Identidades NO Humanas (NHI "Non-Human Identities"): La Gestión de un Riesgo de Seguridad Emergente

Las Identidades No Humanas o Non Human identities (NHI) están últimamente en boca de todos los profesionales de la seguridad de la información y la ciberseguridad que centran su profesión en la gestión de Identidades Digitales. Es cierto que en este mundo Post-Covid, donde se produjo una proliferación del trabajo desde cualquier lugar, utilizando cualquier dispositivo (Anywhere and Anydevice) trajo asociado, en muchos casos, la eliminación del perímetro de red como capa de protección, al igual que las medidas de seguridad a nivel de puesto de trabajo.

Figura 1: Identidades NO Humanas (NHI "Non-Human Identities").

La Gestión de un Riesgo de Seguridad Emergente

Todo esto se produjo gracias a que se comenzó a fomentar que los usuarios se pudieran conectar desde cualquier dispositivo y desde cualquier ubicación. Ee esta manera la identidad, y más concretamente la seguridad en la identidad, pasa a ser el nuevo perímetro, la capa principal y, en muchas casos, única donde puedes poner medidas de seguridad ya que no hay control del dispositivo o la red de conexión desde la que el empleado se conecta.

La mayoría de las empresas entendieron muy pronto este desafío de seguridad y se pusieron manos a la obra implementando medidas de seguridad focalizadas en la protección de la identidad de los usuarios que consumían sus aplicaciones o servicios digitales, donde implementando un factor de autenticación robusto en la autenticación, como pueden ser los basados en Push notificaciones en dispositivos móviles, los basados en Biometría o incluso optando por Passkeys o Yubikeys para obtener una seguridad adicional y eliminar las passwords ya conseguías protegerte en gran medida.

Figura 2: Las Yubikeys

Adicionalmente, si esto lo combinabas con un sistema de “Unknown login location” simplemente geolocalizando la dirección IP pública desde la que los usuarios consumen los servicios digitales, y respondiendo con una verificación de la legitimidad cuando los usuarios intentan conectar de localizaciones que varían significativamente de las habituales, entonces ya estarías gestionando y controlando bastante bien el uso de las identidades digitales, al menos en lo que al proceso de autenticación se refiere.

Identidades No Humanas

Fenomenal, con lo que hemos explicado brevemente en la parte superior entendemos a grandes rasgos el paradigma de gestión las identidades digitales de los empleados (Humanos) que consumen los servicios digitales de nuestra organización. ¿Pero qué pasa con las Identidades No Humanas? O, mejor dicho, ¿Qué son las identidades no Humanas? ¿Por qué son importantes? ¿Hay algún motivo que nos haga pensar que el riesgo relacionado con las mismas está en aumento? 

Pues bien, a estas preguntas intentaremos darlas respuesta en este artículo y así clarificar igualmente si la gestión de las Identidades no Humanas (NHI) es simplemente una moda potenciada por los equipos marketing de los diferentes fabricantes de software de identidad que quieren subirse a este barco, o por el contrario es un riesgo emergente sobre el cual deberíamos empezar a actuar si aún no lo hemos hecho.

¿Qué son las Identidades No Humanas?

Empecemos explicando qué se entiende como una Identidad No Humana, donde de una manera muy simplista podemos definirla como toda aquella identidad que ejecuta una carga de trabajo y/o existe en un directorio de identidades pero que no está relacionado con una persona física (Humana). De esta manera, y desglosando un poco más, entendemos como Identidades No Humanas todas aquellas relacionadas con máquinas y dispositivos, como servidores, contenedores, estaciones de trabajo, dispositivos móviles, dispositivos de OT, dispositivos IOT, etcetera.

A estas hay que sumar todas las identidades relacionadas con cargas de trabajo de software, como cuentas de servicio, APIS, cuentas de conexión a Bases de Datos o Aplicaciones utilizadas por software, cuentas de ejecución de scripts, Robotic Process Automation (RPA), Chatbots, Agentes AI basados en LLMs., y un largo etcétera de cuentas que antes simplemente llamábamos "Cuentas de Servicios" y que ahora se están multiplicando por doquier, y empiezan a ser manejadas por modelos de Inteligencia Artificial o directamente Robots o Humanos Digitales, haciendo muchas más funciones y actividades que lo que haría un simple "servicio".

