Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths #CyberSecurityPulse: triste aportación en Estados Unidos de la empresa privada a la compartición de inteligencia de amenazas Después de un poco más de dos años de que el Congreso aprobara un importante proyecto de ley que incentivaba a las empresas a compartir con el gobierno cómo...
ElevenPaths ElevenPaths Radio – 2×06 Entrevista a Ryan Kalember Hablamos con Ryan Kalember, Vicepresidente de Estrategia de Ciberseguridad en Proofpoint, sobre la importancia de un cambio de mentalidad en ciberseguridad.
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Nuevo Whitepaper “Alcance, escala y riesgo sin precedentes: Asegurar el Internet de las cosas” elaborado conjuntamente por Telefónica y el equipo de analistas de ElevenPaths Descárgate aquí el Whitepaper completo Esta semana presentamos en Londres y Madrid, a los medios y analistas del sector, nuestro nuevo Whitepaper “Alcance, escala y riesgo sin precedentes: Asegurar el Internet...
Sergio De Los Santos Los métodos para bloquear (si quieres) DoH en la red interna DoH (DNS over HTTPS) es la solución por la que apuesta Firefox pero ¿rompe más de lo que arregla? Cómo deshabilitar DoH en Chrome y Firefox, en este post.
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Helene Aguirre Mindeguia Fake news y ciberamenazas en tiempos de coronavirus Helene Aguirre te cuenta cómo las ciberamenazas no cesan en ningún momento, ni siquiera en con una alerta sanitaria por una pandemia a nivel global.
ElevenPaths ElevenPaths Radio 2×15 – Entrevista a Helena Matute ¿Cómo tomamos decisiones los humanos? Cuando no contamos con todos los datos necesarios para tomar una decisión perfectamente informada ni disponemos de tiempo suficiente, recurrimos a atajos mentales, cuentas...
Latch, el nuevo servicio de ElevenPathsElevenPaths 12 diciembre, 2013 Durante el tiempo que llevamos trabajando en ElevenPaths, internamente han ocurrido acontecimientos de todo tipo, pero uno de los más emocionantes ha sido el nacimiento de Latch. Una tecnología propia que ha sido pensada, ideada, perfilada, patentada e implementada por nuestro equipo… y ahora mostrada al mundo. Estamos orgullosos del trabajo realizado y necesitábamos contarlo. Por fin podemos hacerlo. Aquí está Latch. Pensamos que el usuario no utiliza los servicios digitales (su banca online, su correo, sus redes sociales…) las 24 horas del día. ¿Por qué se permite que los atacantes sí tengan la posibilidad de intentar acceder a ellos en cualquier momento? Latch es una tecnología que pretende otorgar al usuario el control de su identidad en la red fortaleciendo la gestión de la autenticación y mejorando la seguridad de los proveedores de servicios. Latch, controla cuándo es posible acceder a tus servicios digitales. Las contraseñas, el sistema de autenticación más antiguo, son un problema de seguridad con el que tenemos que aprender a convivir. Un segundo factor de autenticación, biometría, gestores de contraseñas… todavía no se ha dado con la fórmula mágica para que el usuario deje de usar contraseñas simples, las reutilice, o las escriba en un papel. Y Latch no es esa solución. Aun en el caso de usuarios avanzados con buenas prácticas en el uso de credenciales, es posible que la contraseña sea robada. El malware que se dedica profesionalmente al robo de credenciales es “habitual” desde hace tiempo. Pero incluso los usuarios más cuidadosos con sus sistemas pueden sufrir problemas si las bases de datos de terceros son vulneradas, y sus credenciales acaban en manos de atacantes. Y Latch, tampoco es la solución para este problema. Latch no sustituye a las contraseñas, complementa y fortalece cualquier sistema de autenticación. La aproximación de Latch es diferente. Evitar que los datos de autenticación sean robados es muy complejo. Sin embargo, sí que es posible que el usuario tome el control de sus servicios digitales, y reduzca su tiempo de exposición. “Apagar” el acceso a tu correo, la posibilidad de usar tu tarjeta de crédito, o realizar transacciones online, cuando no esté usando. Bloquearlos incluso cuando se conocen las contraseñas adecuadas. Latch otorga la posibilidad de que sea el propio usuario quien decida cuándo se puede acceder a sus cuentas o usar ciertos servicios. No el proveedor. Ni por supuesto, el atacante. Latch va a permitir que, incluso si un atacante utiliza un usuario y contraseña robado, una