedores de identidad como Facebook, Google o Twitter. Esta acción es muy cómoda porque evita tener que crear una cuenta (con su nombre y su contraseña) en cada una de estas plataformas, siendo solo necesario tener la sesión iniciada en Facebook, Google o Twitter y pulsar un botón. Hoy en día, más de 60.000 sitios web y aplicaciones ofrecen a sus usuarios autenticarse de esta manera.

OpenID Connect, la especificación estándar que permite que estas grandes empresas trabajen como proveedores de identidades en Internet, fue lanzada en 2014 y ahora ha sido sometida a revisión por parte del grupo de investigación Cybersecurity Cluster de la Universidad Rey Juan Carlos (URJC) en España. “Para realizar este trabajo hemos creado un laboratorio en el que realizar nuestras pruebas de manera controlada”, explica Marta Beltrán, investigadora del Grupo Cybersecurity Cluster de la URJC y coautora del estudio realizado en colaboración con Jorge Navas, doctorando que se encuentra terminando su tesis doctoral en esta línea de trabajo.

En sus experimentos, el equipo de investigación ha modelado las posibles amenazas para la seguridad y la privacidad que implica el uso de OpenID Connect. Una vez identificadas y clasificadas, los investigadores han probado diferentes patrones de ataque y técnicas que un adversario podría utilizar para materializarlas. “Hemos diseñado posibles soluciones para evitar o mitigar estas amenazas, que pueden servir para mejorar la especificación en el futuro y las implementaciones que existen en la actualidad, aumentando los niveles de seguridad y privacidad que se ofrecen a los usuarios”, destaca la investigadora de la URJC.

En este trabajo, publicado en la revista científica Computers & Security, los investigadores han realizado propuestas concretas en ambos ámbitos, seguridad y privacidad, con el objetivo de proteger a los usuarios de las amenazas encontradas.