Latch, el nuevo servicio de ElevenPaths

ElevenPaths    12 diciembre, 2013
Durante el tiempo que llevamos trabajando en ElevenPaths, internamente han ocurrido acontecimientos de todo tipo, pero uno de los más
emocionantes ha sido el nacimiento de Latch. Una tecnología propia que ha sido pensada,
ideada, perfilada, patentada e implementada por nuestro equipo… y ahora mostrada al mundo. Estamos orgullosos del trabajo realizado y necesitábamos contarlo. Por fin podemos hacerlo. Aquí está Latch.
Pensamos que el usuario no utiliza los servicios digitales (su
banca online, su correo, sus redes sociales…) las 24 horas del día. ¿Por qué se permite que los atacantes sí
tengan la posibilidad de intentar acceder a ellos en cualquier momento?
Latch
es una tecnología que pretende otorgar al usuario el control de su identidad en
la red fortaleciendo la gestión de la autenticación y mejorando la seguridad de
los proveedores de servicios. 
Latch,
controla cuándo es posible acceder a tus servicios digitales.
Las contraseñas, el sistema de autenticación más antiguo, son un
problema de seguridad con el que tenemos que aprender a convivir. Un segundo
factor de autenticación, biometría, gestores de contraseñas… todavía no se ha dado con la fórmula mágica para que el usuario deje de usar contraseñas
simples, las reutilice, o las escriba en un papel. Y Latch no es esa solución. Aun
en el caso de usuarios avanzados con buenas prácticas en el uso de
credenciales, es posible que la contraseña sea robada. El malware que se dedica
profesionalmente al robo de credenciales es “habitual” desde hace
tiempo
. Pero incluso los usuarios más
cuidadosos con sus sistemas pueden sufrir problemas si las bases de datos de
terceros son vulneradas
, y sus credenciales acaban en manos de atacantes. Y
Latch, tampoco es la solución para este problema.
Latch no sustituye a
las contraseñas, complementa y fortalece cualquier sistema de autenticación
.

La aproximación de Latch es diferente. Evitar que los datos de
autenticación sean robados es muy complejo. Sin embargo, sí que es posible que
el usuario tome el control de sus servicios digitales, y reduzca su tiempo de
exposición.
“Apagar” el acceso a tu correo, la posibilidad de usar tu
tarjeta de crédito, o realizar transacciones online, cuando no esté usando.

Bloquearlos incluso cuando se conocen las contraseñas adecuadas. Latch otorga
la posibilidad de que sea el propio usuario quien decida cuándo se puede
acceder a sus cuentas o usar ciertos servicios. No el proveedor. Ni por
supuesto, el atacante.
Latch va a permitir que, incluso si un atacante utiliza un usuario
y contraseña robado, una tarjeta de crédito, o cualquier sistema de
que necesite una aprobación, al atacante le sea
imposible utilizar esta información para hacerse pasar por el usuario fuera de
un intervalo definido.
En resumen, es posible que el usuario y contraseña
que se utilizan para acceder a cualquier servicio, sean (pulsando un botón) solo
válidos durante esos pocos segundos en los que es el propio usuario quien los
introduce en el sistema.
El esquema Latch
Aunque hemos hablado
de contraseñas, Latch se presenta en realidad como un servicio diseñado para
proteger los procesos definidos por cualquier proveedor de servicios para
interactuar con sus usuarios. La naturaleza y el uso que se pueda dar a estos
procesos son independientes de la protección que puede ser proporcionada por
Latch.
La idea fundamental
sobre la que se estructura esta protección es la limitación del tiempo de
exposición del que dispone un atacante para intentar aprovechar alguno de estos
procesos en su propio beneficio. El usuario decidirá si sus cuentas están en ON
u OFF e incluso las acciones que se pueden realizar desde ellas.
Esto
supone que se logre la reducción de la ventana de tiempo en la que podría
suceder un ataque, asociando a cada operación un control externo. El proveedor
de servicio consultará a Latch el estado con el que el usuario ha decido
configurar  la ejecución de esta
operación para un momento determinado.

Esquema general de funcionamiento de Latch
En esta figura, un cliente que solicita la ejecución de una
operación a un proveedor de servicios puede obtener la confirmación de que
esta operación se ha realizado de forma
satisfactoria o que se ha denegado.