tarjeta de crédito, o cualquier sistema de que necesite una aprobación, al atacante le sea imposible utilizar esta información para hacerse pasar por el usuario fuera de un intervalo definido. En resumen, es posible que el usuario y contraseña que se utilizan para acceder a cualquier servicio, sean (pulsando un botón) solo válidos durante esos pocos segundos en los que es el propio usuario quien los introduce en el sistema. El esquema Latch Aunque hemos hablado de contraseñas, Latch se presenta en realidad como un servicio diseñado para proteger los procesos definidos por cualquier proveedor de servicios para interactuar con sus usuarios. La naturaleza y el uso que se pueda dar a estos procesos son independientes de la protección que puede ser proporcionada por Latch. La idea fundamental sobre la que se estructura esta protección es la limitación del tiempo de exposición del que dispone un atacante para intentar aprovechar alguno de estos procesos en su propio beneficio. El usuario decidirá si sus cuentas están en ON u OFF e incluso las acciones que se pueden realizar desde ellas. Esto supone que se logre la reducción de la ventana de tiempo en la que podría suceder un ataque, asociando a cada operación un control externo. El proveedor de servicio consultará a Latch el estado con el que el usuario ha decido configurar la ejecución de esta operación para un momento determinado. Esquema general de funcionamiento de Latch En esta figura, un cliente que solicita la ejecución de una operación a un proveedor de servicios puede obtener la confirmación de que esta operación se ha realizado de forma satisfactoria o que se ha denegado. La configuración del estado definido por una operación concreta se realiza de a través de un canal alternativo (y considerado más “seguro” que el dispositivo habitual), así que cualquier intento de utilizar la operación que ha sido bloqueada por el propio cliente se puede identificar como una anomalía. Su existencia podría implicar a su vez que el usuario que solicita la ejecución de la operación no sea quien está afirmando ser y se haya detectado así un intento de fraude. Cómo funciona en la práctica El usuario solo necesitará utilizar su smartphone para “activar” o “desactivar” los servicios pareados con Latch. Para ello es necesario: La creación de una cuenta de usuario en Latch por parte del cliente. Esta cuenta será la utilizada por el usuario para configurar sus estados en las operaciones (establecer a ON u OFF sus cuentas con los proveedores). El pareado de su cuenta habitual con el proveedor (la cuenta de correo, o de un blog, por ejemplo) que se desea controlar, con la cuenta de usuario de Latch. Este paso permitirá a Latch sincronizarse con el proveedor de servicio para ofrecerle la respuesta adecuada (configurada por el usuario) dependiendo del proveedor de servicio y la operación concreta dentro de él. Por supuesto, el proveedor de servicio debe ser compatible con Latch. Esto permite a los usuarios que lo decidan, aprovechar esta ventaja ofrecida por el proveedor, sin que este deba imponer la solución a todos sus clientes. Latch en los proveedores de servicio Latch permite que los usuarios adapten el acceso a sus servicios a la forma en que ellos usan estos servicios y para conseguirlo, los proveedores deben integrar Latch en sus sistemas. Hemos preparado diferentes SDKs en muchos lenguajes diferentes (.NET, PHP, ASP…) y hemos creado plugins para plataformas ya existentes, como WordPress, PrestaShop, Drupal y Joomla. Las páginas que usen estas plataformas, pueden ofrecer Latch a sus clientes, de forma muy cómoda. Los usuarios que decidan utilizar el servicio, podrán beneficiarse de Latch también fácilmente. La integración es sencilla, y el proveedor puede mejorar sustancialmente la seguridad que ofrece a sus usuarios, cediéndoles un mayor control de su seguridad y por tanto, de su identidad en la red. Y esto no es todo… Latch permite otras fórmulas para intentar proteger al usuario, sus credenciales, servicios online e identidad en la red. Las presentaremos poco a poco. El extraño caso del gobierno francés que crea certificados falsos para GoogleFOCA Final Version, la FOCA definitiva
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Martiniano Mallavibarrena La nueva fuerza de trabajo digital y los riesgos alrededor de la robótica de procesos (RPA) En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation),...
