Tokens de estado privado

Estado de implementación

• Estado de la plataforma de Chrome.
• En la prueba de origen, Chrome 84 a 101: Ahora cerrado.
• Demo:
• Integración de las herramientas para desarrolladores de Chrome.

¿Qué son los tokens de estado privado?

Los tokens de estado privado permiten que se transmita la confianza en la autenticidad de un usuario de un contexto a otro para ayudar a los sitios a combatir el fraude y distinguir a los bots de los seres humanos, sin el seguimiento pasivo.

• El sitio web de un emisor puede emitir tokens al navegador web de un usuario que demuestra que es confiable, por ejemplo, a través del uso continuo de la cuenta, completando una transacción o obteniendo una puntuación de reCAPTCHA aceptable.
• Un sitio web de canje puede confirmar que un usuario no es falso verificando si tiene tokens de un emisor en el que el canjeador confía y, luego, canjeando tokens según sea necesario.

Los tokens de estado privado están encriptados, por lo que no es posible identificar a una persona física ni conectar instancias, sean o no de confianza, para descubrir la identidad del usuario.

¿Por qué necesitamos tokens de estado privado?

La Web necesita formas de establecer y transmitir indicadores de confianza que demuestren que un usuario es quien dice ser y no un bot que se hace pasar por una persona o un tercero malicioso que defrauda a una persona o un servicio reales. La protección contra el fraude es particularmente importante para los anunciantes, los proveedores de anuncios y las CDN.

Lamentablemente, muchos mecanismos existentes para medir y propagar la confiabilidad, por ejemplo, para determinar si una interacción con un sitio proviene de una persona real, aprovechan técnicas que también se pueden usar para la creación de huellas digitales. Los mecanismos para transmitir confianza deben preservar la privacidad, lo que permite que se propague en los sitios sin realizar un seguimiento de los usuarios individuales.

Con la API de Private State Token, un sitio web puede emitir tokens criptográficos a un usuario de confianza, que luego se pueden usar en otro lugar. El navegador del usuario almacena los tokens de forma segura y, luego, se pueden canjear en otros contextos para confirmar la autenticidad del usuario. Esto permite que la confianza de un usuario en un sitio web (como un sitio de redes sociales o un servicio de correo electrónico) se transmita a otro sitio web (como un editor o una tienda en línea) sin identificar al usuario ni vincular identidades entre sitios.

¿Cómo funcionan los tokens de estado privado?

En este ejemplo, el sitio web de un publicador quiere verificar si un usuario es una persona real y no un bot antes de mostrar un anuncio.

1. Un usuario visita un sitio web (conocido como emisor) y realiza acciones que llevan al sitio a creer que el usuario es una persona real, como realizar compras, usar una cuenta de correo electrónico o completar reCAPTCHA de forma correcta.
2. El sitio del emisor usa la API de JavaScript de Private State Token para activar una solicitud de tokens de confianza para el navegador del usuario.
3. El sitio del emisor responde con datos de tokens.
4. El navegador del usuario almacena de forma segura los datos del token de confianza.
5. El usuario visita un sitio web diferente (como un publicador de noticias) que desea verificar si el usuario es una persona real: por ejemplo, cuando se muestran anuncios.
6. El sitio usa la API de Private State Token para verificar si el navegador del usuario tiene tokens de confianza almacenados para los emisores en los que el sitio confía.
7. Se encuentran tokens de estado privados para el emisor que el usuario visitó anteriormente.
8. El sitio del publicador envía una solicitud a la entidad emisora para canjear los tokens de confianza.
9. El sitio del emisor responde con un registro de canje.
10. El sitio del publicador envía una solicitud a una plataforma de anuncios, incluido el registro de canje, para mostrar que el emisor confía en que el usuario es una persona real.
11. La plataforma de anuncios proporciona los datos necesarios para mostrar un anuncio.
12. El sitio del publicador muestra el anuncio.
13. Se registra una impresión de vista de anuncio.

¿Hay herramientas disponibles para los tokens de estado privado?

Las herramientas para desarrolladores de Chrome activan la inspección desde las pestañas Red y Aplicación. Obtén más información sobre esta integración de DevTools y sobre los tokens de estado privado.

¿Cómo manejan los sitios web los tokens de varios emisores de confianza?

El sitio puede verificar si el navegador de un usuario tiene tokens válidos con document.hasTrustToken() para un emisor a la vez. Si se muestra true y hay un token disponible, el sitio puede canjearlo y dejar de buscar otros tokens.

El sitio web debe decidir qué emisores de tokens verificar y en qué orden.

