Prueba un sistema de Adaptive Authentication en nuestro banco @elevenpaths #Latch #MobileConnect

Cada día vamos añadiendo más funcionalidades a nuestro servicio Latch, y las últimas que hemos anunciado tienen que ver con cosas que ya están en producción en algunos de nuestros clientes. Hoy os quiero hablar de una de ellas para que las podáis probar en vuestra app de Latch y, si queréis, después implementar en vuestros propios servicios. Recuerda, que primero debes tener una cuenta de Latch tal y como se explica en este artículo: Cómo comenzar a utilizar Latch en tu vida digital.

Figura 1: Prueba un sistema de Adaptive Authentication en nuestro banco

La característica que hemos añadido a Latch son lo que llamamos "Instancias". Una Instancia en Latch no es nada más que una Operación (OperationID) personalizada para un Usuario Concreto (AccountID) de la Aplicación (ApplicationID). Es decir, en Latch antes podías crear en la web de desarrolladores las operaciones que estarán disponibles para todos los usuarios de esa aplicación, pero ahora, si quieres que cada usuario tenga sus propias operaciones puedes crearlas dinámicamente en forma de Instancias. Vamos a ver cómo funciona esto en un ejemplo de uso.

Autenticación Adaptativa en base a dispositivo con Latch

Por ejemplo, podríamos crear a cada usuario una "Instancia" por cada dispositivo al que se conecta, aplicando así una política de Adaptive Authentication. Vamos a utilizar Nevele Bank como ejemplo, así que primero sácate una cuenta de Nevele Bank tal y como se explica en este artículo: Probar las operaciones de Latch con Nevele Bank. En el vídeo se explica con detalle todo el proceso.

Figura 2: Uso de Latch en Nevele Bank

En el caso de Nevele Bank hacemos eso mismo de forma muy sencilla para esta demostración utilizando el valor del campo User-Agent del dispositivo de conexión a la web. Cada vez que se hace un login exitoso desde un dispositivo, la web de Nevele Bank comprueba el valor User-Agent y si no está en la lista de dispositivos de confianza le pregunta al usuario si es o no un nuevo dispositivo de confianza que quiera registrar para el sistema de Adaptive Authentication.

Figura 3: Nuevo dispositivo detectado

Si lo registra, automáticamente la web de Nevele Bank lo meterá en la lista de dispositivos de confianza que el usuario podrá comprobar desde la misma web y eliminar en cualquier momento. Si no lo registra seguirá siendo un dispositivo "Desconocido".

Figura 4: Lista de dispositivos de confianza en una cuenta de Nevele Bank

Pero además, creará una instancia en la aplicación de Latch para ese usuario en concreto dentro de la operación Login, por lo que a partir de este momento el usuario podrá configurar su política de Adaptive Authentication en función - en este caso - del dispositivo que esté usando. Podría configurar que para el dispositivo de confianza el Login está abierto, pero para los desconocidos el login está cerrado.

Figura 5: Instancias creadas para este usuario en función de sus dispositivos de confianza

Esto abre posibilidades a que también el usuario pueda configurar las opciones de apertura programada con el Schedule de cada Operación, o poner un OTP para unos dispositivos y para otros no, o configurar el Autolock por tiempo o por uso para unos dispositivos sí y otros no. Estas configuraciones permiten configurar un balance de decision entre lo que quiere el usuario y lo que quiere la web del banco.

Autenticación Adaptativa en base a método de identificación

Para nosotros, un sistema de identificación debe cumplir un equilibrio en cuatro escalas que el responsable del sistema de identidad tendrá que evaluar. Deberá elegir para cada aplicación o cada parte de ella, aquellos sistemas que cumplan los requisitos de:

- Universalidad: Que sean utilizables por la mayor cantidad de usuarios en la mayor cantidad de situaciones. 

- Robustez: Que cumpla con los mínimos de seguridad que se ha estimado para ese sistema o aplicación. 

- Usabilidad: Que haga la vida lo más fácil posible al usuario posible dentro de los requisitos de robustez y cumplimiento regulatorio que se exijan. 

- Cumplimiento Regulatorio: Que cubran los requisitos marcados por la legislación, la política de seguridad o las certificaciones que tenga el sistema  o la aplicación.

Dicho esto, podría darse el caso que para una aplicación muchos sistemas de autenticación cumplieran con los valores marcados para él en los 4 ámbitos anteriores o por el contrario solo uno lo permitiera. Todo esto lo tenéis mejor explicado en el WhitePaper que explica nuestra estrategia de identidad.

Figura 6: New Paradigms of Digital Identity: Authentication & Authorization as a Service (AuthaaS)

Por ejemplo para una web de información no importante, a lo mejor con usuario y contraseña valdría, pero si el riesgo reputacional exige mayor robustez o el cumplimiento de una regulación exige un segundo factor de autenticación, tal vez hubiera que moverse a una autenticación con Usuario+Contraseña+OTP o Usuario+Contraseña+Latch o a usar un DNIe con PIN, o una SmartCard+Biometría, etcétera. Este es un ejemplo con SmartID.

Figura 7: Autenticación robusta con DNIe, Biometría, NFC, Latch y SmartCards con SmartID

Al final, lo suyo es que el sistema permita tantos sistemas de autenticación como sea posible que cumplan los requisitos de Robustez y Cumplimiento Regulatorio. Al abrir el abanico de posibilidades al usuario, aumenta por supuesto la Usabilidad (cada uno eligirá el más cómodo para él) y la Universalidad, al abrirse más el número de posibilidades.

