Sobre Mobile Connect, el sistema de identificación universal de GSMA

mconnect

Hace unas semanas hablábamos del cierre de Persona, un sistema de identificación universal cuyo principal activo de valor era precisamente el tener detrás una fundación neutral como es Mozilla, y no una compañía como Google o Facebook.

En el artículo, le comentaba la importancia de tener el control de los datos que exponemos en los numerosos servicios en los que nos logueamos habitualmente. Algo que Persona ofrecía, y que en cambio, no ofrecen ni los sistemas de identificación de Google, ni los de Facebook y/o Twitter (por citar los tres más extendidos).

Al loguearnos en cualquier servicio con alguna de estas cuentas, estamos permitiendo que los tentáculos de estas grandes corporaciones lleguen al interior de ese servicio, permitiendo a éstas tejer una red de conocimiento cada vez mayor alrededor de nuestros hábitos e intereses, que es en esencia lo que les está permitiendo liderar la experiencia de consumo de esta nueva era.

A cambio, obtenemos un método de identificación que a priori resulta más cómodo, ya que algunos de los datos que el servicio necesita (como nuestro email, nuestro nombre, y la contraseña), son habitualmente cedidos por el ID asociado a nuestra cuenta principal.

No es necesario crearse de cero una nueva cuenta en un nuevo servicio, sino partir de la que ya teníamos en alguna de estas compañías, que comparten la información necesaria con el servicio, volviendo el proceso transparente de cara al usuario.

Por ello, estaba siguiendo con profundo interés la evolución de Mobile Connect (EN), un sistema de identificación semejante al que ya nos ofrecen estas grandes corporaciones, pero que en este caso, está regulado por un conjunto de operadoras (GSMA), lo cual tiene sus ventajas.

Primer contacto con Mobile Connect

Hace un par de días me enteraba, de pura casualidad (por un artículo en un blog externo, que al menos un servidor no ha visto comunicación oficial alguna), que Orange, mi actual proveedor de red, había habilitado Mobile Connect en nuestras cuentas.

El funcionamiento es tan sencillo como cabría esperar (ES). A la hora de loguearse en un servicio compatible con Mobile Connect (como es el caso de la página de Orange), basta con que meta mi número de teléfono para que el servicio, en efecto, sepa que soy yo y me permita acceder.

Sin tener que recordar usuario y contraseña, vaya. Solo hay que acordarse de nuestro número de teléfono.

Por detrás (que es lo interesante), el servicio hace una llamada al proveedor de Mobile Connect, que se pone en contacto con el operador para validar los datos. Este envía un mensaje a la SIM del dispositivo, y si recibe confirmación, le da el visto bueno a Mobile Connect y éste habilita el acceso.

Ver en Youtube (EN)

Al menos esta es la teoría. En mi caso, y aquí están mis dudas, no hubo paso previo.

Directamente metí mi teléfono, le di a entrar, el sistema se puso a “pensar”, ¡y voilà! Ya estaba dentro.

Lo que me lleva a pensar que para casos tan obvios como este (estoy intentando entrar con mi número a la página de la operadora desde mi ordenador de siempre), o bien mantiene un historial de confianza, o bien se asegura que el dispositivo esté en la misma ubicación desde la que viene la petición (algo sencillo de realizar triangulando la señal de la SIM).

Descarté, eso sí, que se debiera a estar conectado en la misma WIFI (también de Orange). Les pregunté a las operadoras del “servicio de tranquilidad de Orange”, y para variar, no tenían ni idea (me dijeron que tenía que bajarme la app ya que Mobile Connect funcionaba gracias a la app…).

Eso sí, al menos ya hay una página dentro de mi perfil para gestionar el historial de conexiones de Mobile Connect, así como un sistema anti-spam muy adecuado para evitar posibles intentos de usurpación de identidad. En esta página también se puede habilitar o no el servicio, por si no lo vamos a usar.

En fin, que a falta de poder probarlo en un servicio externo, me toca quedarme con la teoría, que es la siguiente.

