Single Sign On, una alternativa al fin de las cookies
Ya está aquí marzo, y pese a la inminente llegada del ya famoso FLoC (Federated Learning of Cohorts) de Google, se mantiene la incertidumbre en el sector sobre los efectos de la desaparición de las cookies de terceros en Chrome. Por su parte, los medios llevan tiempo apostando por el registro de sus lectores, estrategia que se ha visto acelerada por el auge de las suscripciones. Además, como industria, están explorando las posibilidades de soluciones compartidas, lo que se denomina identidad electrónica centralizada, también conocida como identidad federada, que abarca diferentes ámbitos:
Autenticación: se refiere a la validación de las credenciales y a la creación de la identidad digital del usuario.
Autorización: se establecen los permisos y restricciones de acceso.
Intercambio de los atributos del usuario: se ocupa del intercambio de datos en diferentes sistemas de gestión de los mismos.
Gestión de usuarios: administración (creación, eliminación, actualización) de cuentas.
En este sentido, cuando hablamos de inicio de sesión único o Single Sign On (SSO), se hace referencia estrictamente a la autenticación de un sistema de identidad federado. Las soluciones de SSO permiten que un usuario pueda navegar togado entre diferentes propiedades y que se pueda compartir información de sesión en diferentes dominios. Existen diversos protocolos de SSO que comparten información de sesión de diferentes maneras, pero el concepto esencial es el mismo: existe un dominio central a través del cual se realiza la autenticación para posteriormente compartir la sesión con otros dominios por alguna de las vías posibles.
De forma muy simplificada podríamos decir que el dominio central genera un token firmado, generalmente de forma encriptada. Este token se comparte con el cliente para que pueda ser utilizado por el dominio de autenticación o por cualquier otro permitido. El token contiene toda la información necesaria para que el usuario pueda ser identificado cuando el dominio requiera autenticación. Como el token está firmado, el cliente no puede modificarlo.
Existen diferentes posibilidades para implementar un SSO. Los más habituales y de más fácil implantación son SAML u OpenID conecte. Además, existen integraciones que permiten la interoperabilidad entre diferentes soluciones de SSO.
En Europa se están poniendo en marcha distintas incitativas. La mayoría promovidas por los editores, pero también se unen compañías de otros sectores: telcos, e-commerce, banca y seguros, etc.
Entre las más relevantes podemos situar a Nonio, iniciativa que reúne a 70 sitios web portugueses de seis de los principales grupos de medios del país vecino (Impresa, Global Media, Cofina, Media Capital, Publico y Renascença). Nace como un marketplace premium cuyo pilar consiste en impulsar un SSO para toda la indutria, con una clara declaración de intenciones: que “Al registrarse en NÓNIO, está contribuyendo a aumentar la competitividad de los medios nacionales frente a las principales plataformas, es decir, en las soluciones publicitarias buscadas por los anunciantes y, en consecuencia, aumentar el volumen de inversión publicitaria realizada en los medios portugueses”.
Nonio recopila datos de edad y género. Aquellos usuarios que deciden registrarse a través de sus propios perfiles sociales sólo tienen que seguir tres pasos. En cambio, si los usuarios se registran con el editor, el proceso es más largo, requiriendo alrededor de cinco pasos.
En Alemania destacan dos iniciativas. Por un aparte, NetID, que nace en 2017 como una alianza entre las emisoras Prosiebensat. y el grupo RTL, junto con el ISP United Internet. Desde entonces se han ido incorporado más socios, entre ellos: Spiegel y Gruner+Jahr, así como el editor regional Ippen Digital y el periódico nacional Süddeutsche Zeitung. También se han unido empresas de comercio electrónico como Otto Group, C&A o Zalando, y el servicio de paquetería DPD, junto con las agencias de medios GroupM Germany y Pilot Gruppe.
En marzo de 2019 la alianza se constituyó en una fundación sin ánimo de lucro de ámbito europeo. NetID es un organismo neutral que supervisa el sistema unificado de identificación para todos los participantes. Aunque está compuesta por empresas alemanas, está previsto abrirla al resto de Europa, empezando por los socios que ya tienen oficinas fuera de Alemania. Con el netID los usuarios pueden otorgar su consentimiento para el uso de servicios de Internet de una manera transparente y cumpliendo con la privacidad en su denominado Centro de Privacidad. La fundación ha desarrollado un estándar abierto que permite a los usuarios de todos los socios acceder a los servicios de Internet.
La otra iniciativa de SO alemana es Verimi, un proveedor de servicios de identificación, cuyo modelo de negocio se sustenta en el registro de los usuarios y en el almacenamiento de su identidad digital en su base de datos. Siempre que un usuario necesite una identidad estable on line (acreditada por un documento de identidad) podrá reutilizar su identidad almacenada en su base de datos.
Esta identidad puede utilizarse, por ejemplo, para abrir una cuenta bancaria (para la que se necesita un documento de identidad en Alemania), pero también para acceder a webs como bancos u otros sitios sensibles. Según palabras de los propios gestores, “Verimi se parece más a Paypal que a otras soluciones porque estan más orientados a verificar la identidad para la realización de transacciones electrónicas”.
Passmedia es la alianza francesa que aglutina a diez compañías de medios de comunicación que han dejado a un lado sus rivalidades para colaborar en un único sistema tecnológico: Le Figaro, Altice, Team, M6-RTL, Lagardère Active, Czech Media Invest France, 20 Minutes, Les Echos-Le Parisien, Le Point y Radio France. Entre todas alcanzan aproximadamente al 80% de los usuarios franceses de Internet.
En Suiza, es el Grupo Tamedia el que lideró el lanzamiento de la alianza en 2019. Inicialmente, se puso en marcha como un “acuerdo de obligación de registro” (‘login mandatory’) entre los editores participantes, con el objetivo de comprometerse a introducir el registro en sus site. Actualmente, el proyecto no tiene ningún componente tecnológico. De esta forma, evitan tener que hacer inversión en el desarrollo tecnológico o enfrentarse a las barreras de la GDPR ya que tampoco tienen que compartir datos.
El principal problema al que se enfrentan las diferentes iniciativas es la persistente barrera de una parte importe de los usuarios a registrase para leer información. Y, aunque no esa la única alternativa, pude ser una solución a la desaparición de las cookies de terceros para el sector, por lo que los soportes tendrán que invertir esfuerzos y recursos para concienciar a los usuarios de lo importante que es su aporte de valor.