Autenticación con Mobile Connect en Nevele Bank

En la web de Nevele Bank, además de con Usuario y Contraseña, de Usuario y Contraseña + Latch, de Usuario + Contraseña + Latch + Verificación de dispositivo, hemos añadido la posibilidad de autenticarte con Mobile Connect, lo que permite a todos los usuarios cuya operadora haya lanzando ya Mobile Connect (como es el caso de Movistar) el poder asociar su número de teléfono a su cuenta de usuario y después seleccionar Mobile Connect como forma de autenticarse.

Figura 8: Pareado de cuenta de Nevele Bank con Mobile Connect

Primero hay que conectarse a la web de Nevele Banck y parear con Mobile Connnect, luego ya basta con poner el número de teléfono en la parte de login y aceptar el proceso.

Figura 9: Login con Mobile Connnect

Figura 10: Autenticación con Mobile Connect en el terminal

En este vídeo tenéis una demostración de cómo funciona con una demo que hice en el programa Likes de #0.

Figura 11: Autenticación Adaptativa con Latch, Mobile Connect y Biometría

Al final, como se ve en el vídeo, con Mobile Connect también se pueden elegir diferentes métodos de autenticación, basados en Click OK, o en PIN o incluso en el uso de biometría de huella dactilar usando FIDO. Es la web la que, en base a los parámetros definidos anteriormente la que debe dar al usuario las posibilidades que son válidas y que el usuario decida cuál le es más cómoda en cada instante.

¿Y tus sistemas? ¿Siguen utilizando solo usuario y contraseña? DO the BASICS!

Saludos Malignos!

Sweet11Paths: Chema Alonso y la fábrica de caramelos

La verdad es que con la cantidad de cosas que salen día a día de Eleven Paths, a veces me siento casi como si fuera un Willy Wonka cualquiera. Todas las semanas hay varias novedades, que descubro vía la newsletter CyberSecurity Pulse, la nueva sección con informes de investigación CyberSecurity Avatar, los informes de incidentes de seguridad CyberSecurity Shot o los CyberSecurity Reports en los que se publican informes de actualidad del mundo de la seguridad. Pero también salen nuevas PoC vía el laboratorio, como el último WordPress in Paranoid Mode, novedades desde el área de producto - que os conté en el resumen del Security Day 2016_ o esta última, que ha salido de parte del equipo de CSAs después de estar jugando con la Seguridad Criptográfica en el mundo IoT.

Figura 1: Sweet11Paths. Chema Alonso y la fábrica de caramelos

Este juguete se llama Sweet11Paths, y no es nada más que la integración de un buen conjunto de tecnologías con el objetivo de hacer un hack muy dulce. En definitiva es una máquina de caramelos que se ha convertido en un dispositivo IoT conectado a Internet vía WiFi y usando un chip criptográfico para garantizar la robustez de la comunicación con el servidor. En la serie de artículos de Seguridad Criptográfica en el mundo IoT se explica en detalle este trabajo.

Figura 2: Conexión al mundo IoT de la máquina de caramelos

Esta máquina de caramelos solo entrega su nectar si has sido autenticado previamente en una tablet, pero para hacer la vida más sencilla al usuario, el sistema de autenticación se basa en el reconocimiento de la firma manuscrita de cada usuario. Es decir, por medio de SealSign se valida a los usuarios a través de su firma manuscrita en una tableta, tal y como podéis comprobar en este vídeo en el que yo estoy probando el juguete.

Figura 3: Probando la máquina de caramelos en Eleven Paths

La idea del proyecto es usar la firma manuscrita NO para firmar documentos, sino como forma de reconocer a los usuarios que están frente a un sistema, lo que ayuda a evitar las contraseñas y hacer la vida más sencilla a todos los empleados.

Figura 4: Eleven Paths Talks [12] SealSign y el mundo IoT

En la sesión de las Eleven Paths Talks de esta semana, el constructor de este juguete, nuestro CSA Jorge Rivera, explicó en detalle cómo funciona esta plataforma de forma completa. En la Figura 4 tenéis el vídeo de la sesión, y recordad que este jueves tenéis otra nueva charla dedicada al mundo de la identidad y las contraseñas, para extender este debate.

Figura 5: Hucha protegida por Latch y Biometría de SmartID

Al final, de igual forma que aplicamos al mundo IoT la tecnología Latch a un cerrojo, o a una hucha, en este caso se ha unido SealSign a una máquina de caramelos como sistema de autenticación. Esto, no es nada más que una funcionalidad.


Figura 6: El Rey Felipe VI intentando saltar la validación de SealSign
En la administración española usan un sistema similar para autenticar a los usuarios mediante su firma manuscrita con el objeto de firmar documentos con su certificado digital almacenado en un HSM, tal y como se cuenta en esta charla.

Figura 7: Autenticación de usuarios con firma manuscrita y firma digital con certificados

Si quieres venir a comerte unos caramelos y probar este juguete, ponte en contacto con nosotros y te damos un paseo por la fábrica de caramelos, y si quieres aprender cómo hacer esto en tus proyectos, no dudes en contactar con nosotros vía la Comunidad de Eleven Paths, donde podrás contactar con todos los CSA y los ingenieros de Eleven Paths.

Saludos Malignos!

Ya puedes integrar Mobile Connect en tus servicios

Este lunes comienza el Mobile World Congress y, sin duda, una de las estrellas de esta edición será Mobile Connect, el nuevo estándar para autenticación en servicios basados en el número de teléfono. Detrás del estándar está la GSMA, que es la organización que aglutina a todas las Telcos del mundo, y nosotros en Eleven Paths hemos estado trabajando fuerte para que Telefónica sea una de las primeras en tenerlo listo y funcionando. Y ya está disponible para que empieces a integrarlo donde quieras.

