Latch, democratizando la seguridad de nuestras identidades digitales

Ayer fue un día intenso. Por la mañana a la Secretaría de Estado de Telecomunicaciones para oír de boca de César Miralles (por cierto, un placer volver a verte) los resultados del informe anual del sector TIC y los contenidos (ES) (que como bien sabemos, va de números en rojo). De tarde, al auditorio Telefónica de Distrito C para ver la puesta de largo de 11Paths, la antigua Informática64 de Chema, y por la noche a la fiesta de Seguridad Navidad de Telefónica, donde coincidí con varios Talentum, algunos de la nueva ronda de este año.

PabloYglesias-#ISDtef

Y digo intenso porque aunque me he recorrido Madrid entero de punta a punta, y habré estado como 4 o 5 horas del día en transporte público, ha valido la pena.

De todo lo visto, y dejando de lado el volver a saludar caras conocidas, presentaciones oportunas y el aderezo de barra libre, paella y jamón, me quedo sin duda con la idea que durante meses seguramente a Chema le ha robado algún que otro sueño (ES). La de buscar una solución sencilla para proteger las cuentas digitales del usuario, su identidad en el tercer entorno.

Y tengo que reconocer que aunque me une una gran amistad al grupo de 11Paths (tengo a grandes amigos alistados en sus filas), y por tanto tiendo a ser aún más crítico que de costumbre (es lo que tiene la confianza), no puedo más que aplaudir el proyecto Latch (ES), que los cabrones listillos han mantenido en el más absoluto silencio, poniéndome los dientes largos.

PabloYglesias-Latch

Soluciona (o al menos propone una solución distinta) a un tema que es constante en esta santa casa. La necesidad de democratizar la seguridad de nuestra identidad digital. Un problema acuciante, ya que es a día de hoy uno de lo métodos más efectivos de obtención ilícita de dinero. Un problema que puede marcar tu vida para siempre.

Metidos ya en el turrón, estamos ante una aplicación para móviles (por ahora Android, iOS y WP (cuando a Micro le de por aceptarla), y a la espera del desarrollo en mi querido Firefox OS y BB), donde tendremos a modo de candados el control de nuestros perfiles sociales (que pueden ser redes, pueden ser cuentas de bancos, usuarios en foros o blogs,…), de tal forma que en cualquier momento, nos resultaría tan sencillo como desactivar el acceso para que mientras no tengamos que usarlo, saber que nadie puede acceder a nuestro servicio.

A nivel técnico, el funcionamiento es muy parecido a la verificación en dos pasos, ese gran desconocido para el grueso de la sociedad, con la diferencia que en este caso, el OTP (one-time password) lo meteremos una sola vez, y no cada vez que queramos acceder o cambiar los permisos de la cuenta (de eso se encarga el servidor de Latch).

Por supuesto, y aunque todo resulte a priori muy bonito, requiere que el administrador o la empresa encargada del producto, implemente el SDK que hará de intermediario a la hora de conectarse con el user, lo que seguramente sea el principal bache que van a encontrar para su masificación. Por ahora tienen una implementación beta en Tuenti, Accens y hasta un banco fail, aunque cuenta con plugins para implementarlo en nuestros WordPress (un servidor ya lo está probando), Joomla, y compañía. Y como corolario, añadir que:

  • Cuando un usuario con Latch activo (el administrador puede decidir obligar o delegar la elección de usar o no Lach a sus usuarios) intenta acceder al servicio, el servicio enviaría la petición a los servidores de Latch (el token), y éste les contesta si puede o no. Con esto quiero decir que en ningún momento nuestros datos son compartidos. Ni Latch sabe nuestros credenciales en el servicio, ni el servicio sabe nuestros credenciales de Latch, solo el token en común. Sobre latencia, calculan unos 0.3 seg extra por inicio de sesión para el territorio Europeo. Como siempre, esto depende de las características del servidor y de la velocidad de trasferencia, por lo que tomarlo con pinzas.
  • Lo veo una alternativa muy cómoda para evitar desarrollar uno mismo un 2-Factor en nuestros servicios. Configurar el SDK es cosa de media hora a lo sumo, y ya contaríamos con una seguridad robusta sin tener que matarnos unas semanas con el desarrollo.
  • Hablamos de activar o desactivar el inicio de sesión en un servicio, pero Latch va bastante más allá, con la posibilidad de permitir el acceso a X características del mismo y no a otras, lo que me parece una de las consideraciones más interesantes del producto, sobre todo dirigido a entidades financieras (por ejemplo, permitiendo transacciones o pagos nacionales y no internacionales).
  • En un mundo ideal, en el que todos apostasen por Latch, tendríamos en una misma aplicación la llave del cerrojo de nuestras distintas identidades digitales. Una mejora significativa de la experiencia de usuario, evitando así Google Authentificator, los SMS de AppleID y los dispositivos externos de generación de claves sincronizadas con el servidor sin conexión.

El producto al menos como idea, me parece brillante. De forma muy sencilla para el usuario, aplica los fundamentos de la seguridad informática, por lo que en este caso sí os animo a que lo probéis. Latch será gratuito para usuarios, cobrando un porcentaje a las empresas que lo implementen en sus servicios según el número de usuarios que tenga (por ahora, 50 o menos usuarios es gratuito). Queda por definir el precio por user, que supongo/espero sea bajo, y que los grandes servicios digitales (principalmente los bancos, olvidaros de Facebook y compañía) se decidan a implementarlo. Ahí es donde entran los tentáculos de Telefónica. Veremos qué pasa.