Obama y Facebook fichan por OpenID

Casi un año después de la publicación de un artículo en el que hablábamos de OpenID como una apuesta de futuro, vamos a comprobar si dicha apuesta se ha ganado o no. A finales de 2008 OpenID ya poseía su versión 2.0, mucho más robusta que su predecesora y con importantes mejoras en la seguridad (Autenticación 2.0, uso de XRI, solución al phishing…). El número de Relying Parties (RP) o consumidores OpenID se había triplicado, incluyendo algunos grandes nombres (Google Blogger, Microsoft Health, Vault o Plaxo). La OIDF (OpenID Fundation) había logrado incluir a compañías claves en el desarrollo del protocolo, como Google, Microsoft, IBM, Verisign o Yahoo!, implicándolas de modo que algunos de sus servicios más relevantes, como Microsoft LiveID o Google Account, se convirtiesen en Proveedores de identidad OpenID. La simplicidad en la integración y la variedad de APIs disponibles para su desarrollo fueron, sin duda, importantes aspectos en su despegue. El siguiente gráfico da una idea del enorme crecimiento de este protocolo. Las cifras expresan millones de cuentas:

Uno de los aspectos más importantes en la consolidación y aceptación de OpenID por parte de organismos oficiales, fue el hecho de superar la barrera de “ser” simplemente una URL. La dificultad de probar de una manera efectiva que cierta URL era controlada por quien decía hacerlo, quedó eliminada cuando surgieron los identificadores “pseudónimo”, aislando la identidad del usuario, de forma que el Proveedor de Identidad (IdP) tuviese una información y el RP otra, preservando de este modo posibles correlaciones entre proveedores.

Las evoluciones experimentadas a lo largo de 2009 hacen que el protocolo se parezca bastante poco al bisoño OpenID de 2006. Los esfuerzos realizados y el empeño puesto han conseguido un sistema abierto de autenticación single sign-on basado en web mucho más robusto y aceptado. El éxito obtenido implica la adquisición de nuevas responsabilidades. OpenID será atacado, y mucho. Sus conocidas lagunas ante el phishing (superadas en gran medida en la versión 2.0) o la privacidad serán importantes asuntos a tener en cuenta. Pero no son estos los únicos aspectos que han sido señalados por los detractores de OpenID como motivos para su no implementación. Weblogs SL, la mayor empresa de blogs en la web en Europa, a través de su fundador, Julio Alonso, expone algunas de las razones, basadas en usabilidad y datos propios de acceso, por las que reconocen haber errado en la decisión de adoptar OpenID. Argumentos como el descenso de la participación en los blogs menos tecnológicos, provocado por la “lenta velocidad de adopción del protocolo” o su “pobre usabilidad” (en palabras del propio Alonso) provocaron que la objetiva reducción de spam o las funcionalidades adicionales aportadas por OpenID no fuesen suficientes para rentabilizar su implantación, aduciendo que podría haberse realizado con cualquier registro más simple, amén de no resolver el problema de la suplantación de identidad.

Algunos profetas de la tecnología, auguraron que 2009 sería el año de OpenID siempre que se diesen determinadas condiciones. La aparición de Facebook Connect resultó ser un acicate para el mundo OpenID, dada la sencillez y facilidad en la experiencia de usuario proporcionadas por el primero. Eso sí, el carácter abierto de OpenID frente al intento “privado” de Facebook Connect de centralizar la autenticación de usuario, le sigue confiriendo una posición privilegiada. Hay depositadas muchas esperanzas en el despegue definitivo y más amplia aceptación de OpenID, basadas en su mayoría en la concreción de un par de asuntos: la iniciativa de incluir la autenticación OpenID directamente en los navegadores y el aumento de las garantías de seguridad, cimentadas en la aprobación de la especificación PAPE (OpenID Provider Authentication Policy Extension 1.0). Además de los importantes socios citados al comienzo, el siguiente gráfico incita a pensar que son muchas más las empresas que apuestan por OpenID que las que le dan de lado:

Huelga decir que no son ninguno de estos compañeros de viaje los que llevarán a OpenID hacia el éxito y aceptación general, aunque sean necesarios. Los pasajeros VIP de OpenID están llamados a ser los Facebook, PayPal (correctamente combinado con un mecanismo de seguridad apropiado y robusto) y, más recientemente, el Gobierno de EEUU. La red social de redes (sus más de 200 millones de usuarios así lo acreditan) sorprendió a la comunidad anunciando el soporte como consumidor OpenID, remando contra corriente, pues la mayoría de sitios apostaba por convertirse en Proveedor de identidades, más que en consumidor. Puede parecer extraña esta decisión, más aún teniendo en cuenta lo expuesto anteriormente, lo que demuestra que Facebook no le tiene ningún miedo a OpenID, pues su Connect aporta características como la integración del sistema de contactos o el envío de notificaciones a nuestro timeline, que OpenID no posee. La oficialización de su unión con el consorcio OpenID, destinado a crear un sistema universal de identificación electrónica para que los usuarios puedan acceder a distintos servicios de la Red a través de un mismo usuario y contraseña, hace que Facebook esté en una posición privilegiada a la hora del despegue definitivo. Algo parecido debieron pensar en el gigante de pagos por Internet, PayPal, cuando a principios de año decidieron formar parte del proyecto OpenID como miembro corporativo, arguyendo que “los estándares abiertos centralizados de identificación de usuario se están convirtiendo claramente en una parte importante de la evolución de la infraestructura web”.

Pero ha sido, sin duda, el anuncio del Gobierno de EEUU de incorporar OpenID a diversos sitios oficiales, el que mayor repercusión ha dado al protocolo en los últimos meses. Además de esto, se incorporará el sistema Information Card (un mecanismo similar al DNIe). El National Institute of Health (NIH) norteamericano pretende utilizar de manera conjunta ambas tecnologías, con objeto de ofrecer, entre otros, servicios de búsqueda personalizada en bibliotecas, acceso a material de prueba, registro para conferencias o utilización de wikis de investigación médica, utilizando para ello una cuenta certificada en sitios como Yahoo, PayPal, Google, Verisign o AOL, entre otros.

¿Es, por tanto, cuestionable el protocolo OpenID desde el punto de vista de su aceptación? La respuesta es no, a la vista de los compañeros de viaje que lo acompañan y de los socios que ya apuestan por su utilización. ¿Es cuestionable desde el punto de vista de la usabilidad y la seguridad? Seguramente sí, aunque quizá sus detractores exageren en demasía las vulnerabilidades que, como todo sistema, presenta. Siempre es bueno tener presente el alcance y los objetivos para los que surge OpenID, y no tratar de soterrarlo por querer que resulte útil ante cualquier necesidad o negocio. Estoy convencido de que el enorme esfuerzo que, por parte todos los socios del consorcio, se está realizando dará sus frutos en un futuro no muy lejano. Si hace un año pronosticábamos el inicio de la “andadura hacia una posible redirección y nuevo planteamiento de los actuales sistemas de identidad distribuida”, en este momento albergamos la esperanza de que la convergencia hacia el mundo empresarial de este protocolo esté dando sus primeros pasos serios.

Artículo de Antonio Martínez