Por lo tanto, tenemos una gran variedad en cuanto a su tipología y que además se ha incrementado significativamente en los últimos años, donde hemos pasado de tener la sorprendente proporción de 1 Identidad Humana por cada 10 Identidades No Humanas, que era la figura que reportaban los analistas en 2020, a una proporción de 1 Identidad Humana por cada 50 Identidades No Humanas en 2025. Donde a día de hoy, incluso ciertos analistas consideran que la figura puede ser mayor y en algunos casos la proporciona se reporta como 1 Identidad Humana por cada 80 Identidades No Humanas.

Figura 3: Datos del "2025 Identity Security Landscape de CyberARK"

Tras observar la tendencia creciente en la proporción de Identidades Humanas versus Identidades No Humanas, y por lo tanto la necesidad de gestionar y proteger cada vez más identidades no humanas, procedamos dar respuesta a la segunda de nuestras preguntas.  

¿Por qué son importantes las Identidades No Humanas?

Son importantes porque en la mayoría de los casos tienen un nivel de privilegios alto y porque la gestión de las mismas no siempre es la ideal, pensemos simplemente si en algún caso tenemos una cuenta de servicio en nuestro directorio activo donde las credenciales llevan tiempo sin rotarse o si tenemos alguna API configurada para su acceso con un Clientid + Secret y si los mismos están o han podido estar "hardcodeados" en algún código, seguro que todos tenemos casos y estoo sin querer meternos en la gestión de los agente de IA que hacen uso de las tools mediante MCP Servers o escenarios más novedosos y de los que somos menos conscientes y por lo tanto tenemos menos sistemas protección, detección respuesta.

¿Está aumentando el riesgo asociado a las Identidades No Humanas?

Una vez hemos llegado a este punto estaremos en posición de determinar si el riesgo con la Identidades No Humanas está en aumento, donde teniendo en cuenta su incremento exponencial en las empresas y organizaciones, combinado con que en muchos casos la identidad es la única capa de seguridad que se dispone, que además estas NHI suelen privilegiadas, y que no se cuenta en la mayoría de los casos con herramientas o sistemas que permitan tener un monitorización y/o trazabilidad del uso y comportamientos de ellas, podemos fácilmente afirmar que las Identidades No Humanas y especialmente aquellas que tengan unos privilegios más altos, representan un botín más grande sin son comprometidas y son un objetivo claro y en aumento para cibercriminales.

Figura 4: Ciberataque contra Dropbox Sign en Incibe

Hoy en día ya se conocen públicamente graves incidentes de seguridad que de una manera u otra están relacionadas con la gestión - o errores en esta mejor dicho - de las Identidades No Humanas, como por ejemplo el incidente  de seguridad que sufrió Beyondtrust con la API Key que usaba para varios clientes en software de soporte remoto o el incidente de seguridad con el servicio Dropbox sign tras ser comprometida una cuenta de servicio y sobre el cual el propio Incibe hacía eco.

Conclusiones sobre Identidades No Humanas

Concluimos pues que la gestión de las Identidades No Humanas no es simplemente una moda. Es realmente es un riesgo de seguridad de emergente que muy probablemente ira apareciendo como un riesgo residual, con un riesgo residual cada más alto en los análisis de riesgos de todo tipo de compañías si no se empiezan a implementar controles mitigantes, donde la acciones que deberíamos empezar a plantearnos desde ya para las Identidades No Humanas deberían ser:

• Descubrir: Para poder gestionar o realizar cualquier otra acción primero debemos conocer nuestras identidades no humanas y esto no es una tarea sencilla

• Inventariar y clasificar: Debemos al menos ser capaces de asignar un propietario de cada identidad no humana, así como distinguir las privilegiadas de las no privilegiadas

• Gestionar el ciclo de vida: Por supuesto asegurando la terminación de las identidades no humanas que ya no son necesarias, la creación de nuevas identidades siguiendo las fases pertinentes de aprobación y con un propietario asignado, e idealmente realizando una revisión de privilegios o permisos de manera periódica, idealmente cada 6 meses

• Gestión de credenciales: Aquí deberíamos tener en cuenta el rotado de credenciales, el cifrado, el almacenamiento de la mismas en vaults de secretos cuando proceda, así como evitar que los secretos estén en repositorios de código o similar donde puedan ser accedidos sin mayores controles.

Una vez que tengamos estos cuatro puntos conseguidos o medio conseguidos, ya podríamos pensar en escenarios más avanzados como la detección de anomalías de uso de Identidades No Humanas o la protección en tiempo real de las mismas.

