Latch es un servicio de seguridad online basado en los pestillos: aunque perdamos la llave de casa, no se podrá entrar a ella si hay un pestillo en la puerta.
Uno de los principales debates de estos días en la red está en el grave agujero de seguridad en Heartbleed, la librería de seguridad OpenSSL. Es el certificado que asegura que la información que enviamos a través de webs seguras no podrá ser vista por terceros. Está presente en el 66% de la red. El fallo, que deja accesibles todos estos datos, incluyendo nombres de usuario y contraseñas, fue descubierto por Codenomicon, un grupo de seguridad informática finlandés.
Lo peor es que para el usuario hay muy poco que se pueda hacer, más allá de no acceder a los servicios susceptibles de haber sido atacados (la lista completa de Heartbleed es bastante desalentadora). En este caso la pelota está en el tejado de las empresas cuya seguridad ha sido potencialmente dañada, y las claves de acceso de sus usuarios, expuestas.
Aquí entra Latch, una plataforma de control de autorizaciones que integra el segundo factor de autorización (2FA) y que funciona con pestillos digitales. Es decir, aunque alguien encuentre nuestras llaves, no podrá entrar si hemos dejado el pestillo de casa echado. Ese mismo concepto es el que aplica Latch a la seguridad en la red: podemos conectar y desconectar nuestros servicios online a través de una aplicación en nuestro smartphone, de tal forma que incluso si alguien descubre nuestras contraseñas, no podrá acceder a esos servicios si hemos desactivado nuevos inicios de sesión. Incluso nos llegará una alerta para informarnos de que alguien ha intentado entrar a dicho servicio acertando la contraseña.
¿Por qué es importante utilizar TU Latch?
Latch es totalmente anónimo, para registrarnos sólo necesitamos una cuenta de correo electrónico. Luego hemos de emparejar nuestro usuario con los diferentes servicios digitales que lo soporten (cuentas de correo, cuentas bancarias, redes sociales, etc), y a partir de ahí ya podemos usar Latch. Cada vez que queramos entrar a uno de esos servicios, desactivamos su protección en Latch. Cuando hayamos finalizado, la volvemos a activar. Si no usamos Latch, esto es lo que tiene que cumplir un atacante que quiera acceder a alguna de nuestras cuentas: Conocer la contraseña de dicho servicio. Nada más.
En cambio, si usamos Latch, para que alguien pueda acceder a nuestras cuentas, tenga que cumplir las siguientes condiciones:
- Conocer la contraseña de dicho servicio.
- Tener acceso físico a nuestro smartphone.
- Conocer el PIN, contraseña o patrón de desbloqueo de nuestro smartphone, si lo tenemos.
- Conocer la contraseña de Latch.
En Think Big implementamos Latch para proteger nuestro blog
En Think Big decidimos implementar Latch al poco de su lanzamiento. Gracias a ello, aunque un editor o administrador de nuestra web vea comprometida su seguridad por haber expuesto su contraseña de acceso al panel, no será suficiente para el atacante potencial. Sólo con la contraseña no podrá acceder. Necesitará abrir ese pestillo pasado por dentro de la puerta, y desde fuera le será imposible. Exactamente eso es lo que propone Latch. Así que el agujero de seguridad de Heartbleed, usando Latch, no hubiese sido tan problemático. Ni una fracción, de hecho.