Con Latch, el problema de Heartbleed no sería un problema

Uno de los principales debates de estos días en la red está en el grave agujero de seguridad en Heartbleed, la librería de seguridad OpenSSL. Es el certificado que asegura que la información que envíamos a través de webs seguras no podrá ser vista por terceros. Está presente en el 66 % de la red. El fallo, que deja accesibles todos estos datos, incluyendo nombres de usuario y contraseñas, fue descubierto por Codenomicon, un grupo de seguridad informática finlandés.

Lo peor es que para el usuario hay muy poco que se pueda hacer, más allá de no acceder a los servicios susceptibles de haber sido atacados (la lista completa es bastante desalentadora). En este caso la pelota está en el tejado de las empresas cuya seguridad ha sido potencialmente dañada, y las claves de acceso de sus usuarios, expuestas.

Aquí entra Latch, un servicio de Eleven Paths que funciona como un pestillo digital. Aunque alguien encuentre nuestras llaves, no podrá entrar si hemos dejado el pestillo de casa pasado. Ese mismo concepto es el que aplica Latch a la seguridad en la red: podemos conectar y desconectar nuestros servicios online a través de una aplicación en nuestro smartphone, de tal forma que incluso si alguien descubre nuestras contraseñas, no podrá acceder a esos servicios si hemos desactivado nuevos inicios de sesión. Incluso nos llegará una alerta para informarnos de que alguien ha intentado entrar a dicho servicio acertando la contraseña.

Latch es totalmente anónimo, para registrarnos sólo necesitamos una cuenta de correo electrónico. Luego hemos de emparejar nuestro usuario con los diferentes servicios digitales que lo soporten (cuentas de correo, cuentas bancarias, redes sociales, etc), y a partir de ahí ya podemos usar Latch. Cada vez que queramos entrar a uno de esos servicios, desactivamos su protección en Latch. Cuando hayamos finalizado, la volvemos a activar. Si no usamos Latch, esto es lo que tiene que cumplir un atacante que quiera acceder a alguna de nuestras cuentas:

• Conocer la contraseña de dicho servicio.

Nada más. En cambio, si usamos Latch, para que alguien pueda acceder a nuestras cuentas, tenga que cumplir las siguientes condiciones:

• Conocer la contraseña de dicho servicio.

• Tener acceso físico a nuestro smartphone.

• Conocer el PIN, contraseña o patrón de desbloqueo de nuestro smartphone, si lo tenemos.

• Conocer la contraseña de Latch.

En Think Big decidimos implementar Latch al poco de su lanzamiento a finales del año pasado. Gracias a ello, aunque un editor o administrador de nuestra web vea comprometida su seguridad por haber expuesto su contraseña de acceso al panel, no será suficiente para el atacante potencial. Sólo con la contraseña no podrá acceder. Necesitará abrir ese pestillo pasado por dentro de la puerta, y desde fuera le será imposible. Exactamente eso es lo que propone Latch. Así que el agujero de seguridad de Heartbleed, usando Latch, no hubiese sido tan problemático. Ni una fracción, de hecho.

Web de Latch | App Store | Play Store | Windows Phone Store