Figura 1: Ya puedes integrar Mobile Connect en tus servicios

El funcionamiento de Mobile Connect es fácil de entender y se basa en autenticar a los usuarios de cualquier sistema mediante un desafió a la tarjeta SIM de su número de teléfono. Es decir, cuando un usuario se quiere autenticar en un servicio, en lugar de introducir un login_id y una password, pide autenticarse con Mobile Connect e introduce su número de teléfono. El servidor en el que se quiere autenticar comprueba que ese número de teléfono es de uno de sus empleados y entonces solicita a la operadora - a la telco - que verifique si el dueño del número de teléfono realmente se quiere conectar a su sistema. 

El servidor se conecta con un servicio de Mobile Connect que ofrece una de las telcos y será la infraestructura de red de las telcos la que busque la SIM del número solicitado para enviar, vía canal de operadora, un mensaje a la SIM del usuario. Ese mensaje hará que se ejecute un programa en la SIM del cliente que le preguntará si quiere autenticarse en ese servicio, y lo hará solicitando diferentes niveles de seguridad, según lo haya requerido el servicio en el que se está autenticando. El siguiente vídeo muestra un ejemplo sencillo de uso.

Figura 2: Ejemplo de login con Mobile Connect

En un nivel de autenticación básica se le solicitará al usuario que dé su aprobación con un clic. En un nivel de aprobación superior se le solicitará el PIN de Mobile Connect. En un nivel de autenticación superior se solicitará el PIN y que luego introduzca un OTP en el servidor web y, en un nivel de autenticación aún superior se le puede exigir que usando FIDO, ponga su huella dactilar para aprobar el acceso con biometría o incluso con el DNIe. Es decisión de lo que quiera el servicio al que se vaya a conectar. 

Figura 3: Mi Movistar España ya permite autenticarse con Mobile Connect

El servicio ya está lanzando en varios países en Telefónica desde hace un tiempo, que lo hemos tenido a prueba, y ya puedes usarlo en Mi Movistar España y en Mi Movistar Perú, donde puedes aprender también a utilizarlo fácilmente.

Figura 4: Mi Movistar Perú permite autenticarse también con Mobile Connect

La ventaja de utilizar Mobile Connect es que el usuario no necesita ni un smartphone ni una conexión de datos, es decir, no necesita que el cliente tenga un plan de Internet en el terminal para poder autenticarse usando Mobile Connect y no se necesita un smartphone porque el cliente de Mobile Connect corre directamente en la SIM del terminal. 

Figura 5: SDKs y Demos para integrar Mobile Connect en tus servicios

Desde ahora ya puedes comenzar a integrar este sistema de autenticación en tus servicios, con lo que podrías tener cualquier servicio en el que si tienes el número de teléfono de tus usuarios podrías autenticarlos con Mobile Connect, lo que además te sirve como forma de verificación de los datos. En la web de Developers de Mobile Connect ya tienes toda la información que necesitas para comenzar a trabajar con él, y en el vídeo siguiente se explica un poco su funcionamiento.

Figura 6: Integración y uso de Mobile Connect

Además, si necesitas ayuda para implementarlo en algún servicio, puedes ponerte en contacto con nuestros ingenieros de Eleven Paths a través de la Comunidad de Eleven Paths, donde hemos abierto una categoría de Mobile Connect para escuchar vuestras ideas, dudas o comentarios. El uso del servicio es gratis para los sistemas de autenticación básica en Internet, así que puedes ponerlo donde quieras en Internet.

Figura 7: Comunidad de Mobile Connect en Eleven Paths

Como ya os he contado en el pasado, nuestra visión de autenticación y autorización se basa en crear soluciones robustas adaptadas a las necesidades de los clientes, para permitir que el usuario decida cuál es la forma más cómoda para autenticarse en un sistema en cada caso. Nuestra idea es poder ofrecerle un abanico lo suficientemente grande de opciones como para que sea una experiencia satisfactoria a la vez que segura. Para ello tenemos soluciones de autenticación y de autorización que se pueden implementar todas juntas en un sistema y adaptarse a las necesidades y situaciones del usuario. 

Figura 8: Demostraciones de Mobile Connect + Latch + SMS + Biometría

Al final, a lo largo de los últimos tres años hemos construido un ecosistema de tecnologías que generan una solución de identidad digital de las que nos sentimos muy satisfechos, ya que recoge la visión que teníamos al inicio de construir algo centrado en el usuario y robusto. En este artículo que os publiqué contamos nuestra visión de autenticación y autorización, pero se resume bien en esta demostración que hicieron nuestros compañeros durante el último Security Innovation Day (vídeo superior) y durante el Security Day 2015 (vídeo siguiente).

Figura 9: Demos de autenticación con SmartID usando DNIe, Biometría, NFC y Latch. Además autenticación vía firma digital manuscrita con SealSign

Las piezas tecnológicas que usamos para que luego se apliquen a gusto del usuario y del servicio para los procesos de autenticación y autorización son:

- Mobile Connect:  SIM, SIM+OTP, SMS+OTP, SIM+FIDO [Web Mobile Connect]
- SmartID: NFC, DNIe, RFID, SmartCard, Biometría dactilar [Web SmartID]
- Latch: Password+Latch,  Password+Latch+OTP [Web Latch]
- SealSign: Biometría de firma manuscrita, Firma Digital [Web SealSign]
- Liliac: RFID ID Card+ Liliac [Web Liliac]

Jugando con todos estas tecnologías, y aplicándolos todos a la vez, un sistema podría requerir uno u otro dependiendo del entorno en el que se encuentre el usuario, o dejar que el usuario elija en cada caso qué es lo que quiere usar para autenticarse. El mundo no debe pararse por las contraseñas y tenemos ya a día de hoy soluciones para hacer la vida más fácil y más segura a los usuarios.

Saludos Malignos!