Saludos,

Autor: Samuel López Trenado, especialista en Gestión de Identidades Digitales

Contactar con Samuel López Trenado

Cómo exportar tus TOTPs de Latch a Google Authenticator

Si eres uno de los cientos de miles de usuarios de Latch, probablemente ayer recibirías un mensaje que te avisaba que el producto lo van a poner en un Phase-out, así que debes especialmente salvaguardar tus TOTPs, exportando desde tu cuenta en la Cloud de Latch todas las semillas de tus 2FA para que no se te quede ninguna cuenta bloqueada sin acceso a ellos.

Figura 1: Cómo exportar tus TOTPs de Latch a Google Authenticator

Como recordaréis, esta era una de las características que tenía Latch con el Cloud-TOTP, y que evitaba la pérdida de las semillas y el bloqueo de cuentas cuando se perdía el 2FA, por ejemplo, con apps como Google Authenticator que - por seguridad - guardaban las semillas en la zona segura del terminal móvil. Tiempo después, Google Authenticator siguió la misma propuesta que Latch, y comenzó a guardar las semillas en la Cloud, y hoy en día lo hace igual que lo hace Latch, así que puedes exportarlas allí perfectamente. 

Figura 2: Mensaje de entrada en Phase-out de Latch

Una de las cosas que esperemos que Google Authenticator añada pronto es el log de visualización de los Tokens TOTP que te permite saber si alguien ha iniciado al 2FA accediendo con información de tu app de 2FA o no, pero seguro que en el futuro tendremos esa opción.

Figura 3: Guía de exportación de TOTPs de Latch

Para hacer el proceso de exportación, el equipo de Latch ha publicado una guía muy sencilla paso a paso para que exportes desde una nueva función de la app que añadieron en las últimas versiones justo para Exportar los TOTP que tengas en el servicio de Cloud-TOTP de Latch. Yo lo he hecho y funciona perfectamente, y he pasado todos los 2FA literalmente en 1 minuto.

Figura 4: Opción de Export TOTPs to another authenticator

Para empezar debes irte a las Settings / Configuración y seleccionar la opción que veis remarcada de "Export TOTPs to another Authenticator" y comenzará el asistente que te guiará en pocos pasos para tener un fichero con todos los QRCodes que necesitas para migar los 2FA a, en mi caso, Google Authenticator.

Figura 5: Seleccionar TOTPs a exportar

En la siguiente fase del proceso debes seleccionar los que te interesan exportar, y si quieres todos, pues haces clic en "Select all" y listo. Confirmas la selección y exportas las semillas de todos tus TOTPs en forma de QRCodes.

Figura 6: Tokens exportados y QRCodes

Una vez terminado, tienes la opción de "Compartir / Share" para enviarte el fichero con todos los QRCodes. a donde quieras, que luego lo puedas escanear bien. En mi caso lo he pasado mi equipo y lo he abierto allí en el monitor, para ver un QRCode por cada página. El resto, es ir a Google Authenticator, darle al "+" abajo a la derecha, y seleccionar "Scan a QRCode".

Figura 7: Google Authenticator - TOTPs en la Cloud de tu cuenta Google

En un minuto literalmente tendrás todos tus 2FA Cloud-TOTP almacenados en tu cuenta de Google, y podrás visualizarlos desde Google Authenticator. Si miras arriba a la derecha verás un icono que muestra que Google Authenticator está conectado a tu almacenamiento en Cloud, donde se están las semillas. 

Figura 8: FaceID + Exportación e Importación de cuentas

Por último, dos opciones más de Google Authenticator, una para proteger con FaceID la app, que se hace desde las Settings / Configuración que tienes en el menú superior izquierdo de la pantalla principal, y la opción de Exportar e Importar la cuenta completa con todos los QRCodes entre cuentas de Google. No es exactamente el mismo proceso, pero te permitirá llevarte tus 2FA a otra cuenta si lo deseas en el futuro. Goodbye Latch... qué buenos momentos me llevo con la creación de Latch y lo importante que fue para la construcción de nuestro querido "unicornio" ElevenPaths, pero 12 años después, el mundo ha girado mucho. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

WhoFi: Deep Person Re-identification. Cómo saber quién está en una ubicación midiendo la señal WiFi

El mundo de la visión WiFi, o lo que es lo mismo, "ver cosas" a partir de los datos de perturbación de la señal, lleva mucho tiempo estudiándose. Recuerdo que en el año 2009 hablé del paper titulado "Through-Wall Motion Tracking Using Variance-Based Radio Tomography Networks" donde explicaban cómo utilizar las variaciones de la señal WiFi para detectar movimiento de objetos detrás de muros.

Figura 1: WhoFi: Deep Person Re-identification.