ElevenPaths ¿Qué es la VPN y para qué sirve? Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez...
Me gustaría conocer vuestra visión acerca de una serie de puntos flacos que le veo a esta tecnología, gracias de antemano. 1) Si yo fuera un atacante y hubiera capturado las credenciales de mi víctima, lo que haría sería programar algún tipo de script que intentara acceder a la cuenta cada hora (por ejemplo). En algún momento la víctima quitará el latch y podría acceder, una vez dentro de su cuenta ya poco importaría que vuelva a poner o no el latch. A no ser que el servicio que implementa el latch compruebe de forma periódica el servidor de latch y expulse al usuario en caso de que el pestillo esté echado, cosa que sería costosa si se tiene que hacer para todos los usuarios cuya sesión está activa. Por no decir que si he sido capaz de capturar las credenciales del usuario (con un troyano o similar), no creo que tenga mucho problema tampoco en conocer sus habitos de conexión y entender cúando está abierto su latch. 2) ¿Qué sucede con los robos de sesión? Ayer hablásteis de como no se podía hacer login si no se estaba en la ventana de apertura del pestillo, ahora bien, si el atacante logró interceptar la sesión del usuario y esta sigue activa, ¿podría acceder? En principio parece que sí a no ser que se introduzca más código para nuevamente hacer peticiones periódicas al servidor de latch. 3) Este servicio es realmente útil para el usuario única y exclusivamente si se convirtiera en un estándar ad hoc. Como usuario no tengo ningún incentivo para instalarlo a no ser que Facebook, GMail y todos los grandes servicios lo instalen. Si sólo tres o cuatro bancos lo implantan, prefiero tener mi token bancario antes que tener que instalar esta aplicación única y exclusivamente para que se encargue de mi identidad digital en el banco. Sinceramente, no veo a los grandes servicios de Internet implementando latch. 4) Desde el punto de vista técnico tiene algunas desventajas importantes. Por cada login en el servicio que lo implementa se ha de hacer una petición al servidor de latch. Si se tienen muchos usuarios esto puede ser bastante costoso. Imaginemos que tenemos 1millón de logins al día, en el mejor de los casos un RTT completo de 300ms, se trata de casi 84 horas-maquina diarias dedicadas a comunicación con el servidor latch. Esto si no implementamos peticiones periódicas como las anteriormente citadas para evitar los problemas anteriormente comentados. 5) Para un usuario puede que al principio la aplicación resulte novedosa y se esfuerce en abrir y cerrar sus pestillos. Ahora bien, tal y como comentásteis, para un usuario es ya un inconveniente introducir un OTP de 4 dígitos, si cada vez que desconecta de un servicio online tiene que cerrar el pestillo acabará por cansarse de hacerlo y lo dejará en modo nocturno automático. Si soy un atacante, con saber en que franja horaria vive mi víctima ya tengo muchas posibilidades de saber cuando va a estar despierto y el concepto de latch se cae por completo cuando se ve reducido al cerrojo nocturno nada más. Por otra parte, me gustaría echar un vistazo a las tripas técnicas de esta tecnología. Una descripción de cómo va la comunicación entre servicio online y servidor de latch. Igualmente para móvil y latch. ¿Tenéis pensado publicar algo más acerca de esto? Los plugins que mencionáis para prestashop y demás, ¿están ya disponibles? ¿dónde? Responder
Existe algún listado o relación de compañías que utilicen-admitan Latch. Necesito conocer en que porcentaje de mis cuentas lo puedo utilizar Responder
Estoy con DALTON, he estado leyendo por ahí y me gustaría saber hasta que punto puedo usarlo, ya que estoy totalmente interesado en ello. He leído acerca del panel acens, pero no estoy con telefónica. Gracias Responder