El día que conocí al Rey Felipe VI y cómo me convertí en el "Quinqui Ciber-delincuente del 15M" (Parte 1 de 3)

A lo largo de mi vida me han pasado muchas aventuras de todo índole. Son muchos años rodando por el mundo y al final, por culpa de la teoría de los grandes números, es solo cuestión de tiempo que me acabe metiendo en alguna historia digna de recordar. Son estas aventuras y desventuras las que luego aprovecho para contar en cenas, sofás o reuniones varias con el objeto de entretener a la audiencia con un poco de lo que yo he vivido, adornado con los vapores del vino, el calor del momento o la emoción de la situación. Esta es una de ellas, y tuvo lugar este año durante el Mobile World Congress 2015. Es la historia del día que conocí al Rey Felipe VI o cómo me convertí en "El quinqui ciberdelincuente del 15 M", que como veréis fue de lo más ajetreada posible.

Figura 1: El día que conocí al Rey Felipe VI y cómo me convertí en el
"Quinqui Ciber-delincuente del 15M" (Parte 1 de 3)

A lo largo de mi vida me he ido topando con muchas personalidades curiosas del mundo público. Muchas de esas historias las he ido contando en público - como cuando me encontré con Paquirrín -, otras en privado como esta que os voy a narrar hoy, y existen otras que no he contado nunca y de las que necesito dejar que pase algo más de tiempo para contarlas. Hay que dejar que pasen de moda ciertos temas antes de que pueda narrarlas sin que se líe parda. Así tendré algo que contar en el futuro.

Esta historia que os voy a contar tuvo lugar durante el mes de Febrero y principios de Marzo de este año. Yo había estado por New York pasando unos días dónde tuve la oportunidad sin haberlo planeado de ver el peor partido de los Nicks de la peor temporada de la historia de los New York Nicks. Sí, fue un partido de en los que al descanso el equipo visitante doblaba al local, pero eso lo podré contar a mis nietos. Yo estuve allí viendo ese partido tan malo y puedo constatar que fue malísimo. Al poco de llegar a Madrid recibí la invitación del ex-presidente D. José María Aznar para participar en unas jornadas de ciberseguridad... pero esa es otra historia que ya os contaré más adelante, que me desvío. (Vale, sí, he dejado esta referencia aquí con la intención de dejaros con la incógnita. Si lo he conseguido deberéis esperar hasta que decida contaros esa historia y publicar las fotos).

Figura 2: Charlotte Hornets acabaría ganando por 110-81 tras mejorar NY en el último cuarto.
En un momento iba doblado, que fue cuando tiré esta foto el 10 de Enero de 2015.

El caso es que, cuando regresé de New York, unas semanas antes del Mobile World Congress 2015 que tendría lugar en Barcelona, nos enteramos que vendría el Rey Felipe VI al stand de Telefónica dentro de la visita institucional que haría a la feria. Sabiendo esto, se nos ocurrió que habría que preparar algo diferente para la visita y ahí es donde surgió la idea de que estaría bien hacerle probar al Rey el sistema de reconocimiento biométrico de firma manuscrita con SealSign, tal y como ya os conté en su momento.

El plan era sencillo en diseño. Debíamos capturar la firma manuscrita de César Alierta, meterla en nuestro programa de falsificadores de firmas, y luego hacer al Rey Felipe VI que intentase falsificar la firma de César Alierta para demostrarle que, aunque calcase con exactitud la firma, el sistema iba a ser capaz de reconocer los patrones biométricos de presión y velocidad para determinar si era o no el auténtico César Alierta. Pedimos permiso al gabinete de presidencia y nos lo concedieron. Bien.

Figura 3: Confirmación por correo electrónico del OK del Presidente.

Para conseguir captura la firma de nuestro presidente hicimos una petición oficial, y debía ir yo el viernes antes del Mobile World Congress 2015 a las 11:00 de la mañana a su despacho para conseguirla. No teníamos mucho margen de maniobra. Capturaríamos la firma el viernes por la mañana, el fin de semana metería alguien la firma en el programa y la llevaría el domingo a Barcelona para que el lunes a las 12:00 de la mañana, durante la visita del Rey Felipe VI al stand de Telefónica, yo le hiciera la demostración.

Yo había aprovechado para quitarme todo el trabajo posible antes de eso. Me había reunido con mi compañera Beatriz de Alise Devices que había hecho un placa con su tecnología de seguridad para hacerle un regalo al Rey Felipe VI, y para después había hecho planes para estar ese fin de semana con mi developer - que ella no quiere ser hacker - y ya le había dejado mucho tiempo sin hacerle el caso que se merecía, así que iba a tener un poco de tiempo libre para disfrutar con ella, sobre todo teniendo en cuenta que después de estar una semana en el MWC 2005, la siguiente semana me iba a Argentina. Al final, todo parecía sencillo para ese día. Mi trabajo terminaba con conseguir capturar la firma y listo. Estaba todo en regla. ¿Qué podría ir mal?

Comienza la fiesta

A las 10:50 entraba por los tornos del Edificio Central de Telefónica donde está presidencia con el objeto de zanjar el asunto en unos minutos. Llevaba además en la mano una placa de Alise Devices del Rey Felipe VI que le habíamos preparado. En ese momento llegó un mensaje de correo a mi teléfono.

Figura 4: ¿Qué podría ir mal? ¿Y tú me lo preguntas?

No habíamos contado con que esto pudiera pasar, y me quedé como un conejo al que acabaran de dar las largas en la autopista. No solo tendríamos muy poco margen de maniobra para meter la firma en el programa, sino que además mi fin de semana se iba al garete. Yo que contaba con desconectar pronto y ponerme con mis planes lúdico festivos, me veía teniendo que pasar el fin de semana haciendo guardia esperando el momento de capturar la firma y luego trabajar para tener todo listo el lunes. Houston, tenemos un problema.

