Tokens de estado privado

Estado de implementación

• Estado de la plataforma Chrome
• En prueba de origen Chrome 84 a 101: Ya finalizó.
• Integración de las Herramientas para desarrolladores de Chrome

¿Qué son los tokens de estado privado?

Los tokens de estado privado permiten que se transmita la confianza en la autenticidad de un usuario de un contexto a otro para ayudar a los sitios a combatir el fraude y distinguir a los bots de los seres humanos, sin el seguimiento pasivo.

• Un sitio web emisor puede emitir tokens para el navegador web de un usuario que demuestre ser confiable, por ejemplo, a través del uso continuo de la cuenta, completando una transacción o obteniendo una puntuación de reCAPTCHA aceptable.
• Un sitio web de canjeador puede confirmar que un usuario no es falso verificando si tiene tokens de un emisor en el que confía el canjeador y, luego, canjeando los tokens según sea necesario.

Los tokens de estado privado están encriptados, por lo que no es posible identificar a una persona física ni conectar instancias, sean o no de confianza, para descubrir la identidad del usuario.

¿Por qué necesitamos tokens de estado privado?

La Web necesita formas de establecer y transmitir indicadores de confianza que demuestren que un usuario es quien dice ser y no un bot que finge ser humano o un tercero malicioso que defrauda a una persona o un servicio real. La protección contra el fraude es especialmente importante para los anunciantes, los proveedores de anuncios y las CDN.

Lamentablemente, muchos mecanismos existentes para medir y propagar la confiabilidad (por ejemplo, para determinar si la interacción con un sitio es de un humano real) aprovechan técnicas que también se pueden usar para la huella digital. Los mecanismos para transmitir confianza deben preservar la privacidad, lo que permite que la confianza se propague en los sitios sin el seguimiento de usuarios individuales.

Con la API de Private State Tokens, un sitio web puede emitir tokens criptográficos a un usuario en el que confía, que luego se pueden usar en otro lugar. El navegador del usuario almacena los tokens de forma segura, y luego se pueden canjear en otros contextos para confirmar la autenticidad del usuario. Esto permite que la confianza de un usuario en un sitio web (como un sitio de redes sociales o un servicio de correo electrónico) se transmita a otro sitio web (como un editor o una tienda en línea) sin identificar al usuario ni vincular identidades en los sitios.

¿Cómo funcionan los Private State Tokens?

En este ejemplo, el sitio web de un publicador quiere verificar si un usuario es una persona real y no un bot antes de mostrar un anuncio.

1. Un usuario visita un sitio web (conocido como emisor) y realiza acciones que hacen que el sitio crea que el usuario es una persona real, como realizar compras, usar una cuenta de correo electrónico o completar reCAPTCHA correctamente.
2. El sitio emisor usa la API de Private State Token de JavaScript para activar una solicitud de tokens de confianza para el navegador del usuario.
3. El sitio del emisor responde con datos del token.
4. El navegador del usuario almacena de forma segura los datos del token de confianza.
5. El usuario visita un sitio web diferente (como el de un editor de noticias) que desea verificar si el usuario es una persona real, por ejemplo, cuando se muestran anuncios.
6. El sitio usa la API de Private State Tokens para verificar si el navegador del usuario tiene almacenados tokens de confianza para los emisores en los que confía el sitio.
7. Se encuentran tokens de estado privado para la entidad emisora que el usuario visitó anteriormente.
8. El sitio del publicador envía una solicitud a la entidad emisora para canjear los tokens de confianza.
9. El sitio del emisor responde con un registro de canje.
10. El sitio del publicador realiza una solicitud a una plataforma de anuncios, incluido el registro de canje, para demostrar que el emisor confía en que el usuario es una persona real.
11. La plataforma de anuncios proporciona los datos necesarios para mostrar un anuncio.
12. El sitio del publicador muestra el anuncio.
13. Se registra una impresión de vista del anuncio.

¿Hay herramientas disponibles para los tokens de estado privado?

Las Herramientas para desarrolladores de Chrome activan la inspección desde las pestañas Red y Aplicación. Obtén más información sobre esta integración de DevTools y sobre los tokens de estado privado.

¿Cómo manejan los sitios web los tokens de varios emisores de confianza?

El sitio puede verificar si el navegador de un usuario tiene tokens válidos con document.hasTrustToken() para un emisor a la vez. Si devuelve true y hay un token disponible, el sitio puede canjear el token y dejar de buscar otros tokens.

El sitio web debe decidir qué emisores de tokens verificar y en qué orden.

