Cuando hablamos de más seguridad en nuestras cuentas de Internet, solemos hablar de cosas complejas. Autenticación en dos pasos basada en OTP, biometría… Sin embargo, no siempre lo más complejo es lo mejor. A veces, la idea más sencilla puede funcionar perfectamente, y este es el caso de Latch, una aplicación desarrollada por Eleven Paths bajo el paraguas de Telefónica.
Latch, como su propio nombre indica, es un pestillo para tus cuentas en Internet. El concepto es simple: como no siempre estamos accediendo a todas nuestras cuentas, ¿por qué dejarlas abiertas para que cualquier con el usuario y contraseña pueda entrar a ellas? Con Latch podemos bloquear las cuentas cuando no las estemos usando, añadiendo así una capa adicional de seguridad.
La configuración inicial no es excesivamente complicada. En la aplicación pulsamos el botón de añadir servicio, y se genera un código temporal. Entramos en nuestra cuenta en el servicio que queramos proteger, activamos Latch e introducimos el código que nos da la aplicación. El servicio verificará entonces con los servidores de Latch que el código es correcto, recibirá un código único que identifica esa cuenta, y en tu móvil aparecerá un aviso de “Cuenta protegida”. A partir de entonces podrás bloquearla o desbloquearla sólo con un botón desde tu móvil.
Cuando queramos entrar en esa cuenta, esa web verificará que tu usuario y contraseña son correctos, como hace normalmente. Pero además verá que tu cuenta está protegida, así que preguntará al servidor de Latch con el código único de tu cuenta, que responderá si tu cuenta está bloqueada o no. Si no esta bloqueada entrarás normalmente, pero si está bloqueada, no podrás entrar y recibirás un aviso en tu móvil de que ha habido un intento de acceso no autorizado.
Esta capa de seguridad adicional nos protegerá en caso de que nuestras contraseñas y cuentas de correo se filtren a un atacante. Y como vimos hace unos días, es algo perfectamente posible. En este sentido la idea base es similar a la de autenticación en dos pasos: usar algo que sólo tú tienes. Pero además tiene la ventaja de que es más cómoda y más fácil de implementar para los servicios.
Además, es totalmente anónimo y privado. Los servidores de Latch no tienen en ningún momento los datos de tus cuentas. Sólo mantienen un código aleatorio para cada cuenta: no guardan ni usuario ni contraseña. De la misma forma, los servicios que configures con Latch tampoco tendrán tu número de teléfono.
Aparte de la ideas básicas, Latch cuenta con alguna característica adicional. Podemos activar códigos OTP (estilo Google Authenticator) o enviados por push o SMS para entrar en las cuentas, o configurar un modo nocturno para que nuestras cuentas se bloqueen automáticamente por la noche. También podemos establecer el nivel de granularidad en la protección que queramos: por ejemplo, podemos mantener desbloqueada nuestra cuenta del banco pero bloquear las transferencias con Latch.
Frente a la autenticación en dos pasos a la que estamos acostumbrados, Latch tiene la ventaja de ser más cómodo y fácil de usar, no requerir códigos de emergencia y tener avisos de intentos de acceso no autorizados. Además, podemos tener la aplicación de Latch en varios dispositivos al mismo tiempo sin problemas, así que perder el móvil no es el fin del mundo. Y por último, no sufre de los problemas de seguridad que tienen las soluciones actuales de autenticación en dos pasos.
La aplicación móvil gratuita de Latch estará disponible dentro de unos días en Android, iOS y Windows Phone, y para Blackberry estará en proceso. En cuanto a los proveedores que se integrarán con Latch, están confirmados Tuenti, Acens y algunos servicios internos de Telefónica. En el MWC anunciarán muchas más integraciones, entre las que se encontrarán varios bancos nacionales.
La idea de Latch es muy, muy interesante. Aumenta la seguridad sin añadir un montón de pasos complejos, y tiene el potencial para que lo adopten un buen número de servicios (Eleven Paths está desarrollando módulos para integrarlo en minutos en plataformas como Moodle, Django o WordPress). Eso sí, tendremos que esperar a probarla para ver si es realmente útil y las ventajas que ofrece en cuentas que tengamos permanentemente abiertas, como pueda ser el correo.
Fuente | Genbeta
Secur-IT @C.R.S. 