La configuración del
estado definido por una operación concreta se realiza de a través de un canal
alternativo
(y considerado más “seguro” que el dispositivo habitual), así que cualquier intento de utilizar la operación que ha sido
bloqueada por el propio cliente se puede identificar como una anomalía. Su
existencia podría implicar a su vez que el usuario que solicita la ejecución de
la operación no sea quien está afirmando ser y se haya detectado así un intento de fraude.

Cómo funciona en la
práctica

El usuario solo necesitará utilizar su smartphone para
“activar” o “desactivar” los servicios pareados con Latch.
Para ello es necesario:
  • La creación de una cuenta de usuario en Latch por
    parte del cliente.
    Esta cuenta
    será la utilizada por el usuario para configurar sus estados en las operaciones
    (establecer a ON u OFF sus cuentas con los proveedores).
  • El pareado de su cuenta habitual con el proveedor (la
    cuenta de correo, o de un blog, por ejemplo) que se desea controlar
    , con la cuenta de usuario de Latch. Este paso
    permitirá a Latch sincronizarse con el proveedor de servicio para ofrecerle la
    respuesta adecuada (configurada por el usuario) dependiendo del proveedor de
    servicio y la operación concreta dentro de él.
    Por supuesto, el proveedor de servicio debe ser compatible con Latch.
    Esto permite a los usuarios que lo decidan, aprovechar esta ventaja ofrecida
    por el proveedor, sin que este deba imponer la solución a todos sus clientes.

Latch
en los proveedores de servicio



Latch permite que los usuarios adapten el acceso a sus servicios a
la forma en que ellos usan estos servicios y para conseguirlo, los proveedores deben
integrar Latch en sus sistemas. Hemos preparado diferentes SDKs en muchos
lenguajes diferentes (.NET, PHP, ASP…) y hemos creado plugins para
plataformas ya existentes, como WordPress, PrestaShop, Drupal y Joomla.
Las páginas que usen estas plataformas,
pueden ofrecer Latch a sus clientes, de forma muy cómoda.
Los usuarios que
decidan utilizar el servicio, podrán beneficiarse de Latch también fácilmente.

La integración es sencilla, y el proveedor puede mejorar sustancialmente la seguridad que ofrece a sus
usuarios, cediéndoles un mayor control de su seguridad y por tanto, de su
identidad en la red.
Y esto no es todo…

Latch permite otras fórmulas para intentar proteger al
usuario, sus credenciales, servicios online e identidad en la red. Las
presentaremos poco a poco. 

Comentarios

  1. Me gustaría conocer vuestra visión acerca de una serie de puntos flacos que le veo a esta tecnología, gracias de antemano.

    1) Si yo fuera un atacante y hubiera capturado las credenciales de mi víctima, lo que haría sería programar algún tipo de script que intentara acceder a la cuenta cada hora (por ejemplo). En algún momento la víctima quitará el latch y podría acceder, una vez dentro de su cuenta ya poco importaría que vuelva a poner o no el latch. A no ser que el servicio que implementa el latch compruebe de forma periódica el servidor de latch y expulse al usuario en caso de que el pestillo esté echado, cosa que sería costosa si se tiene que hacer para todos los usuarios cuya sesión está activa. Por no decir que si he sido capaz de capturar las credenciales del usuario (con un troyano o similar), no creo que tenga mucho problema tampoco en conocer sus habitos de conexión y entender cúando está abierto su latch.

    2) ¿Qué sucede con los robos de sesión? Ayer hablásteis de como no se podía hacer login si no se estaba en la ventana de apertura del pestillo, ahora bien, si el atacante logró interceptar la sesión del usuario y esta sigue activa, ¿podría acceder? En principio parece que sí a no ser que se introduzca más código para nuevamente hacer peticiones periódicas al servidor de latch.

    3) Este servicio es realmente útil para el usuario única y exclusivamente si se convirtiera en un estándar ad hoc. Como usuario no tengo ningún incentivo para instalarlo a no ser que Facebook, GMail y todos los grandes servicios lo instalen. Si sólo tres o cuatro bancos lo implantan, prefiero tener mi token bancario antes que tener que instalar esta aplicación única y exclusivamente para que se encargue de mi identidad digital en el banco. Sinceramente, no veo a los grandes servicios de Internet implementando latch.

