Identifican amenazas a la seguridad y privacidad de los usuarios de Internet

Los usuarios de Internet se han acostumbrado a autenticarse en páginas web, aplicaciones y servicios utilizando para ello a proveedores de identidad como Facebook, Google o Twitter. Esta acción es muy cómoda porque evita tener que crear una cuenta (con su nombre y su contraseña) en cada una de estas plataformas, siendo solo necesario tener la sesión iniciada en Facebook, Google o Twitter y pulsar un botón. Hoy en día, más de 60.000 sitios web y aplicaciones ofrecen a sus usuarios autenticarse de esta manera.

OpenID Connect, la especificación estándar que permite que estas grandes empresas trabajen como proveedores de identidades en Internet, fue lanzada en 2014 y ahora ha sido sometida a revisión por parte del grupo de investigación Cybersecurity Cluster de la Universidad Rey Juan Carlos. “Para realizar este trabajo hemos creado un laboratorio en el que realizar nuestras pruebas de manera controlada”, explica Marta Beltrán, investigadora del Grupo Cybersecurity Cluster de la URJC y coautora del estudio realizado en colaboración con Jorge Navas, doctorando que se encuentra terminando su tesis doctoral en esta línea de trabajo.

En sus experimentos, el equipo de investigación ha modelado las posibles amenazas para la seguridad y la privacidad que implica el uso de OpenID Connect. Una vez identificadas y clasificadas, los investigadores han probado diferentes patrones de ataque y técnicas que un adversario podría utilizar para materializarlas. “Hemos diseñado posibles soluciones para evitar o mitigar estas amenazas, que pueden servir para mejorar la especificación en el futuro y las implementaciones que existen en la actualidad, aumentando los niveles de seguridad y privacidad que se ofrecen a los usuarios”, destaca la investigadora de la URJC.

Usuarios más protegidos en el futuro

En este trabajo, publicado en la revista científica Computers & Security, los investigadores han realizado propuestas concretas en ambos ámbitos, seguridad y privacidad, con el objetivo de proteger a los usuarios de las amenazas encontradas.

En las pruebas realizadas, los usuarios han sido simulados desde diferentes dispositivos, como ordenadores y móviles, y se han utilizado diferentes navegadores web, como Google Chrome, Mozilla Firefox y Microsoft Edge. “En este laboratorio hemos replicado 50 aplicaciones web y 25 apps de Android, desde redes sociales a medios de comunicación o comercio electrónico, que se basan en OpenID Connect y en Facebook o Google como proveedores de identidades, porque son los dos más utilizados en la actualidad”, señala Marta Beltrán.

Además, en este laboratorio controlado los investigadores han probado qué patrones de ataque podrían tener éxito y qué soluciones podrían funcionar para evitarlos o reducir sus impactos. “Hemos encontrado dieciséis patrones de ataque diferentes que permiten materializar las amenazas. En algunos casos, estos ataques necesitan acceso físico al dispositivo del usuario, a su ordenador o móvil, pero en otros son ataques que pueden realizarse de manera completamente remota”, apunta la investigadora de la URJC.

Cabe destacar que, aunque los usuarios perciben que el uso de estos proveedores es gratuito, su privacidad puede verse amenazada por el modelo tecnológico y de negocio que utilizan. Las principales amenazas que han identificado tienen que ver con la falta de control sobre la información que los proveedores solicitan y almacenan, la falta de transparencia en el uso o compartición de esta información, brechas de datos, perfilado de usuarios, a través de sus hábitos y comportamientos, y la geo-localización de usuarios y seguimiento.

Los investigadores esperan que muchas de las propuestas realizadas para la mitigar las amenazas a la seguridad y privacidad de los usuarios sean incluidas en las especificaciones e implementaciones futuras de OpenID Connect y otros estándares similares.

Referencia bibliográfica

Jorge Navas, Marta Beltrán: Understanding and mitigating OpenID Connect threats. Computers & Security 84: 1-16 (2019)