Cómo saber quién está en una ubicación midiendo la señal WiFi

A partir de ese momento, hace ya más de quince años, se han hecho muchas investigaciones sobre cómo utilizar las perturbaciones en la señal de un canal - lo que se llama "Chanel State Information" (CSI) y que viene a ser la información que podemos mediar de un canal (por ejemplo la potencia de señal en una malla de campo ) - para poder detectar objetos, formas y movimientos.

Figura 2: "Through-Wall Motion Tracking Using

Variance-Based Radio Tomography Networks"

Tras ese trabajo, en el año 2014, con estas técnicas se era ya capaz de mucho más, como explicaron en un nuev paper titulado "Multi-Person Motion Tracking via RF Body Reflections", donde además de ver a través de los muros ya se era son capaz de llegar a detectar un número exacto de personas en movimiento o detectar el movimiento del pecho de una persona en concreto para poder conocer hasta el ritmo cardiaco, solo con medir el CSI de la red WiFi.

Figura 3: Multi-Person Motion Tracking via RF Body Reflections

La idea que se utiliza se basa en crear un dispositivo con múltiples antenas, de un tamaño muy manejable cercano al de una moneda, para poder triangular todas las señales reflejadas por un cuerpo, detectando en tiempo real el ritmo de la respiración e infiriendo el ritmo cardiaco.

Figura 4: Antenas WiFi incrustadas en el dispositivo que triangula los cuerpos

Por supuesto, desde aquel año 2009 hasta hoy, la evolución de las técnicas de Machine Learning, con los avances en algoritmos de Deep Learning, ha hecho que con los nuevos algoritmos de Inteligencia Artificial, puedes hacer extracción mucho más fina de los datos CSI de una red WiFi, y de eso trata el trabajo de WhoFi, de ser capaz de re-identificar a una persona que entra en un espacio por medio de las perturbaciones en la señal WiFi, o lo que es lo mismo, de los datos del CSI que se generan. 

Figura 5: WhoFi: Deep Person Re-Identification via

Wi-Fi Channel Signal Encoding

La idea no es nueva, y se basa en trabajos y datasets disponibles de trabajos anteriores, como "SenseFi: A library and benchmark on deep-learning-empowered WiFi human sensing" y el sistema de autenticación "CAUTION: A Robust WiFi-Based Human Authentication System via Few-Shot Open-Set Recognition"  que utiliza unas pocas capturas de CSI para hacer una huella de una persona usando Deep Learning. En el caso de WhoFi, lo que se busca es, aprovechando los avances en algorítmica de IA, conseguir un ratio de acierto mucho mayor en la re-identificación de personas previamente hechas "onboarding".

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

Primeramente se le hace un onboarding en el sistema, construyendo para cada persona un vector normalizado a partir de un Encoder de IA que que procesa los datos CSI del canal WiFi, con el objetivo de generar una huella digital de esa persona.

Figura 7: Generación de huella a partir de CSI generado por una persona

El Enconder, lo han construido con varios modelos diferentes, para probar cuál de ellos daba mejores ratios, y los que han probado han sido los que mejores resultados dan en secuencias de datos temporales, como son los LSTM, los Bi-LSTM y nuestros queridos Transformers, que también se pueden usar para visión.

Figura 8: Encoders de IA utilizados en WhoFi

Los resultados quedan muy a las claras en las siguientes tablas, donde todos los datasets utilizados - incluidos datos CSI generados con técnicas de Data Augmentation para tener un mayor número de personas onboarding - dejan a las claras que con con los Transformers se consiguen ratios de re-identificación altísimos y con una gran precision.

Figura 9: Ratios de éxito y precision de los modelos

Esto es algo muy relevante, porque utilizar los datos CSI de la WiFi como forma de autenticación continua puede cambiar los sistemas de alarma en el hogar, detectando si son las personas que deben ser las que están en casa o no, por ejemplo, para tener una alarma silenciosa, pero también se podrían usar para vigilar espacios, movimientos de personas, etcétera.

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Al final, tenemos un canal de datos, y con el avance de las técnicas de Inteligencia Artificial, los casos de uso que pueden aparecer son cada vez mayores, al ser capaces de detectar aún más insights de información de los datos disponibles. Datos + Algoritmos = Programas, y hoy en día, Datos + IA = Conocimiento.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

AuthQauke: Un bug en Microsoft MFA que permitía Brute Force de tus TOTP para entrar en tu cuenta de Microsoft

Esta semana se ha publicado la investigación de Oasis Security Research Team sobre el bug y la explotación de AuthQuake, un bug que contenía Microsoft MFA (Multi-Factor Authentication) que permitía explotar el 2FA (Second Factor Authentication) de tus cuentas de Microsoft Office mediante un ataque de fuerza bruta a los valores del TOTP (Time One-Time Passwords) asociados.

