La OIDF ha alertado a los usuarios de iOS de que Sing in with Apple no es tan seguro como parece

El pasado mes de junio tuvo lugar la WWDC, evento en el que se presentó iOS 13 y también se aprovechó para presentar una de sus nuevas funcionalidades mas prometedoras, Sing in with Apple. durante su presentación esta nueva funcionalidad recibió una gran aceptación por parte de los usuarios de iOS. Después de todo está bien tener otra alternativa a la hora de autenticarse en las aplicaciones y servicios en lugar de hacerlo a través de Google, Facebook o con el clásico método de usuario y contraseña. La fundación OpenID, cuya propia plataforma OpenID Connect tiene mucho en común con la solución propuesta por Apple lleva bastante tiempo trabajando con empresas como Google, Microsoft o PayPal entre otros.

Recientemente el presidente de esta organización, Nat Sakimura, escribió una carta para Apple en la que se elogia brevemente la iniciativa de Apple justo antes de comenzar un bombardeo de duras críticas. Según la OIDF, OpenID Connect ha sido desarrollada por el trabajo conjunto de varias empresas y está basado en OAuth 2.0 para garantizar la seguridad de los usuarios, con esto la OIDF ha querido decir que Sing In with Apple no es tan seguro y expone a los usuarios a mayores riesgos de seguridad y privacidad. En la carta también se habla de que los trabajadores estarían saturados por trabajar en ambos procesos simultáneamente y en corregir brechas de seguridad, algo que no sería necesario si Apple hubiese optado por trabajar con la organización ya que Apple seria interoperable con el software de OpenID Connect-Relying Party.

Figura 1: Sing in with Apple.

El auténtico problema de este proceso es que Apple tiene que compartir tu e-mail con el desarrollador de la aplicación de terceros mediante la creación de una dirección de correo desechable (creada con ese único propósito) suponiendo que los usuarios deseamos ocultar nuestra dirección de correo real, con este método evitamos que varias plataformas vean que servicios utilizamos habitualmente para elaborar un perfil de marketing muy valioso para las compañías publicitarias. Aunque estas compañías no lo hagan, Apple sí que sabe las aplicaciones que estamos utilizando, pero al no compartirla no debería suponer un mayor problema de privacidad.

A pesar de la opinión que ha compartido la OpenID Foundation acerca de este nuevo método de autenticación muchos expertos en el ámbito de la ciberseguridad apoyan la iniciativa de Apple y opinan que como con cualquier tecnología nueva es posible que haya problemas al principio, pero confían en la empresa californiana para que los solucione y trabaje en perfeccionar su ecosistema cerrado.