jueves, abril 20, 2017

Cmo proteger tu cuenta de Twitter

con Latch Cloud TOTP
Desde hace muy poco tiempo Twitter ha abierto la posibilidad de proteger tu cuenta
por medio de un Segundo Factor de Autenticacin basado en el uso de sistemas
TOTP (Time One-Time Password) de aplicacin, adems de la opcin que ya exista
de protegerlo mediante el envo de SMS a tu nmero de telfono. Y siendo las
cuentas Twitter de las compaas y las personales objetivos de ataques de spear
phishing es ms que recomendable que tengas activada esta proteccin.

Figura 1: Cmo proteger tu cuenta de Twitter con Latch Cloud TOTP

Para activarlo, primero debes tener asociado tu nmero de telfono. Esto te

permitir tener un Segundo Factor de Autenticacin va SMS, adems de poder

1
utilizar tu SIM para recuperar la contrasea de tu cuenta de Twitter en caso de que
lo necesites. Primero entra en tu perfil y comienza a configurar tu cuenta tal y como
se ve en la imagen siguiente.

Figura 2: Acceso a "Configuracin y Privacidad" de la cuenta

Para hacer todas estas gestiones debes ir a la parte de Cuenta y configurarlo en la

zona de Seguridad, tal y como puedes ver en la imagen superior. Ah, debes activar
la opcin de Verificar Inicio de Sesin.

Paso 1: Configura tu telfono mvil en Twitter

Esta opcin te aparecer deshabilitada si an no has configurado tu nmero de

telfono para proteger tu cuenta. A da de hoy, Twitter seguir enviando los cdigos
TOTP va SMS y va contrasea de aplicacin, as que primero debes configurar este
paso.

Figura 3: Opcin de Verificacin de inicio de sesin deshabilitada. Hay que aadir un telfono
antes.

2
Cuando le des a "aadir un telfono" llegars a un formulario en el que debes elegir
tu pas y poner tu nmero de telfono. ste no puede estar asociado a ninguna otra
cuenta. Cuando lo pongas, recibirs un token OTP que debers introducirlo para
verificar que eres el dueo del mismo.

Figura 4: Aadir el nmero de telfono a la cuenta de Twitter

Una vez se haya aadido el telfono aparecer la opcin de "Verificacin de inicio

de sesin" disponible y se abrirn nuevas opciones.

Paso 2: Configurar TOTP en Twitter

Cuando el telfono est aadido aparecern nuevas opciones ya podremos pulsar en

"Configurar una aplicacin de generacin de cdigos". Cuando hagas esto,
comenzar el proceso para conseguir que te salga el QR Code para escanear on
Latch.

3
 Figura 5: Configurar aplicacin de generacin de cdigos TOTP

Antes de que aparezca te va a aparecer un cdigo de recuperacin de cuenta. En

caso de que pierdas tu contrasea y tu Segundo Factor de Autenticacin vas a
necesitarlo para poder restaurarla. Guarda este cdigo en lugar seguro por si acaso.
Si lo pierdes, no pasa nada, porque como se ve en la Figura 5 en el segundo botn
tienes la opcin de pedir uno nuevo siempre que quieras.

4
 Figura 6: Cdigo de recuperacin

Una vez generes tu cdigo de respaldo, puedes acceder al QRCode para tener tu
cuenta de Twitter protegida con el Latch Cloud TOTP. Para ello, Twitter te muestra el
QRCode que debes escanear, la semilla por si hay problema con la cmara de tu
terminal mvil a la hora de reconocerlo - con la semilla puedes dar de alta
manualmente el servicio en Latch - y un espacio para que verifiques con un cdigo
TOTP vlido que has configurado correctamente la app.

5
 Figura 7: QRCode, semilla para introduccin manual y verificacin de configuracin

Ahora te toca pasar al terminal mvil para terminar el proceso de proteccin de tu

cuenta Twitter con un Segundo Factor de Autenticacin.

Paso 3: Configurar la proteccin de Twitter en Latch

Lo primero de todo es que debes tener una cuenta de Latch (son gratuitas). Para
ello, sigue este sencillo tutorial de "Cmo comenzar a utilizar Latch en tu vida digital"
que explica paso a paso cmo se debe crear una cuenta de Latch. Una vez lo tengas,
en la pantalla principal de Latch puedes dar al botn de "Aadir un nuevo servicio".

6
 Figura 8: Aadir nuevo servicio en Latch

El proceso es bastante sencillo, debes seleccionar la opcin de Cloud TOTP y luego

escanear el QRCode que se ve en pantalla o bien meter la semilla manualmente si te
diera problemas.

7
 Figura 9: Servicio pareado con xito en Latch

Cuando esto acabe, puedes cambiarle el nombre a este servicio en tu aplicacin de

Latch y listo. A partir de este momento, ya podrs acceder a los cdigos TOTP que
necesitars para iniciar sesin en Twitter.