Figura 1: AuthQauke: Un bug en Microsoft MFA que permitía Brute Force

de tus TOTP para entrar en tu cuenta de Microsoft

Para que entendáis lo que han hecho, hay que saber cómo funciona la cuenta de Microsoft Office con MFA utilizando TOTP como método de autenticación, echar unos cálculos y ser muy rápidos. El funcionamiento es el siguiente.

Figura 2: Microsoft MFA para TOTP

Primero se pide una sesión a Microsoft Office que se autentica con usuario y contraseña, y Microsoft genera un ID de Sesión sobre el que se pueden hacer 10 intentos de TOTP. Es decir, que por cada autenticación se pueden hacer 10 intentos. 

Pero si no se valida el TOTP en esos 10 intentos, simplemente se cierra el ID de Sesión y hay que volver a autenticar el usuario y la contraseña, pero no se bloquea la cuenta, ya que no queda como intentos de contraseña errónea, sino como que no se ha validado el 2FA.

Figura 3: Tiempo de validez de un TOTP según el RFC 6238

Teniendo en cuenta que los valores de un TOTP deberían valer 30 segundos, pero según el estándar TOTP éste puede ir hasta los 10 minutos, nos podríamos encontrar con un entorno en el que la seguridad se degrada. 

En la práctica, la validez de un TOTP normalmente suele estar entre 1 y 3 minutos, y en el caso de Microsoft, los investigadores descubrieron que el valor que tiene configurado el proceso de login es de 3 minutos, lo que permite muchos intentos.

Figura 4: Microsoft MFA TOTP dura 3 minutos

Teniendo en cuenta que son 6 dígitos, hay que conseguir 1 Millón de intentos para cubrir un ataque de fuerza bruta, pero la estadística está de parte del atacante, ya que en media, el 50% de las veces tendrá éxito con solo la mitad de los intentos, y así sucesivamente.

Figura 5: Código TOTP (6 dígitos) de Microsoft MFA visto en Latch.

El bug en sí existía porque la cuenta no se bloqueaba a pesar del número de intentos de validación del TOTP que se haga porque el bloqueo lo tienen en el número de intentos de la contraseña y no en el de la validación del TOTP, lo que hace que una vez que se tenga la contraseña el 2FA de TOTP de Microsoft fuera poco útil.

AuthQuake Attack

El atacante podría atacar un TOTP y buscar si la estadística estaba a su favor durante esos tres minutos, generando nuevas autenticaciones correctas sin validación de 2FA, y ver si lo consigue o no. Pero si no lo consigue, no pasa nada, a los 3 minutos hacemos otro ataque al TOTP a ver si ahora la estadística está de nuestra parte y en 5 horas se tiene aproximadamente el 98% de probabilidades de saltar el 2FA.

Figura 6: Probabilidad de éxito a lo largo del tiempo

Ahora está resulto, pero es un aprendizaje sobre cómo se debe establecer un sistema de identidad, con autenticadores seguro para que no haya un ataque como éste que pueda anularlo por no haber hecho los deberes. Aquí la demo del ataque.

Figura 7: AuthQuake Attack con un script en Python

Al final, con ene intentos contra un TOTP cada tres minutos, es posible saltar el 2FA, porque como han explicado los investigadores:

• No había restricción de intentos de validación de TOTP

• El usuario nunca recibía una alerta de inicio de sesión o intento fallido de TOTP

Esto es algo que nos llevó a crear Tu Latch, ya que en este escenario el atacante tiene las credenciales pero nunca se entera el usuario de que se las han robado, mientras que con un Control de Latch, en el primer intento el usuario recibiría una alerta que le indicaría que alguien ha intentado iniciar sesión con su contraseña.

Figura 8: Yaiza Rubio y Chema Alonso presentando Tu Latch

En el vídeo anterior, estamos Yaiza Rubio y yo presentando cómo se puede utilizar Tu Latch para Control de Authorizaciones, tanto en el proceso de Login como 2FA, como con capa de Control de Autorizaciones para, una vez perdido el User/Password y 2FA aún se pueda tener protegida la cuenta del servicio digital con Tu Latch.