Casos de uso

Los tokens de estado privado (PST) admiten una variedad de casos de uso contra el fraude. En esencia, PST puede actuar como un indicador de confianza adicional porque la API puede codificar fragmentos de información que pueden ayudar a transmitir confianza de un contexto a otro. A medida que desaparezcan las cookies de terceros, reconocemos que será fundamental asegurarnos de que los casos de uso, como los siguientes, puedan seguir funcionando según sea necesario. Todos los casos de uso de PST requieren que tanto los emisores como los canjeadores trabajen en conjunto. Te recomendamos que consideres usar PST si tienes casos de uso similares a los siguientes:

• Servicios antifraude: Prevenir el fraude es un caso de uso legítimo que la Web debería admitir, pero no debería requerir un identificador estable, global y por usuario. En contextos de terceros, PST se puede usar para segmentar a los usuarios en conjuntos de confianza y no confianza.
• Análisis del fraude de anuncios: PST puede ser útil para analizar los clics, las impresiones y los esquemas de bots fraudulentos en los servicios de tecnología publicitaria.
• Detección de bots: Después de ejecutar tu análisis para determinar si un navegador es un bot o no, PST puede ayudarte a codificar esa información para compartirla de un contexto a otro.
• Pagos seguros: Para detectar amenazas que son más difíciles de identificar en un contexto de terceros con información limitada (como el carding, PST se puede usar como un indicador adicional para transmitir confianza.
• Servicios contra el abuso en el comercio electrónico: Detectar bots en las interacciones de comercio electrónico (clics, confirmación de compra, compra, calificaciones de productos, chatbots, devoluciones) es muy importante para evitar el scraping de páginas y las interacciones no humanas. Esto puede ser un indicador adicional importante para detectar agentes automatizados en proveedores externos de servicios antifraude en plataformas de comercio electrónico.
• Servicios de CDN: Los PST proporcionan un mecanismo para ayudar en la detección y la generación de informes sobre el tráfico fraudulento.

Esta lista de casos de uso no es exhaustiva de todas las capacidades antifraude que pueden beneficiarse de los Private State Tokens. La lista tampoco es mutuamente exclusiva, ya que el PST puede beneficiar a varios flujos de trabajo contra el fraude.

Recorridos de los usuarios

La emisión y el canje son los componentes clave de los tokens de estado privado. Si bien los casos de uso anteriores son las áreas clave en las que se admitirían los PST, puedes pensar en los siguientes momentos de ciertos recorridos del usuario como las instancias en las que realmente querrías emitir o canjear tokens:

• Emitir tokens durante los flujos de administración de cuentas (acceso, registro, restablecimiento de contraseña, etcétera)
• Emitir tokens después de confirmar una autenticación de varios factores (MFA)
• Emitir tokens después de acciones de alto riesgo, como borrar el historial de pagos
• Canjea tokens para la confirmación en varios sitios antes de realizar acciones de riesgo moderado
• Canjea tokens para la confirmación en varios sitios antes de realizar acciones de alto riesgo

Cumplimiento de las leyes de privacidad electrónica

La emisión de tokens de estado privado implica el almacenamiento de información en el equipo terminal de un usuario y, por lo tanto, es una actividad sujeta a las leyes de privacidad electrónica en el Espacio Económico Europeo (EEE) y el Reino Unido, que generalmente requieren el consentimiento del usuario. Como emisor, es tu responsabilidad determinar si el uso de la API de Private State Tokens es estrictamente necesario para proporcionar un servicio en línea solicitado explícitamente por el usuario y, por lo tanto, está exento del requisito de consentimiento. Para obtener más información, te recomendamos que leas nuestras Preguntas frecuentes sobre el cumplimiento de la privacidad de Privacy Sandbox.

Interactúa y comparte comentarios

• Prueba de origen: Ya se cerró.
• GitHub: Lee la propuesta, haz preguntas y sigue el debate.
• W3C: Analiza los casos de uso del sector en el grupo de ubicaciones de la empresa para mejorar la publicidad web.
• IETF: Proporcionar información técnica para el protocolo subyacente en el grupo de trabajo de Privacy Pass de IETF
• Asistencia para desarrolladores: Haz preguntas y únete a los debates en el repositorio de asistencia para desarrolladores de Privacy Sandbox.
• Preguntas sobre la prueba de origen: Presenta un error de Chromium o responde el formulario de comentarios que se te envía como participante de la prueba de origen.

Más información

• Explicación técnica de la API de Private State Tokens
• Primeros pasos con Private State Tokens: Una descripción general para desarrolladores web
• Comienza a usar las pruebas de origen de Chrome
• Profundización en Privacy Sandbox