El usuario final debe decidir si desea facilidad contra seguridad que le pueda dar cualquier solución, la cual ha sido la gran batalla de los grupos de IT toda la vida del lado de la seguridad. No es un concepto nuevo, pero esta bueno hacerlo como un proceso estándar. Por ejemplo en mi país para poder hacer compras online prácticamente todos los bancos en su banca online han puesto un botón en el cual tienes que habilitar la tarjeta de crédito para poder procesar la compra online.Ya poniéndome como una persona que usa google authenticator me gustaría probar este sistema, pero me surgen algunas dudas. Ese segundo medio para activar o no el servicio que quiero usar además de ser seguro debe esta online en todo momento, entonces eso significa que el dispositivo que va a actuar como activador tiene que tener plan de datos y consumirle trafico al usuario en ese envío de señalización para que active o no la cuenta para usarla. Qué pasa si el usuario necesita usar el servicio y el Smartphone no tiene plan de datos o por cuestiones de cobertura no tiene internet, en L.A. por más que la mayoría de los proveedores vendan plan de datos 3g y 4g no aplica en todas las localidades de una ciudad o en sitios que no llega señal por ejemplo: un sótano, edificios viejos con construcción de concreto que bloquea la señal, etc. Responder
@DALTON Aún no tenemos un listado "oficial", pero estamos trabajando en ello (y los administradores de los servicios, también). Lo ofreceremos cuando esté disponible. @Anonymous Tenemos contemplada que no exista cobertura de internet en el smartphone y en el futuro es posible que se implemente un canal alternativo. Gracias. Responder
Espero que pronto podáis poner esa lista, y que incluya a los principales bancos. Estoy interesado en usarlo y recomendarlo porque veo que con los teléfonos es relativamente fácil que alguien averigue tus contraseñas de consulta (las de operar entiendo que están menos expuestas). Es un poco decepcionante instalar la aplicación y luego no ver aplicaciones sobre las que esperas usar el servicio.Buena suerte. Responder
De momento lo estoy probando en mi cuenta de 0xWord: https://0xword.com/ y sin ningún problema.Se agradece que en esta actualización hayan tenido en cuenta el idioma Español, cuando se lanzo por primera vez en ingles, la desinstale precisamente por eso, aunque hay que decir que era un proceso simple e intuitivo… pero…no se ingles. Simplemente aprovechar este espacio para daros las gracias y felicitaros por tan excelente trabajo. Salu2! Responder
Espero el listado de donde se puede usar dado que sino tengo muy limitada la aplicación que me parece buenisima.Espero que nos puedan decir en que sitios lo podemos usar. Muchas gracias. Responder
A menos que tenga una expansión mínima, parece que la utilidad es bastante dudosa, ya que para la mayoría de los mortales no nos sirve para nada. El día que se integre con facebook, ING, Santander, gmail, hotmail, twitter…. ya hablaremos. Responder
Sobre el papel este sistema de seguridad esta muy bien (claro esta que el papel te lo aguanta todo), pero pienso que las grandes empresas (donde esto sería útil) no van a dejar sus sistemas, en manos de esta tecnología. A parte de lo que pasa con todos estos los sistemas de seguridad, en el punto final esta el usuario y sus negligencias,que es el principal fallo de seguridad de cualquier sistema y que esta tecnología no va a solucionar, simplemente hará más engorroso su autentificación y se cansará y dejará de utilizarlo. Responder
En el artículo indicáis que se trata de una tecnología patentada por vuestro equipo. ¿Podríais dar alguna referencia sobre dicha patente? Responder