Figura 9: Contacta con nosotros para asistir al evento

Si quieres conocer más de Latch o cómo configurar un sistema de Identidades utilizando una capa de control de autorizaciones con Tu Latch y con OpenGateway para reducir el impacto de estos bugs al máximo posible, contacta con nosotros. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo crear una capa de seguridad de Control de Autorizaciones en tu plataforma digital con Latch

Llevamos desde hace unos meses empujando el proyecto de Tu Latch, que estamos transformando y evolucionando hacia una plataforma de Control de Autorizaciones para servicios digitales en empresas, y para servicios digitales abiertos al público, y que en breve, en el próximo Telefónica Innovation Day el día 17 de Noviembre tendrán un nuevo salto evolutivo que os contaré.

Figura 1: Cómo crear una capa seguridad de Control de Autorizaciones

en tu plataforma digital con Latch

Ya os hablé del cambio a Tu Latch, de cómo usarlo como 2FAuthorization - por ejemplo en MyPublicInbox -,  de cómo funciona el Copilot de Navegación Segura y de Latch para SmartContracts, y dentro de poco os contaré muchas más cosas que seguro que os molan. Pero hoy quería hablaros de los Webinars que estamos lanzando de Tu Latch, para que aprendas a sacarle el máximo partido.

Figura: 2: Copilot de Navegación Segura

Cada semana estamos construyendo un Webinar que cubre una nueva capacidad de Tu Latch, y hemos lanzado dos hasta el momento, que os dejo por aquí. El primero de ellos es el Hello World! de Latch, donde contamos cómo funciona la API de Latch para crear los Controles de Seguridad.

Figura 3: Hi World! La API de Latch

El de esta semana, es el que tienes aquí mismo para Crear Operaciones e Instancias de Latch, que te van a permitir dotar de granularidad a la capa de control de autorizaciones de tu empresa.

Figura 4: Crear Operaciones e Instancias en Latch

Cada semana iremos liberando nuevos seminarios en el canal de Youtube de Tu.com y yo los iré recopilando en mi canal Youtube en una lista. Además, si quieres tener más información de cómo usar Latch en tu servicio digital o en tu empresa, ponte en contacto con nosotros, que te ayudamos encantados.

Figura 5: Contacta con nosotros para asistir al evento

He actualizado este artículo con el tercer tutorial, que explica cómo sacar partido a los WebHooks del API de Latch para integrar fácilmente la capa de control de autorizaciones en tus aplicaciones y servicios digitales.

Figura 6: Cómo utilizar WebHooks para integrar Latch en tus servicios

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Tu Latch

Este 13 de junio se celebra en Madrid la 11ª Edición de OpenExpo Europe : “The power of GenAI”, del que ya os hablé hace unos días en este artículo sobre lo que no os podéis perder de este evento, y en el que estarán presentes empresas de talla mundial como Google, Microsoft, Iberia, ILUNION, Repsol o Telefónica.

Figura 1: Tu Latch

En esta cita anual de innovación y tecnología, Telefónica Innovación Digital tendrá una participación especial, y es que además de nuestra presencia junto a nuestros compañeros de Telefónica Tech y Wayra, estaremos presentes con un stand propio de TU, nuestra nueva marca comercial de innovación y tecnología para particulares y empresas.

Figura 2: Nuevas apps de Latch en AppStore y Google Play

Ya os he hablado mucho de Latch, nuestra solución de 2FA (Second Factor Authorization) que con Latches permite hacer cosas únicas, como el control de cuentas privilegiadas con 2 Keys Activation, verificaciones de 4 ojos, o simplemente un segundo factor de autenticación para proteger su cuenta. Si no lo conoces, te recomiendo esta charla que, aunque tiene años, explica muy bien qué es lo que se puede hacer con las APIs de Latch en tus sistemas, servicios y aplicaciones.

Figura 3: Digital Latches for your Digital Life
En mi canal de Youtube, tienes más de 100 vídeos de cosas que se pueden hacer con Latch, pero además le hemos ido añadiendo 2FA con Cloud TOTP/HOTP, Latch para SmartContracts, y en breve vamos a tener un nuevo servicio que estará disponible en la "release" del 30 de Junio, así que ... Wait for it!

Figura 4: Esquema de verificación en 4 ojos con Latch.
Puedes establecer cualquier esquema de seguridad con Latch.

Hoy estamos en el relanzamiento de nuestra aplicación TU Latch, que cuenta con una nueva interfaz renovada con nuevas funcionalidades; y que hoy presenta nueva imagen tanto en la web como en su versión de aplicación disponible en App Store o Google Play.  Además, aprovechando el relanzamiento que estamos realizando, hemos abierto un período de prueba gratuita para empresas y desarrolladores para que podáis probarlo sin coste.

Figura 5: Prueba Gratis Latch en tu empresa. Te ayudamos a integrarlo.