8
 Figura 10: Correo de confirmacin de Twitter

Adems, si todo ha ido bien, Twitter te enviar un e-mail a tu correo electrnico

asociado indicndote que has configurado con xito la Verificacin de inicio de
sesin. Eso s, el correo llega a Gmail con el candadito rojo.

Paso 4: Inicio de sesin en Twitter con Latch Cloud TOTP

El ltimo paso es probar que todo funciona correctamente. Para ello, abre una nueva
sesin de Twitter en otro navegador para pasar por el proceso de login. Introduce tu
usuario y contrasea del servicio, y debers llegar a esta pantalla de verificacin de
inicio de sesin.

9
 Figura 11: Verificacin del cdigo TOTP.

En ese momento, en tu telfono recibiras tu cdigo TOTP va SMS que podras

utilizar para hacer login, pero tambin, desde cualquier dispositivo en el que tengas
tu cuenta de Latch, puedes acceder al servicio que has pareado y ver el PIN, tal y
como se ve en la imagen siguiente.

10
 Figura 12: Cdigo 2FA para Twitter en Latch

Introduciendo el cdigo, ya podrs acceder a tu cuenta de Twitter, que ahora estar

protegida por un Segundo Factor de Autenticacin, lo que la hace muchsimo ms
segura que cualquier contrasea compleja que pongas en tu cuenta de Twitter sin
usar un 2FA.

Paso 5: Protege todos tus servicios digitales

A da de hoy, tener un servicio digital sin Segundo Factor de Autenticacin es un
riesgo injustificado. Se lo pones muy fcil a los atacantes y las herramientas para

11
proteger tus cuentas son muy sencillas de utilizar y en cuanto hayas configurado un
par de ellos, el resto sern todos muy intuitivos. Aqu tienes una lista de tutoriales
para proteger tus servicios:
- Proteger Dropbox con Latch Cloud TOTP
- Proteger Facebook con Latch Cloud TOTP
- Proteger Amazon con Latch Cloud TOTP
- Proteger Google/Gmail con Latch Cloud TOTP
- Proteger MS Live/Outlook Online con Latch Cloud TOTP
- Proteger Office 365 con Latch Cloud TOTP
- Proteger WordPress/Joomla/Drupal/PretaShop con Latch
- Proteger tu cuenta ACENS con Latch
- Proteger Linkedin con un segundo factor de autenticacin
- Proteger WordPress con Latch Cloud TOTP
- Proteger Twitter con Latch Cloud TOTP
- Proteger ProtonMail con Latch Cloud TOTP
- Proteger tu cuenta 0xWord con Latch

Saludos Malignos!

Proteger tu cuenta de Google y de

Gmail con Latch Cloud TOTP
#Latch #Gmail #Google

La semana pasada se liber la nueva versin de Latch y nuestro compaero Chema

Alonso hizo un repaso de todo ello en su artculo Latch Cloud TOTP vs Google
Authenticator. Adems, ya hemos podido ver cmo proteger la cuenta de Facebook
de Latch y su nuevo Cloud TOTP. En el artculo de hoy vamos a mostrar como
integrar Latch Cloud TOTP con nuestra cuenta de Gmail. Los tokens TOTP, Time
One-Time Password, es uno de los segundos factores de autenticacin ms

12
populares. Existen diversos servicios como Google, Microsof, Amazon, Dropbox o
Facebook, entre otros, que tienen la posibilidad de configurar dicha proteccin.

En ElevenPaths hemos implementado la funcionalidad para que puedas proteger tus

cuentas ms utilizadas con Latch. Como se comentaba anteriormente, hoy vamos a
centrarnos en Gmail y en ver cmo podemos integrar y proteger nuestra cuenta con
Latch y Cloud TOTP. Para ello tienes que tener la ltima aplicacin de Latch para
Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vdeo
se ve cmo funciona.

https://youtu.be/NnfUlBiQZBQ
Preparando Gmail

En primer lugar, iniciamos sesin con nuestra cuenta de Gmail y accedemos al enlace Mi Cuenta.
En la parte de Seguridad podemos visualizar la opcin 'Verificacin en dos pasos'. A travs de
dicha opcin se podr comenzar la configuracin de cualquier de las mltiples opciones que Google
ofrece. En este caso nos centraremos en la de TOTP.

Figura 2: Activando la verificacin en dos pasos de Gmail

En este punto podremos ver una pantalla dnde se nos solicitar de nuevo que
hagamos uso de la contrasea de nuestra cuenta de Gmail. Una vez introducida,
entraremos en un rea dnde se solicitar informacin del telfono, ya que nos
enviarn un cdigo al telfono para comprobar que lo tenemos bajo nuestro control.
En este punto debemos indicar nuestro nmero de telfono y completar la accin
introduciendo el cdigo que nos enven al terminal.