    4) Desde el punto de vista técnico tiene algunas desventajas importantes. Por cada login en el servicio que lo implementa se ha de hacer una petición al servidor de latch. Si se tienen muchos usuarios esto puede ser bastante costoso. Imaginemos que tenemos 1millón de logins al día, en el mejor de los casos un RTT completo de 300ms, se trata de casi 84 horas-maquina diarias dedicadas a comunicación con el servidor latch. Esto si no implementamos peticiones periódicas como las anteriormente citadas para evitar los problemas anteriormente comentados.

    5) Para un usuario puede que al principio la aplicación resulte novedosa y se esfuerce en abrir y cerrar sus pestillos. Ahora bien, tal y como comentásteis, para un usuario es ya un inconveniente introducir un OTP de 4 dígitos, si cada vez que desconecta de un servicio online tiene que cerrar el pestillo acabará por cansarse de hacerlo y lo dejará en modo nocturno automático. Si soy un atacante, con saber en que franja horaria vive mi víctima ya tengo muchas posibilidades de saber cuando va a estar despierto y el concepto de latch se cae por completo cuando se ve reducido al cerrojo nocturno nada más.

    Por otra parte, me gustaría echar un vistazo a las tripas técnicas de esta tecnología. Una descripción de cómo va la comunicación entre servicio online y servidor de latch. Igualmente para móvil y latch. ¿Tenéis pensado publicar algo más acerca de esto? Los plugins que mencionáis para prestashop y demás, ¿están ya disponibles? ¿dónde?

  2. Estoy con DALTON, he estado leyendo por ahí y me gustaría saber hasta que punto puedo usarlo, ya que estoy totalmente interesado en ello. He leído acerca del panel acens, pero no estoy con telefónica. Gracias

  3. El usuario final debe decidir si desea facilidad contra seguridad que le pueda dar cualquier solución, la cual ha sido la gran batalla de los grupos de IT toda la vida del lado de la seguridad.

    No es un concepto nuevo, pero esta bueno hacerlo como un proceso estándar. Por ejemplo en mi país para poder hacer compras online prácticamente todos los bancos en su banca online han puesto un botón en el cual tienes que habilitar la tarjeta de crédito para poder procesar la compra online.
    Ya poniéndome como una persona que usa google authenticator me gustaría probar este sistema, pero me surgen algunas dudas. Ese segundo medio para activar o no el servicio que quiero usar además de ser seguro debe esta online en todo momento, entonces eso significa que el dispositivo que va a actuar como activador tiene que tener plan de datos y consumirle trafico al usuario en ese envío de señalización para que active o no la cuenta para usarla.

    Qué pasa si el usuario necesita usar el servicio y el Smartphone no tiene plan de datos o por cuestiones de cobertura no tiene internet, en L.A. por más que la mayoría de los proveedores vendan plan de datos 3g y 4g no aplica en todas las localidades de una ciudad o en sitios que no llega señal por ejemplo: un sótano, edificios viejos con construcción de concreto que bloquea la señal, etc.

  4. @DALTON Aún no tenemos un listado "oficial", pero estamos trabajando en ello (y los administradores de los servicios, también). Lo ofreceremos cuando esté disponible.

    @Anonymous Tenemos contemplada que no exista cobertura de internet en el smartphone y en el futuro es posible que se implemente un canal alternativo. Gracias.

  5. Espero que pronto podáis poner esa lista, y que incluya a los principales bancos. Estoy interesado en usarlo y recomendarlo porque veo que con los teléfonos es relativamente fácil que alguien averigue tus contraseñas de consulta (las de operar entiendo que están menos expuestas).
    Es un poco decepcionante instalar la aplicación y luego no ver aplicaciones sobre las que esperas usar el servicio.
    Buena suerte.

  6. De momento lo estoy probando en mi cuenta de 0xWord: https://0xword.com/ y sin ningún problema.
    Se agradece que en esta actualización hayan tenido en cuenta el idioma Español, cuando se lanzo por primera vez en ingles, la desinstale precisamente por eso, aunque hay que decir que era un proceso simple e intuitivo… pero…no se ingles. Simplemente aprovechar este espacio para daros las gracias y felicitaros por tan excelente trabajo. Salu2!

  7. Espero el listado de donde se puede usar dado que sino tengo muy limitada la aplicación que me parece buenisima.
    Espero que nos puedan decir en que sitios lo podemos usar. Muchas gracias.

