MicroID, un sistema con peligro

Este estándar define un método para identificarse en todo tipo de sitios web con un protocolo ligero y descentralizado. Sin embargo, la tecnología (que ha sido adoptada por el proyecto DataPortability) es especialmente vulnerable. Lo ha demostrado un estudio de un usuario que realizó unas pruebas en Digg (que utiliza este sistema) en las que logró averiguar el 25% de las direcciones de correo asociadas a esos usuarios.

Chris Erway, un estudiante norteamericano, se puso a investigar la validez de este método de autenticación que teóricamente facilita el acceso a todo tipo de servicios web como Digg. MicroID es un estándar creado por Jeremie Miller (también creador del famoso protocolo y cliente de mensajería instantánea Jabber) que ha sido adoptado por el proyecto DataPortability y que funciona conjuntamente con otras tecnologías como OpenID y los microformatos para facilitar la identificación de los usuarios de Internet.

Sin embargo, este estudiante realizó unas pruebas con sistemas que usan este estándar tales como Digg, ClaimID o Last.fm, y en sus análisis logró extraer el 25%, 34% y 19% de los correos electrónicos (respectivamente) que correspondían a esos usuarios, una información que debería mantenerse privada y que sólo debería estar accesible para esos usuarios y para los administradores de los sistemas, en caso de querer comunicarles algún mensaje.

Esta vulnerabilidad demuestra que el servicio no es tan fiable como se pensaba, y la tecnica para extraer los correos electrónicos podría ser aprovechada por spammers, que normalmente utilizan técnicas DHA (Directory Harvest Attack) para lograr el mayor número de direcciones válidas posibles.