A ver, si hubiera tocado hacer eso, pues habría tocado, pero no me apetecía tener que cancelar todo y dar explicaciones de los cambios de planes. Pero... ¿no podría solucionarlo yo de otra forma? Al final, la vida me ha enseñado que menos la muerte todo tiene solución y que a veces es más sencillo de lo que parece. Si hubiera contestado OK en ese momento la hubiera liado, pero años de entrenamiento en resolución de problemas me han enseñado a aceptar la geometría variable de las cosas y bailar con ellas. Tenía unos hechos clave con los que lidiar.

1) El presidente no iba a firmarme ahora [Fact 1]
2) No quería fallar a mi developer [Fact 2] 

Con estas dos condiciones de contorno tenía que conseguir que en un tiempo razonable entre entre ahora y antes de que se acabara el viernes tenía que conseguir la firma del presidente para conseguir cumplir los Fact 1 y Fact 2. Si ya te has leído la historia de cómo solucioné el problema de la demo en el lanzamiento de Windows XP seguro que alguna ha pensado: "Ya está, Chema va a firmar como si fuera César Alierta y listo".

Podría haber sido, pero para hacer eso, después de haber hecho la petición oficial y de tener una fecha para el domingo en la cual el presidente nos daba su firma hubiera exigido que diéramos demasiadas explicaciones. Todavía había tiempo para poder capturar la firma y mi pase en Telefónica me permite pasar por todos los edificios y salas del complejo, así que....right to the source.

Subí raudo y veloz a ver al equipo de secretarias de nuestro presidente para contarles la situación. Me presenté lo más formalmente que pude y empecé a darles todo tipo de explicaciones. Les hice una demo de SealSign, les enseñé la placa de Alise Devices, y le conté la necesidad que tenía de capturar la firma ese viernes sí o sí. Por favor, supliqué, que si no se me rompe el fin de semana personal y no tendremos a tiempo el programa, "¿me podéis buscar un hueco en el sitio que sea y a la hora que sea durante hoy viernes para hacer la captura de la firma?" . Vale, tal vez no es lo que esperabas, solo supliqué. Tenía que agotar las opciones antes de pasar a otro orden de medidas.

Quiso el destino que me conocieran de mis charlas con el gorro y que, tras pedirme una foto porque su marido era fan mío - que me hice sin gorro ya que no iba pertrechado - quedáramos en que me iban a llamar ese viernes, a cualquier hora del día, para ir a cualquier lugar de Madrid y poder capturar en cualquier segundo la firma del presidente. El tiempo corría en contra, pero iba a conseguirlo sí o sí.

Me fui a la última reunión que tenía del día a las 13:00 horas en Principe Pío, y al poco de estar allí me llamaron por teléfono: "Chema, el presidente te recibe en su casa a las 14:00 horas, tienes 10 minutos para capturar la firma". Me levanté raudo y veloz, pues tenía un trayecto que hacer, y dejé a mi contertulio de la reunión en el Starbucks solo. "Lo siento, me tengo que ir sí o sí. Ya nos vemos dentro de tres semanas cuando regrese de Argentina. ¡Adios!"

Llegué zumbado con el Malignomóvil a la casa de nuestro presidente. Llegué a todo trapo y aparqué en la misma puerta. Debí ser un poco brusco en toda mi operación, porque al bajar, se me vinieron encima los guardias de seguridad. La verdad es que no lucía yo mis mejores días de formalidad, y entre las barbas y los pelos, debí de hacer que los guardias de seguridad se sintieran un poco perplejos por el ser que salía del Malignomóvil que se había parado justo en frente de la casa de nuestro presidente. "Soy de Telefónica. Soy de Telefónica". Dije un par de veces para evitar que se preocuparan mientras levantaba mi tarjeta de identificación en alto. Vale, sí, me había asustado.

Tras hacer los controles de seguridad necesarios, y pedir confirmación al gabinete del presidente, me dejaron entrar con la tablet a esperar a César Alierta. La verdad es que estaba preocupado por tener todo listo y hacerlo en menos de esos 10 minutos que tenía de agenda. No era la primera vez ni mucho menos que tenía una reunión con el presidente, pero era la última oportunidad que tenía de tener esto listo para la visita del Rey Felipe VI y quedar libre el fin de semana. Así que me senté en el sofá donde me dijeron, preparé la tablet, el programa de captura de firmas, y me senté a esperar a que llegara el presidente con todos mis deberes listos. Ya estaba todo. ¿Qué podría ir mal ya? Nunca pienses eso si quieres que nada vaya mal. Hazme caso.

Figura 5: Funcionamiento de SealSign para el reconocimiento de firmas

Os cuento todos los detalles del momento para que podáis entender el estado de estrés que llevaba con las prisas de ese día. Esto, que en esta parte de la historia no refleja más que una poco de nerviosismo, se traducirá días después en un momento de tensión y otro de posterior alivio que se notará en el vídeo del momento, porque aún... la iba a liar un poco más. Pero tendréis que esperar a la tercera parte para descubrir esos momentos.

Cuando llegó César Alierta rápidamente comencé a explicarle el proceso, pero entonces el presidente me pidió calma. "¿Quieres un café chaval?". "Ehh... bueno, sí." (Que estoy sin comer y esto parece que va para largo). En ese momento, en lugar de ir todo con prisas, comenzamos a charlar durante más o menos cuarenta minutos. El presidente estaba relajado y quiso conocer más de mí, de mi vida y de por qué ese fin de semana no podríamos haberlo firmado el domingo. Quería saber más de mi como persona, así que charlamos de muchas cosas. Nada que ver con la tecnología y la firma. Al final, después de un buen rato, comenzamos el proceso de captura de la firma. Parece que lo iba a conseguir.