Seguridad basada en la identidad asociada a las SIM

Mobile Connect está diseñado bajo el protocolo OpenID Connect, que pasa así a ser el estándar de la industria de las telcos.

  • Todas las operadoras acogidas a Mobile Connect delegan en un ente supuestamente neutral el control de esa información, de forma que a priori podemos considerarlo un acercamiento más adecuado desde el punto de vista de la privacidad que las propuestas individuales de Google y compañía.
  • Funciona, además, a nivel de SIM, y no de un servicio digital, lo cual sin lugar a dudas es positivo. Los protocolos que rigen las comunicaciones de las SIM (ES) han demostrado en todas estas décadas ser, gracias a sus limitaciones, uno de los sistemas de comunicación más seguros que existen (lo que no quita que hayan pasado algunas vulnerabilidades graves). Para llegar a tomar el control de alguna parte de su cadena, generalmente, se necesita disponer de unos recursos que prácticamente solo son accesibles por agencias gubernamentales.

Ahora bien, no hay que olvidar que en última instancia esa información es compartida con nuestro proveedor de red, y podemos estar seguros que la explotarán de una u otra manera. Nada que no podamos esperar ya de una over the top, pero aún así, señalable.

El valor de los datos que una operadora tiene de nosotros

El número de teléfono es uno de los datos más identificativos que podemos obtener de una persona, siempre y cuando, tengamos acceso a su nexo de unión física. Cosa que las operadoras tienen (cada número de teléfono está, generalmente, asociado a un NIF y/o una cuenta bancaria, con nuestro nombre y apellidos), y que persiguen compañías como Apple y Google con sus propuestas de pagos móviles.

Así que en este caso, delegamos la seguridad y privacidad de la información al buen uso que haga un miembro de la cadena tan crítico como son las operadoras. Con la parte buena de ser un sector que está ampliamente regulado (a diferencia de las OTTs, por cierto), y con la parte negativa de tener que establecer una confianza específica ante una compañía con ánimo de lucro.

Habría, además, un tercer factor a considerar, y este es el posible uso malintencionado de ese conocimiento al que la operadora de turno (o el GSMA, si me apura) podría llegar a desarrollar.

Una teleco, como elemento de la cadena de distribución de contenido, es pieza clave a la hora de definir qué entendemos por neutralidad de la red.

Para la mayoría de operadoras, la neutralidad pasa porque ellas sean garantes del tráfico que consumimos en cada uno de los servicios. De esta manera, las OTTs tendrían que pagar a la operadora de turno en consonancia con el uso que le dan.

Por su parte, la mayoría de grandes OTTs defienden el uso neutral del ancho de banda (vamos, que aquí pagamos todos lo mismo aunque se consuma más o menos), pero eso sí, están dispuestos a pagar más a cambio de que las operadoras les permitan ofrecer mejor servicio (ergo, más velocidad) en sus productos respecto a los de la competencia.

Tanto unos como otros están por tanto interesados en romper la neutralidad de la red para sus intereses. Las telcos por mera necesidad (conforme más se vuelven una commodity, menos beneficio obtienen respecto al resto de la cadena), y las OTTs por mantener su status quo como último elemento de la cadena (el más cercano al usuario, con los beneficios que ello conlleva).

En este escenario, el control desequilibrado de la cadena (por ejemplo, el caso que estamos viviendo en España con Telefónica y su propuesta de video bajo demanda frente a la propuesta de Netflix y compañía) puede llegar a ser contraproducente para el usuario final. Tanto de un lado como de otro.

Con todo ello, y siempre y cuando en efecto GSMA actúe como un organismo neutral de gestión de estas identidades, y la regulación sea lo suficientemente rigurosa en la competencia que una operadora puede hacer de la información obtenida mediante Mobile Connect de sus usuarios, seguramente esta propuesta sea más adecuada que la que tenemos por parte de las grandes compañías de internet, que no rinden a día de hoy cuentas frente a nadie.

Y de paso, un nuevo uso paraa las SIMs, que han demostrado ser un buen sistema de identidad, y que parecen no estar pasando el mejor momento de su historia.