Hola, la información sobre las patentes en sí no es publica hasta que pasen al menos 18 meses desde el primer registro. Si quiere más información con respecto al funcionamiento, puede utilizar el servicio de soporte de Latch. ¡Gracias! Responder
Desde mi punto de vista el sistema es bueno, es una capa mas de seguridad que podemos aplicar a nuestras idetidades digitales. Que puede ser un engorro? pues seguro que si, pero tambié es cansino introducir el password en un teclado virtual. Latch no deja de ser una opción, si los bancos, facebook, twitter ….. lo implementan pues estaría en nuestras manos utilizarlo o no.Sería conveniente disponer de una lista de los servicios que implementan Latch y poder utilizarlos o no. Todos los que vivimos en pisos tenemos una puerta en el portal que en la mayoria de los casos suele estar cerrada con llave (1ª barrera contra ladrones). Y luego tenemos la puerta de casa que generalmente tiene una puerta mas robusta y con una cerradura mejor (2ª barrera). Y los paranoicos suelen poner cerrojos por dentro. El futuro nos dirá si es se implementará o no, pero de entrada para mi, es una buena idea poder tener cerrado el acceso a mi identidad virtual y ser consciente de que terceras personas se esten intentando conectar a mi identidad. Un saludo. Responder
¿Puedo parear con Latch las cuentas de Google, Outlook, Yahoo, Facebook, Instagram, Twitter? Y, ¿cómo debo hacerlo? Responder
jajaja entonces lo único que hay que "temer" con latch es que no te ataquen tu propia cuenta de latch pq entonces …. -no sé que más decir pq no sé más del tema me refiero a como se comunica latch con tu cuenta de google pero espero que latch no guarde los datos de acceso a google pq si no madre mía.- Responder
Me parece un servicio MUY interesante. Estoy deseando poder usarlo, especialmente con mi cuenta en Google y en Twitter. Seguiré esperando de forma impaciente esas posibilidades de uso.Un saludo. Responder
Sres. de Eleven Paths:Creo que vuestro pecado capital es la SOBERBIA, me parece insólito que lancen una aplicación como esta con toda la pompa, bombos y platillos como se aprecia en vuestra presentación y que aún no tengan claro con qué servicios o sitios web es compatible, es exactamente igual que crear un automóvil que no contamina, vuela, se sumerge en el agua, puede viajar al espacio y se conduce solo, pero tiene un pequeño problema, aún no hemos inventado el combustible que lo haga funcionar, insólito, me parece muy atractiva vuestra aplicación (si funciona) y estaré atento a la información de compatibilidad de la misma, ya que a mi criterio, deberían haber partido por ahi, espero que esté disponible pronto. Responder
¿Qué podemos hacer los usuarios para alzar la voz de Latch? Pienso que la única manera de que los "gigantes" la integren es mediante la petición e insistencia de quienes hacemos uso de sus servicios. Responder
Se podrían controlar inicios de sesión en Android con Latch? Sería para utilizarlo por ejemplo como control parental para la Tablet de mis hijos y que solo se pueda iniciar sesión si yo se lo permito desde mi movil. Sería in plugin como el de Windows, pero para android. Gracias. Responder
Muy buenas tardes! he descargado latch en mi celular ! pero por ahora solo he pareado la cuenta de get satisfaction, me gustaria saber como puedo parear mi cuenta de facebook, gmail, hotmail y twitter. he visto este video " https://www.youtube.com/watch?v=Nvt-szuxIYM " en el canal de maligno alonso y estoy realmente interesado sobre como hacer dicho pareamiento.si alguien tiene la informacion de como se hace seria de mucha ayuda y de ante mano mil gracias ! Responder