Yo me había quedado un poco descolocado con uno más de mis días movidos y cuando fue a firmar, sacando al hombre de seguridad informática que llevo dentro, le dije: "César, no uses tu firma auténtica que este tablet va a estar en la feria y no estaría bien que todo el mundo viera tu firma real. Haz una firma diferente. No sé, pon César y listo". Craso error. De hecho, me daría cuenta durante el fin de semana estando más relajado.

A ver, la gracia de la firma biométrica es que se basa en un hábito adquirido en base a un montón de repeticiones. Es uno de esos sistemas de autenticación Anti Ruber Hose que permiten que la credencial no se pueda robar si no conoces la firma. En el Security Innovation Day 2015 usamos este reconocimiento de firma biométrica para el sistema de recuperación de contraseñas, como un ejemplo más de uso de Latch integrado con SealSign. 

Figura 6: Presentación en SID2015 de Latch integrado con SealSign

Al pedirle a César Alierta que NO hiciera su firma de verdad yo le estaba poniendo un reto al sistema. En mi caso, utilizo varias firmas distintas. Una para los documentos oficiales, otra para los dibujos y otra para las dedicatorias. Tengo tres patrones biométricos distintos. Yo le pedí a nuestro presidente que escribiera su nombre varias veces, y capturé la biométría de su patrón caligráfico, pero NO el de una firma manuscrita que es mucho más marcado y representativo. Simplemente puso César con letra de molde y eso es lo que capturé.... y cuando me di cuenta de eso, ya era demasiado tarde para volver atrás.

Aún se me complicaría más el día pues desde casa de nuestro presidente hasta la Estación de Atocha, punto de reunión con mis compañeros para entregar el tablet con la firma capturada, aún perdería mi DNIe 3.0 que había tenido que ir a hacerme a la Central de Policía con el objeto de poder hacer otra de las demos de SmartID que habíamos preparado para el MWC 2015. 

Figura 7: Demo de SmartID con mi DNIe 3.0 y Latch preparada para el MWC 2015

Afortunadamente solo fue causa del estrés del día, ya que lo tenía en su sitio en mi cartera, pero los nervios - o el hambre de llevar horas sin comer - no me dejaban verlo. Increible. Llegué pasadas las 16:00 de la tarde sin comer a Atocha. Después pude ponerme a terminar mis últimas tareas de la semana - que se me había acumulado alguna aún para más INRI - y así dar comienzo a mi fin de semana.

Cuando llegué por fin con mi developer, me tiré en el sofá destrozado de la tensión y estrés del día, algo que ella agradeció subiéndose encima y pidiendo justificaciones por el retraso. Comencé explicando que por la mañana había tenido un problema que me obligaba a cancelar todos los planes del fin de semana. "No, no te preocupes, lo solucioné. Pero mira, el correo electrónico que recibí esta mañana a las 10:50.". A lo que me contestó: "¿Tú no me dijiste que esta chupado falsificar un correo electrónico y te mandaste un correo de un presidente?". Chica lista. No se les puede enseñar nada que luego lo aprenden.

Figura 8: Mensaje IMAP manipulado en Gmail para simular que viene de Obama

Si pensaba que mi aventura iba a terminar con esto y que todo el resto del tiempo iba a ser miel sobre hojuelas, estaba muy lejos aún de la realidad. Sin saber cómo, en breve iba a terminar metido en más guerras, pero será en la segunda y tercera parte de esta historia cuando os la contaré. ¿Soportará la biometría del patrón caligráfico el test del Rey Felipe VI en el Mobile World Congress? ¿Qué opinará el resto de la gente? En la siguiente parte os cuento cómo lo viví.

Saludos Malignos!

Security Innovation Day 2015_ disponible en vídeo

El equipo de comunicación de Eleven Paths no ha tardado en editar todas las charlas del pasado Security Innovation Day 2015 para que las tengáis disponibles y podáis verlas si no pudisteis venir al evento o si no pudiste conectarte por streaming online. Las hemos divido en varias partes, para que sea aún mucho más fácil elegir el momento que quieres ver de toda la sesión. Para que el evento fuera como lo vas a ver online, los equipos trabajaron fuerte y duro. Desde la imagen que se eligió para el evento, el montaje y el diseño de todo el auditorio, las camisetas de Latch que se entregaron a los asistentes que trajeron su app con alguna identidad pareada, los ponentes y sus demos, los equipos de Product Management, IT, Comunicación, UX, Ingeniería y QA para conseguir que las cosas funcionaran como las vas a ver, etcétera.

Figura 1: Security Innovation Day 2015_ disponible en vídeo

Fue un trabajo enorme, y no importa cuántas veces lo haya dicho, me sigo sintiendo orgulloso de poder trabajar con ellos y ver día a día como hacen las cosas. Gracias a todos los que os dejasteis un poquito de vuestra sangre por conseguir que esa demo funcionara, que ese detalle estuviera en el sitio adecuado o que los asistentes estuvieran a gusto. Espero que, si no lo has visto hasta ahora, puedas disfrutar de las presentaciones - que están disponibles para descarga en la web del evento -

Figura 2: SID2015 - Bienvenida

Figura 3: SID 2015 - Amenazas más grandes significan necesidades más grandes

Figura 4: SID2015 - El control de tu identidad digital está en tus manos

Figura 5: SID2015 - Ciberseguridad, Comunidad Técnica y Concursos

Figura 6: SID2015 - Decisiones de seguridad que pueden salvar tu negocio:

Data Protection in the Cloud Era

Figura 7: SID2015 - ¿Me vas a creer a mí o a tus propios ojos? El dilema de la seguridad gestionada

Figura 8: SID2015 - Preventing Data Breaches. Nir Zuk, Founder y CTO de Palo Alto Networks

Figura 9: SID2015 - Conclusiones y despedida

Si has visto las charlas, habrás visto que está todo lo que os he ido contando estos días y algo más. A lo largo de este mes que viene aún os iré desgranando algún detalle más de lo que vamos haciendo, que en Eleven Paths tenemos la suerte de poder jugar con la tecnología día a día y siempre hay algo nuevo en lo que merece la pena pararse a mirar.

Figura 10: Parte del equipo de Global Security en Eleven Paths y Telefónica de España

Adoro este trabajo que tengo y la gente con la que lo comparto. Rocks!

Saludos Malignos!

Estrategia de Identidad en Telefónica y más sobre Latch: (AuthaaS) Authentication & Authorization as a Service

Durante el último Security Innovation Day 2015 tuvimos una sesión de presentación sobre toda la estrategia de soluciones de identidad que estamos impulsando desde Telefónica, haciendo uso de las tecnologías que estamos creando en Eleven Paths. Los que pudisteis venir a las sesiones visteis que en directo mezclábamos todas nuestras soluciones de diversas maneras y en diversas situaciones. Desde autenticar de forma robusta con Mobile Connect o SmartID - para usar smartcards, biometría, NFC, DNIe o RFID, autorizar vía Latch, Mobile Connect con Biometría o tokens OTPs vía SMS para los terminales pre-smartphone, e incluso identificar en el sistema de recuperación de contraseñas a los usuarios vía SealSign (como sistema de autenticación anti Rubber Hose).

Figura 1: Estrategia de identidad en Telefónica y más sobre Latch

Todos ellos funcionando según la estrategia de identidad que una compañía quiera realizar, ya que al final, los productos son nuestros y los podemos adaptar a cada situación. Durante la presentación, lo recogíamos todo en esa diapositiva que habíamos extraído del informe que Gartner ha hecho sobre nuestra propuesta de Authentication & Authorization as a Service.

Figura 2: Estrategia de identidad de Telefónica con tecnologías de Eleven Paths

El informe que ha hecho el equipo de Gartner se ha basado en el trabajo de varios meses analizando nuestra propuesta, y ha quedado plasmado en el siguiente documento que he subido a mi canal SlideShare:

Figura 3: New Paradigms of Digital Identity: Authentication & Authorization as a Service (AuthaaS)

Para conseguir dar esa flexibilidad, tenemos un roadmap muy extenso que va haciendo que día a día, versión a versión, todos ellos tengan nuevas características que permitan hacer más y más cosas. En el caso de Mobile Connect, ya sabéis que lo hemos puesto en producción en España, Argentina, México y Perú, y que en breve estará disponible para integrar en cualquier sitio que quieras. 

Figura 4: Un ejemplo de autenticación con Mobile Connect en una web

En el caso de Latch hemos seguido ampliando el número de sitios donde está integrado - ya hay más de 7.000 aplicaciones integradas con Latch - y hemos continuado metiendo características. Algunas de usabilidad e información para el usuario, como las características de Silenciar y de Log & Stats que os contaba hace poco, y otras vía API, como personalizar los mensajes OTP o permitir crear operaciones de forma dinámica. Esta última opción es la que utilizó Ben Metzel CTO de Vaultive para controlar dinámicamente los dispositivos que podrían acceder al correo electrónico de Office 365 descifrado, tal y como mostró en su demostración en el evento.

Figura 5: Ben Metzel, CTO de Vaultive, controlando el acceso al correo de
Office 365 descifrado por dispositivos desde Latch

Desde el punto de vista más puro de usabilidad, también lanzamos Latch para Apple Watch, que ya puedes descargar y probar, además de una serie de características que están escondidas para los menos curiosos, y que os paso a contar por aquí. Estas características las teníamos en el roadmap desde hace tiempo, pero las vamos metiendo según la cola de prioridad que tienen, y las que hemos sacado son las siguientes que puedes utilizar arrastrando el Latch hacia la derecha.

Figura 6: Acceso a opciones de cada Latch

En la imagen veis unos textos que he añadido yo para hacer más fácil la comprensión, pero luego no van a estar en la app. Son bastante sencillos de entender, ya que son las opciones de Renombrar, Agrupar, Silenciar y acceso a Log & Stats. Esta última, la gestión de Log & Stats, ya la explique en detalle en un artículo, así que me voy a centrar hoy en las otras.

Renombrar y Silenciar

Estas dos opciones son muy sencillas. La primera de ellas es tan fácil que consiste en cambiarle el nombre al pestillo. Esto es útil sobre todo si hay varios Latches protegiendo varias identidades en el mismo sitio. De esta forma se puede poner un nombre que ayude a diferenciarlos. De momento no hemos permitido cambiar el icono del Latch, pero todo se andará.

Figura 7: Cuadro para renombrar un Latch

La segunda opción, la de silenciar, hará que no lleguen alertas para esa identidad. Esto puede ser útil en muchos entornos en los que hay demasiadas comprobaciones, pero puede dejar al usuario sin enterarse de lo que está pasando. Para ello, cuando se activa aparece el icono avisando de esto en el Latch principal.

Figura 8: Un Latch con las alertas silenciadas

Decidimos meter esta opción solo cuando teníamos terminada la parte de logs & stats, ya que a pesar de que no que lleguen las alertas en tiempo real, el usuario podrá revisar siempre todo lo que ha pasado con su identidad.

Mover a una Carpeta

En muchos wallets de Latch el número de identidades empieza a crecer lo suficiente como para que sea útil agruparlos. Hemos decidido meterlos ahora que ya hemos sobrepasado la barrera de los 320.000 usuarios, y su funcionamiento es sencillo. Desde la opción de Mover se pone un nombre de una carpeta la primera vez que se crea y a partir de ese momento aparece una carpeta en la lista de Latches.

Figura 9: Cuadro para mover un Latch a un nuevo Grupo

Es muy similar su funcionamiento a las carpetas de iOS u otros sistemas operativos móviles. Si en algún momento se quiere sacar de la carpeta a una identidad, se vuelve a seleccionar la misma opción y se deselecciona el grupo. Por último, para borrar el grupo, se hace exactamente igual que antes, arrastrando hacia la derecha y con la opción X de borrar. 

Figura 10: Grupo Tienda con Latches dentro

Hemos metido la opción de renombrar el grupo o carpeta de Latches, pero no hemos permitido aún poner iconos personalizados, que tal vez lo hagamos en la siguiente versión.

Figura 11: Izquierda opción de cambiar un Latch de Grupo. Derecha borrar un Grupo.

Como veis, poco a poco intentamos ir metiendo aquellas ideas que se nos ocurren y que nos dais, así que cualquier feedback o necesidad que vayáis teniendo será bien recibida. Recordad que ahora tenemos abierto el Latch Plugin Contest 2015 - puedes debatir sobre él en nuestra comunidad - y que puedes ganar por tus implementaciones de Latch hasta 5.000 $ en BitCoins, así que "Put your code where your mouth is".

Saludos Malignos!

Eleven Paths: Security Day 2015

El pasado 26 de Mayo tuvo lugar el Security Day 2015 de Eleven Paths, donde presentamos algunas de nuestras tecnologías a los más de 200 asistentes que sacaron tiempo de su agenda para estar con nosotros. Gracias. El evento estuvo formado por cinco charlas de media hora de duración que hemos divido en diferentes vídeos por si las quieres ver. Estas son las charlas del evento.

Figura 1: Presentación del evento a cargo de Chema Alonso y José Luis Gilpérez 

Figura 2: Detectando apps sospechosas con Tacyt y Sinfonier 

Figura 3: Controla la información que filtra tu empresa con MetaShield 3.0 

Figura 4: SmartID, tu solución de autenticación 

Figura 5: Latch Plugins, ganadores y más hacks

Hasta aquí dio de sí el evento. Tienes todas las diapositivas de este evento en la web de Eleven Paths. Si quieres tener más información de alguno de nuestros productos, ya sabes que puedes ponerte en contacto con nosotros vía el formulario de la web de Eleven Paths.

Saludos Malignos!

SealSign y la Prueba Real en el Mobile World Congress #MWC2015

Ayer se daba por inaugurado oficialmente el Mobile World Congress 2015 con la visita institucional del Rey Felipe VI a los stands principales. Como ya es tradición, esta visita contaba con una parada en el Stand de Telefónica sito en Hall 3 espacio J20 donde por segundo año Eleven Paths tiene un hueco. Este año las tecnologías que hemos llevado han sido SmartID con la integración del DNIe 3.0 y SealSign, la plataforma de firma manuscrita digital basada en dispositivos móviles. Para que la gente las conozca mejor, allí pueden probar en real las dos plataformas, es decir, puedes pasarte por el Stand y ver cómo enrolar un token de autenticación fuerte y probarlo, o puedes testear la plataforma de firma manuscrita digital de dos formas: registrando tu firma y viendo como el sistema te reconoce o intentando engañar al sistema falsificando una firma de otro.

Figura 1: SealSign y la prueba real en el Mobile World Congress

Como teníamos la visita del Rey Felipe VI a nuestro stand y queríamos que se lo pasara bien igual que el resto de los visitantes, decidimos preparar para él una prueba sencilla, que falsificara una firma de César Alierta. Llevábamos varios días intentando tener esto aprobado, pero no fue hasta el viernes que obtuvimos la confirmación de todas las partes de que esto se realizaría, así que el viernes hubo que correr.

Figura 2: La tablet con la demo del concurso de falsificadores que puedes probar en el MWC

Para eso teníamos que capturar primero la firma manuscrita de César Alierta y para ello hubo que robar tiempo a las agendas. Para que entendáis como funciona el sistema, en este pequeño corte de mi conferencia en Movilforum se ve como yo registro una firma y cómo el sistema devuelve un scoring para reconocer que soy yo o no.

Figura 3: Demostración de SealSign en el Movilforum 2015

También preparamos este viernes un obsequio para que pudiese llevarse, así que desde Alise Devices le hicieron un material inteligente polarizado de tal manera que por una cara se veía la imagen del Rey por la otra el escudo de España. Para aquel que viera verlo, hay una copia del mismo conmigo en el stand.

Figura 4: El material de Alise Devices permite polarizar una imagen por cada lado

Con todo esto listo, preparamos la demo. Por supuesto, no capturamos la biometría de la firma manuscrita que César Alierta utiliza, pero sí capturamos una firma suya poniendo su nombre. No queríamos tener guardados esos datos por seguridad. Tampoco queríamos hacer firmar al Rey para capturar sus datos, por eso en la demo solo le preparamos que intentase falsificar la caligrafía de César Alierta tal y como se ve en este vídeo del momento.

Figura 5: El Rey Felipe VI probando SealSign

Al final no fue capaz de engañar al sistema y hacerle creer que había sido César Alierta el que había firmado, pero se esmeró en hacerlo. Toda esta semana están disponibles las demos de SmartID y de SealSign en el Stand de Telefónica, así que si quieres hacer una demo real, puedes venir a vernos que estaremos más que encantados. De hecho, yo he dejado grabada una firma mía que utilizo para firmar los No Lusers, así que puedes intentar engañar al sistema para que te reconozca. Todavía no lo ha conseguido nadie.

Saludos Malignos!