TU Latch se integra con el sistema de tu empresa, y puede crear pestillos de seguridad (que se “abren” y se “cierran”) adaptados a sus necesidades, servicios y productos. Puedes tener un 2FA para los usuarios, puedes tener Supervisión de Cuentas Privilegiadas, puedes tener entornos de 2 o más Key Activation, para que una operación solo se pueda hacer cuando lo aprueben varios usuarios. Puedes tener Control de Permisos de una cuenta supervisada, etcétera. La arquitectura flexible de Latch permite hacer una gestión de identidades en la empresa altamente flexibles.

Figura 6: Esquema de 2-Key Activation con API de Latch

De esta manera, se puede implementear en cualqueir empresa un sistema granular de gestión de identidades súper ajustado, compliance y auditable de todas las acciones de todas la cuentas de usuarios. Y por supuesto proteger a los usuarios. Desde el panel de control la empresa puede: crear nuevos pestillos de seguridad digital, añadir capas de protección a todas y cada una de las funciones de los productos, o hacer uso de funcionalidades de soporte y monitorización de accesos no autorizados para tomar decisiones informadas y mejorar la seguridad de los servicios y consumidores.

Figura 7: Gestión de Pestillos en cuentas

TU Latch es una herramienta todoterreno que se adapta a todo tipo de sectores, como la educación, el e-commerce, fintech o empresa Web3. Por eso, TU Latch integra la autenticación directamente en los Smart Contracts, una característica esencial en la Web3. Esto permite que las transacciones y acciones dentro de estos contratos sean mucho más seguras. Para los servicios de finanzas descentralizadas (DeFi) y otros productos de la Web3, TU Latch ofrece la capacidad de bloquear transacciones que no hayan tenido autorización. Esto significa que los usuarios pueden evitar robos de criptomonedas y NFTs, protegiendo sus activos digitales de manera efectiva.

 TU Latch, TU Metashield y TU VerifAI en OpenExpo Europe 2024

Acércate a nuestro stand de TU que tendremos en OpenExpo Europe 2024, donde podrás conocer a nuestros expertos tecnológicos y probar antes que nadie TU Latch así como sus características y cómo la puedes integrar en los sistemas de tu compañía.  Además, ese día también podrás conocer antes que nadie, otros productos y servicios digitales de innovación de estamos construyendo como: TU Metashield, una solución de seguridad y privacidad para el tratamiento de información sensible en archivos digitales o TU VerifAI para detectar imágenes, vídeos y textos generados por IA.

Figura 9: Un vídeo Prototipo de AutoVerifAI hecho por TID

Espero que podamos vernos en el stand de TU en OpenExpo Europe 2024. Permanece atento, porque si todavía no tienes tu entrada, habrá varias sorpresas en los próximos días y sigue nuestros canales de TU apuntándote a la Newsletter en la web, o siguiendo todas sus novedades en Facebook, Instagram, YouTube, X, y el blog para no perderte nada.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo configurar el 2FA en MyPublicInbox con TOTP, Cloud TOTP o Latch Cloud TOTP

Estoy aprovechando este puente del Día de la Madre (aprovecho para felicitaros a todas las madres hoy), para sacar cosas que tenía pendientes de MyPublicInbox, así que si hace unos días os dejé un artículo que os explicaba Cómo configurar el 2FA en MyPublicInbox con Latch, hoy quiero dejaros la continuación y explicaros "Cómo configurar el 2FA en MyPublicInbox con TOTP, Cloud TOTP o Latch Cloud TOTP".

Figura 1: Cómo configurar el 2FA en MyPublicInbox

con TOTP, Cloud TOTP o Latch Cloud TOTP

Realmente es muy similar, y aunque en el título hable de TOTP, Cloud TOTP y Latch Cloud TOTP, realmente os voy a explicar el proceso una sola vez, que para el caso es lo mismo, y lo puedes hacer, por supuesto, con Latch. Yo sigo recomendándote el uso de Latch al de un TOTP, porque así siempre te enteras de que alguien tiene acceso a tus credenciales, como os expliqué en este artículo de "Google Authenticator no te avisa de que te han robado las passwords".

Time One-Time Password (TOTP)

Las TOTP son claves que cambian con el tiempo. El servidor y el cliente cuentan con un código que es la semilla de un algoritmo de generación de claves cada cierto tiempo, de tal manera que teniendo los dos la misma semilla, aplican el mismo algoritmo, y cada cierto tiempo generan una nueva clave. Es una solución muy utilizada en los 2FA (Second Factor Authentication/Authorization) desde hace mucho tiempo, como una forma más robusta de limitar el uso de las OTP (One-Time Passwords) que pueden ser utilizadas durante un tiempo indefinido.