  8. A menos que tenga una expansión mínima, parece que la utilidad es bastante dudosa, ya que para la mayoría de los mortales no nos sirve para nada. El día que se integre con facebook, ING, Santander, gmail, hotmail, twitter…. ya hablaremos.

  9. Sobre el papel este sistema de seguridad esta muy bien (claro esta que el papel te lo aguanta todo), pero pienso que las grandes empresas (donde esto sería útil) no van a dejar sus sistemas, en manos de esta tecnología.
    A parte de lo que pasa con todos estos los sistemas de seguridad, en el punto final esta el usuario y sus negligencias,que es el principal fallo de seguridad de cualquier sistema y que esta tecnología no va a solucionar, simplemente hará más engorroso su autentificación y se cansará y dejará de utilizarlo.

  10. En el artículo indicáis que se trata de una tecnología patentada por vuestro equipo. ¿Podríais dar alguna referencia sobre dicha patente?

  11. Hola, la información sobre las patentes en sí no es publica hasta que pasen al menos 18 meses desde el primer registro. Si quiere más información con respecto al funcionamiento, puede utilizar el servicio de soporte de Latch. ¡Gracias!

  12. Desde mi punto de vista el sistema es bueno, es una capa mas de seguridad que podemos aplicar a nuestras idetidades digitales. Que puede ser un engorro? pues seguro que si, pero tambié es cansino introducir el password en un teclado virtual. Latch no deja de ser una opción, si los bancos, facebook, twitter ….. lo implementan pues estaría en nuestras manos utilizarlo o no.
    Sería conveniente disponer de una lista de los servicios que implementan Latch y poder utilizarlos o no.
    Todos los que vivimos en pisos tenemos una puerta en el portal que en la mayoria de los casos suele estar cerrada con llave (1ª barrera contra ladrones). Y luego tenemos la puerta de casa que generalmente tiene una puerta mas robusta y con una cerradura mejor (2ª barrera). Y los paranoicos suelen poner cerrojos por dentro.

    El futuro nos dirá si es se implementará o no, pero de entrada para mi, es una buena idea poder tener cerrado el acceso a mi identidad virtual y ser consciente de que terceras personas se esten intentando conectar a mi identidad.

    Un saludo.

  13. jajaja entonces lo único que hay que "temer" con latch es que no te ataquen tu propia cuenta de latch pq entonces …. -no sé que más decir pq no sé más del tema me refiero a como se comunica latch con tu cuenta de google pero espero que latch no guarde los datos de acceso a google pq si no madre mía.-

  14. Sres. de Eleven Paths:
    Creo que vuestro pecado capital es la SOBERBIA, me parece insólito que lancen una aplicación como esta con toda la pompa, bombos y platillos como se aprecia en vuestra presentación y que aún no tengan claro con qué servicios o sitios web es compatible, es exactamente igual que crear un automóvil que no contamina, vuela, se sumerge en el agua, puede viajar al espacio y se conduce solo, pero tiene un pequeño problema, aún no hemos inventado el combustible que lo haga funcionar, insólito, me parece muy atractiva vuestra aplicación (si funciona) y estaré atento a la información de compatibilidad de la misma, ya que a mi criterio, deberían haber partido por ahi, espero que esté disponible pronto.

  15. ¿Qué podemos hacer los usuarios para alzar la voz de Latch? Pienso que la única manera de que los "gigantes" la integren es mediante la petición e insistencia de quienes hacemos uso de sus servicios.

  16. Se podrían controlar inicios de sesión en Android con Latch? Sería para utilizarlo por ejemplo como control parental para la Tablet de mis hijos y que solo se pueda iniciar sesión si yo se lo permito desde mi movil. Sería in plugin como el de Windows, pero para android. Gracias.

  17. Muy buenas tardes! he descargado latch en mi celular ! pero por ahora solo he pareado la cuenta de get satisfaction, me gustaria saber como puedo parear mi cuenta de facebook, gmail, hotmail y twitter. he visto este video " https://www.youtube.com/watch?v=Nvt-szuxIYM " en el canal de maligno alonso y estoy realmente interesado sobre como hacer dicho pareamiento.
    si alguien tiene la informacion de como se hace seria de mucha ayuda y de ante mano mil gracias !

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *