La CNIL ha publicado recientemente una guía para la autenticación mediante tokens digitales en servicios online.
La utilización de la autenticación mediante tokens permite a los usuarios acceder a un servicio online, un programa o una página web sin tener que volver a introducir la información de inicio de sesión. Con este tipo de autenticación, el individuo puede acceder a los recursos en línea siempre que su token de acceso siga activo. Este sistema reduce el riesgo de suplantación de identidad y normalmente se emplea en procesos con doble factor de autenticación. En este caso, el token de acceso se envía al usuario para verificar su identidad cuando se inicia sesión con usuario y contraseña. Aunque en ocasiones los tokens pueden ser elements físicos, normalmente se trata de tokens digitales o no materiales que se envían desde un servidor y suelen tener un período corto de validez. Puede ser un código o un link transmitido por email o SMS que contenga un token alfanumérico.
La autenticación digital puede utilizarse de muchas formas, y cada una de ella conlleva sus propias ventajas y riesgos
En los últimos años se ha dado un incremento significativo en el uso de la autenticación mediante tokens digitales, de manera frecuente aplicados en procesos para generar, verificar y renovar contraseñas. Además, este sistema aprovecha las conexiones automáticas del servidor para facilitar el guardado de los elementos de la cesta de la compra y permitir su posterior acceso via un link enviado por email, para validar un formulario de consentimiento o para retirar la subscripción de marketing. Estos tokens también pueden hacer posible la consulta directa de documentos y datos mediante un link que lo habilite y acceder así a notas de reparto, archivos de la oficina, resultados de pruebas médicas o la contestación a preguntas enviadas a una API. Como respuesta a la acción del usuario de pulsar este link, el servidor verifica la validez del token, acepta la autenticación y activa la funcionalidad solicitada. La guía de la CNIL aclara los riesgos asociados con esta forma de autenticación.
La CNIL recomienda tomar un enfoque transparente y notificar a los usuarios los riesgos asociados con la autenticación mediante tokens.
Un token de acceso que toma la forma de un link puede considerarse una manera de tener acceso constante a información personal que está disponible online. Esta puerta es un punto débil en sí misma, y debe tenerse en cuenta el riesgo de seguridad que debe tenerse en cuenta. El token de acceso puede socavar la integridad o la seguridad de las cuentas de los usuarios, la información personal o los espacios online si se comunica, queda accesible a un tercer no autorizado o si es interceptado. Las técnicas de phishing que se han hecho muy populares incluyen el envío de tokens falsos por email o SMS para obtener datos personales que pueden utilizarse para asumir la identidad de la víctima. Se recomienda a los sitios que utilizan tokens de manera legítima que informen a sus usuarios sobre el peligro de esta tecnología y que les instruye sobre la propagación de estas estafas.
Los tokens empleados con fines de autenticación deberían tener siempre un límite de tiempo.
Para validar la creación de una cuenta o un espacio personal, normalmente se proporciona al usuario un link enviado a la dirección de email empleada en el registro para así verificar que dicha dirección le pertenece. Dado que la acción de verificación debe tener lugar en el momento de creación de la cuenta, el token debe proporcionarse en pocos minutos. El token de acceso debe evitar que el usuario pueda iniciar sesión automáticamente después de verificar su identidad a través del seguimiento del link. A fin de acceder las funcionalidades de la aplicación o del servicio online, el usuario debe autenticarse utilizando sus credenciales. Es entonces cuando se envía una notificación al usuario (por email o SMS) para verificar que su dirección de email es válida y que su cuenta se ha creado correctamente. Cuando se vincula a una página del seguimiento de envío, un ID o número identificativo se puede utilizar como un token. Todos los tokens deben tener un límite temporal, desde unos pocos minutos para links y códigos gasta unos pocos días para la transferencia de archivos.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.