Tokens de estado privado

Estado de implementación

¿Qué son los tokens de estado privado?

   

Los tokens de estado privado permiten que se transmita la confianza en la autenticidad de un usuario de un contexto a otro, para ayudar a los sitios a combatir el fraude y distinguir a los bots de los humanos reales, sin seguimiento pasivo.

  • Un sitio web de emisor puede emitir tokens al navegador web de un usuario que demuestre que es de confianza, por ejemplo, mediante el uso continuo de la cuenta, mediante la finalización de una transacción o la obtención de una puntuación de reCAPTCHA aceptable.
  • Un sitio web de canjeador puede confirmar que un usuario no es falso. Para ello, verifica si tiene tokens de una entidad en la que confía el canje y, luego, canjea tokens según sea necesario.

Los tokens de estado privado están encriptados, por lo que no es posible identificar a una persona física ni conectar instancias, sean o no de confianza, para descubrir la identidad del usuario.

¿Por qué necesitamos tokens de estado privado?

La Web necesita formas de establecer y transmitir indicadores de confianza que demuestren que un usuario es quien dice ser y no un bot que se hace pasar por un ser humano o un tercero malicioso que defrauda a una persona o un servicio reales. La protección contra fraudes es muy importante para los anunciantes, los proveedores de anuncios y las CDN.

Lamentablemente, muchos mecanismos existentes para medir y propagar la confiabilidad (para averiguar si una interacción con un sitio proviene de un ser humano real, por ejemplo) aprovechan las técnicas que también se pueden usar para la creación de huellas digitales. Los mecanismos para transmitir la confianza deben preservar la privacidad, lo que permite que la confianza se propague en todos los sitios sin el seguimiento de usuarios individuales.

Con la API de Private State Token, un sitio web puede emitir tokens criptográficos a un usuario de confianza que luego pueda usarse en otro lugar. El navegador del usuario almacena los tokens de forma segura y, luego, se pueden canjear en otros contextos para confirmar la autenticidad del usuario. Esto permite que la confianza de un usuario en un sitio web (como un sitio de redes sociales o un servicio de correo electrónico) se transmita a otro sitio web (como un publicador o una tienda en línea) sin identificar al usuario ni vincular identidades en los sitios.

¿Cómo funcionan los tokens de estado privado?

En este ejemplo, el sitio web de un publicador quiere verificar si un usuario es un ser humano real y no un bot antes de mostrar un anuncio.

  1. Un usuario visita un sitio web (conocido como issuer) y realiza acciones que llevan al sitio a creer que es un ser humano real, como realizar compras, usar una cuenta de correo electrónico o completar reCAPTCHA correctamente.
  2. El sitio de la entidad emisora usa la API de Private State Token de JavaScript para activar una solicitud de tokens de confianza para el navegador del usuario.
  3. El sitio de la entidad emisora responde con datos del token.
  4. El navegador del usuario almacena de forma segura los datos para el token de confianza.
  5. El usuario visita un sitio web diferente (como un editor de noticias) que desea verificar si es un ser humano real, por ejemplo, cuando se muestran anuncios.
  6. El sitio usa la API de Private State Token para verificar si el navegador del usuario tiene tokens de confianza almacenados para los emisores en los que confía el sitio.
  7. Se encuentran tokens de estado privado para la entidad emisora que el usuario visitó anteriormente.
  8. El sitio del editor envía una solicitud a la entidad emisora para que canjee los tokens de confianza.
  9. El sitio de la entidad emisora responde con un registro de canje.
  10. El sitio del editor realiza una solicitud a una plataforma de anuncios, incluido el registro de canje, para mostrar que el emisor confía en que el usuario es un ser humano real.
  11. La plataforma de anuncios proporciona los datos necesarios para mostrar un anuncio.
  12. El sitio del editor muestra el anuncio.
  13. Se registra una impresión de vista de anuncio.

¿Hay herramientas disponibles para los tokens de estado privado?

Las Herramientas para desarrolladores de Chrome activan la inspección desde las pestañas de red y aplicación. Obtén más información sobre esta integración de Herramientas para desarrolladores y sobre los tokens de estado privado.

¿Cómo manejan los sitios web los tokens de varias entidades emisoras de confianza?

El sitio puede verificar el navegador del usuario en busca de tokens válidos con document.hasTrustToken() para un emisor a la vez. Si se muestra true y hay un token disponible, el sitio puede canjearlo y dejar de buscar otros tokens.

El sitio web debe decidir qué emisores de tokens verificar y en qué orden.

Casos de uso

Los tokens de estado privado (PST) admiten una variedad de casos de uso antifraude. En esencia, la PST puede actuar como un indicador de confianza adicional porque la API puede codificar fragmentos de información que pueden ayudar a transmitir confianza de un contexto a otro. A medida que las cookies de terceros desaparezcan, reconocemos que será fundamental asegurarnos de que los casos de uso como los siguientes aún puedan funcionar según sea necesario. Todos los casos de uso de PST requieren que tanto las entidades emisoras como los canjeadores trabajen en conjunto. Te recomendamos considerar PST si tienes casos de uso similares a los siguientes:

  • Servicios antifraude: Evitar el fraude es un caso de uso legítimo que la Web debería admitir, pero no debería requerir un identificador estable y global por usuario. En contextos de terceros, PST se puede usar para segmentar a los usuarios en conjuntos confiables y no confiables.
  • Análisis de fraudes publicitarios: PST puede ser útil para analizar clics, impresiones y esquemas de bots fraudulentos en los servicios de tecnología publicitaria.
  • Detección de bots: Después de que ejecute su análisis para determinar si un navegador es un bot o no, PST puede ayudar a codificar esa información para que se comparta de un contexto a otro.
  • Pagos seguros: Para detectar amenazas que son más difíciles de identificar en un contexto de terceros con información limitada (como tarjetas), se puede usar PST como indicador adicional para transmitir confianza.
  • Servicios antiabuso en el comercio electrónico: La detección de bots en interacciones de comercio electrónico (clics, confirmación de la compra, compras, calificaciones de productos, chat bots, devoluciones) es muy importante para evitar el scraping de páginas y las interacciones no generadas por usuarios. Este puede ser un indicador adicional importante para detectar agentes automatizados para proveedores de antifraude externos en plataformas de comercio electrónico.
  • Servicios de CDN: PST brinda un mecanismo para ayudar a informar y detectar tráfico fraudulento.

Esta lista de casos de uso no es exhaustiva de todas las funciones antifraude que pueden beneficiarse de los tokens de estado privado. La lista tampoco es mutuamente excluyente, ya que PST puede beneficiar varios flujos de trabajo antifraude.

Recorridos de los usuarios

La emisión y el canje son los componentes clave de los Tokens de estado privado. Si bien los casos de uso anteriores son las áreas clave en las que se admitirían las PST, puedes considerar los siguientes momentos en ciertos recorridos del usuario como las instancias en las que realmente deseas emitir o canjear tokens:

  • Emitir tokens durante los flujos de administración de cuentas (acceso, registro, restablecimiento de contraseñas, etcétera)
  • Emite tokens después de confirmar la autenticación de varios factores (MFA)
  • Emite tokens después de acciones de alto riesgo, como borrar el historial de pagos
  • Canjea tokens para la confirmación entre sitios antes de realizar acciones de riesgo moderado
  • Canjea tokens para una confirmación entre sitios antes de realizar acciones de alto riesgo

Interactúa y comparte comentarios

Más información