Casos de uso

Los tokens de estado privado (PST) admiten una variedad de casos de uso contra el fraude. En esencia, la PST puede actuar como un indicador de confianza adicional porque la API puede codificar datos que pueden ayudar a transmitir confianza de un contexto a otro. A medida que desaparecen las cookies de terceros, reconocemos que será fundamental asegurarse de que los casos de uso como los siguientes puedan seguir funcionando según sea necesario. Todos los casos de uso de PST requieren que los emisores y los canjeadores trabajen juntos. Te recomendamos que consideres PST si tienes casos de uso similares a los siguientes:

• Servicios contra el fraude: Prevenir el fraude es un caso de uso legítimo que la Web debería admitir, pero no debería requerir un identificador estable, global y por usuario. En contextos de terceros, se puede usar PST para segmentar a los usuarios en conjuntos de confianza y no confiables.
• Analizar el fraude con anuncios: La PST puede ser útil para analizar clics, impresiones y esquemas de bots fraudulentos en los servicios de tecnología publicitaria.
• Detección de bots: Después de ejecutar el análisis para determinar si un navegador es un bot o no, PST puede ayudar a codificar esa información para que se comparta de un contexto a otro.
• Pagos seguros: Para detectar amenazas que son más difíciles de identificar en un contexto de terceros con información limitada (como el carding), la PST se puede usar como un indicador adicional para transmitir confianza.
• Servicios contra el abuso en el comercio electrónico: Detectar bots en las interacciones de comercio electrónico (clics, confirmación de la compra, compras, calificaciones de productos, bots de chat, devoluciones) es muy importante para evitar el raspado de páginas y las interacciones no humanas. Este puede ser un indicador adicional importante para detectar agentes automatizados de proveedores externos de prevención de fraudes en plataformas de comercio electrónico.
• Servicios de CDN: Los PST proporcionan un mecanismo para ayudar a generar informes y detectar el tráfico fraudulento.

Esta lista de casos de uso no es exhaustiva de todas las capacidades de prevención de fraudes que pueden beneficiarse de los tokens de estado privados. La lista tampoco es mutuamente excluyente, ya que la PST puede beneficiar a varios flujos de trabajo de prevención de fraudes.

Recorridos del usuario

La emisión y el canje son los componentes clave de los tokens de estado privado. Si bien los casos de uso anteriores son las áreas clave en las que se admitirían los PST, puedes pensar en los siguientes momentos de ciertos recorridos del usuario como las instancias en las que realmente deseas emitir o canjear tokens:

• Emite tokens durante los flujos de administración de cuentas (acceso, registro, restablecimiento de contraseñas, etcétera)
• Emite tokens después de confirmar una autenticación de varios factores (MFA)
• Emite tokens después de acciones de alto riesgo, como borrar el historial de pagos
• Canjea tokens para la confirmación entre sitios antes de realizar acciones de riesgo moderado
• Canjea tokens para la confirmación entre sitios antes de realizar acciones de alto riesgo

Cumplimiento de las leyes de privacidad en línea

La emisión de tokens de estado privados implica el almacenamiento de información en el equipo terminal de un usuario y, por lo tanto, es una actividad sujeta a las leyes de privacidad en línea del Espacio Económico Europeo (EEE) y el Reino Unido, que, por lo general, requieren el consentimiento del usuario. Como emisor, es su responsabilidad determinar si el uso de la API de Private State Tokens es estrictamente necesario para proporcionar un servicio en línea que el usuario solicitó de forma explícita y, por lo tanto, está exento del requisito de consentimiento. Para obtener más información, te recomendamos que leas nuestras Preguntas frecuentes sobre el cumplimiento relacionado con la privacidad de Privacy Sandbox.

Interactúa y comparte comentarios

• Prueba de origen: Ya se cerró.
• Demo: La prueba de origen de Trust Tokens cerró, pero puedes consultar la demo.
• GitHub: Lee la propuesta, haz preguntas y sigue el debate.
• W3C: Analiza los casos de uso del sector en el grupo de ubicaciones de la empresa para mejorar la publicidad web.
• IETF: Proporcionar entradas técnicas para el protocolo subyacente en el grupo de trabajo Privacy Pass del IETF
• Asistencia para desarrolladores: Haz preguntas y únete al debate del repositorio de asistencia para desarrolladores de Privacy Sandbox.
• Preguntas sobre la prueba de origen: informa un error de Chromium o responde el formulario de comentarios que se te envió como participante de la prueba de origen.

Más información

• Explicación técnica de la API de Private State Tokens
• Cómo comenzar a usar Private State Tokens: una descripción general para desarrolladores web
• Cómo comenzar a usar las pruebas de origen de Chrome
• Análisis de Privacy Sandbox