Figura 2: Web de Latch explicando TOTP para usuarios

Muchas aplicaciones para gestionar los TOTP han guardado esas semillas en el dispositivo, dando mayor control al usuario, pero como contrapartida ha llevado a que muchos usuarios que han perdido sus dispositivos, o se los han robado, o simplemente se les ha roto, se han quedado sin acceso a sus cuentas por nunca jamás (LOCKING).

Figura 3: Gestión de 2FA basados en TOTP en Latch

Esto, en el caso de Google Authenticator - que no era Cloud TOTP antes - fue un drama en muchos casos - os puedo contar innumerables historias -, así que nosotros comenzamos a trabajar en Latch en el concepto de Cloud TOTP, donde lo que hacemos es guardar en tus espacio personal las semillas de los algoritmos TOTP de todos tus 2FA. De esto os hablé en el artículo de "Latch Cloud TOTP vs. Google Authenticator".

Figura 4: Anuncio en Abril de 2023 de Google Authenticator

sobre su cambio a almacenamiento en Cloud de las semillas

para evitar los problemas que os cité antes.

Ahora Google Authenticator ha comenzado a hacer lo mismo, asociando estas semillas a tu cuenta de Google, algo que algunos le han criticado, porque ya en su cuenta de Google están los 1FA (las contraseñas en su Google Password Manager), y añadir los 2FA (las semillas de los TOTP) debilita la seguridad al estar "juntos". Además que uno de los principales 2FA es precisamente el de la cuenta de Google. Una alternativa, por supuesto, es usar Latch. que solo tienen los 2FA y no los 1FA, que es por lo que nosotros hicimos este servicio en nuestra plataforma.

Configurar un Cloud TOTP con Latch en tu cuenta de MyPublicInbox

Explicado la anterior, toca ir al paso a paso de cómo se configurar la protección de TOTP en tu cuenta de MyPublicInbox. De nuevo insisto en que si tienes Autenticación Social en MyPublicInbox con tu cuenta de Google, Apple ID o LinkedIn, entonces tendrías primero el 2FA de cada uno de esos IDP (Identity Providers), más luego la que configures en tu perfil de MyPublicInbox.

Figura 5: Configurar un 2FA TOTP en tu perfil de MyPublicInbox.

Para configurar tu TOTP debes conseguir introducir el código TOTP que se genera con la semilla que está en el QRCode que se te muestra por pantalla. Así que deberás configurar en tu app de 2FA esta semilla.

Figura 6: Escaneo de semilla TOTP con el QRCode en MyPublicInbox.

Ahora debes irte a tu app de gestión de 2FA basado en TOTP, que en nuestro caso es Latch. Puedes descargarla y sacarte una cuenta para guardar todos tus 2FA desde las apps, que tienes aquí:

Figura 7: Descarga Latch para Android o Latch para iPhone

Una vez tengas Latch, abres la app, seleccionas TOTP, haces clic en la opción de Añadir Cuenta, luego la de Escanear QRCode, y luego lo escaneas con tu cámara.

Figura 8: Añadiendo un Cloud TOTP en Latch.

Lo que sucederá es que automáticamente tendrás un nuevo TOTP en tu app de Latch, donde tendrás la opción de "Ver código", que deberás introducir en el panel de la Figura 6 anterior, y ya tendrás tu cuenta protegida por un 2FA TOTP en todo momento.

Figura 9: Configuración de TOTP de MyPublicInbox en Latch.

Una vez hecho esto, en cada nuevo inicio de sesión en MyPublicInbox tendrás que vencer al desafío de 2FA con un nuevo código TOTP, y si no lo haces, no podrás iniciar sesión en tu buzón de MyPublicInbox.

Figura 10: Desafío 2FA en cada nuevo login de MyPublicInbox.

Eliminar tu 2FA TOTP de MyPublicInbox

Igual que en el caso de Latch, para quitar el 2FA hay que vencer el desafío, así que nadie podría aprovechar un descuido para quitar la protección TOTP de tu cuenta sin tener acceso a tu TOTP, como puedes ver en la imagen.

Figura: Desafío para la eliminación del 2FA TOTP en MyPublicInbox

Supongo que ya todos estáis más que preocupados por vuestra seguridad y que tenéis 2FA en todas vuestras identidades digitales, pero si tienes algunas sin esa protección, hoy es un día más que perfecto para que revises tus cuentas y lo pongas en todas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)