13
 Figura 3: Envo de cdigo de verificacin para activar la verificacin en dos pasos

Una vez que introducimos el cdigo y todo ha ido bien se nos mostrar el mensaje
de confirmacin para activar la verificacin en dos pasos. Simplemente, debemos
pulsar en 'Activar'. Existen diferentes opciones, una vez activada la verificacin en
dos pasos, y elegiremos la aplicacin 'Authenticator', tal y como se puede ver en la
imagen. Solo est disponible para sistemas operativos Android e iOS.

Figura 4: Authenticator

Por ltimo, una vez que activemos 'Authenticator' se nos proporcionar un cdigo
QR, el cual es la semilla que debemos leer con nuestra aplicacin de Latch. En este
momento debemos irnos a Latch y realizar las acciones que detallaremos ms
adelante.

14
 Figura 5: Seed de Authenticator para leer con Latch

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la ltima versin, donde disponemos de la

funcionalidad Cloud TOTP. Nos vamos a aadir un nuevo servicio con Latch y
veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad
clsica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta ltima.

15
 Figura 6: Proteger con Cloud TOTP

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrar la cmara del dispositivo
para que escanamos el cdigo QR que Gmail nos present anteriormente. En el
momento que escaneemos o introduzcamos los datos del seed manualmente, Latch
nos indicar que hay un nuevo servicio, tal y como se puede ver en la imagen
inferior. Una vez que nos muestran este mensaje, tenemos disponible y protegida
nuestra cuenta de Gmail con Latch.

16
 Figura 7: Servicio configurado. Tenemos Gmail en nuestro Latch

Iniciando sesin con Latch Cloud TOTP en Gmail

Ahora, nos dirigimos al login de Gmail e introducimos nuestro usuario y contrasea.

Una vez validado esto se nos solicitar informacin sobre el TOTP, tal y como se
puede ver en la imagen. El segundo factor de autenticacin est correctamente
configurado en la cuenta de Gmail y podremos utilizar nuestro Latch.

17
 Figura 8: Peticin de TOTP en Gmail

En nuestra aplicacin de Latch debemos disponer de una nueva app que tenga el
mismo nombre del servicio y generando tokens para la cuenta de Gmail que
hayamos integrado. Hay un botn, en dicha fila, con la palabra 'Pin', la cual debemos
pulsar para que nos genere un TOTP, que ser vlido durante un breve perodo de
tiempo, tal y como nos indica el pequeo reloj que aparece junto al token.

18
 Figura 9: TOTP de Latch

No dudis en configurar los segundos factores de autenticacin en todas las cuentas

de los servicios que utilicis, siempre que lo soporten. Hoy en da es un factor vital
para fortalecer el uso de las identidades digitales de forma segura. Las posibilidades
que ofrece Latch Cloud TOTP son muy grandes, protege tus servicios y tus cuentas.

Cmo proteger WordPress con

Latch Cloud TOTP #WordPress
@elevenpaths #Latch
En ElevenPaths hemos implementado la funcionalidad de Cloud TOTP para que
puedas proteger tus cuentas ms utilizadas con la herramienta Latch. Como se
explic anteriormente con Gmail/Google, Microsoft Live/Outlook Online, Dropbox,
Facebook y Amazon, hoy vamos a centrarnos en WordPress para ver cmo podemos
integrar y proteger nuestra cuenta con Latch Cloud TOTP.

19
 Figura 1: Cmo Proteger WordPress con Latch Cloud TOTP

Antes de comenzar con el proceso de configurar Latch Cloud TOTP en WordPress,

queremos recordar que para WordPress existe un plugin oficial de Latch que te
permite hacer uso de todas las funciones que ofrece Latch, como el uso de OTP, el
planificador temporal de apertura y cierre, el autolock, enterarte en tiempo real de
si alguien con tu contrasea se ha conectado o ha intentado hacerlo, y tener una
lista de todos los accesos e intentos de accesos en el log. Para configurar Latch en
WordPress tienes un manual y aqu tienes un vdeo de cmo hacerlo en solo 10
minutos.

https://youtu.be/gFij45F0jdc
Ahora, para comenzar a usar la opcin de Latch Cloud TOTP lo primero que tienes que asegurarte
es de tener la ltima versin de Latch para Android o Latch para iPhone, incluido Latch para Apple
Watch que te permitir tener los Cloud TOTP en tu mueca.

20
 Figura 3: Latch para Apple Watch con Cloud TOTP & Latches

Si no tienes cuenta de Latch an, en estos dos artculos tienes una explicacin paso a
paso de cmo abrir tu cuenta para gestionar tus protecciones:
- Cmo comenzar a usar Latch en tu vida digital desde hoy
- Cmo empezar a usar Latch

Preparando WordPress para autenticacin TOTP

Para poder aprovechar esta capacidad tendremos que disponer de un plugin que
permita el uso de TOTP como doble factor de autenticacin. En nuestro caso
utilizaremos el plugin de Two Factor Authentication. Para instalar este plugin iremos
al apartado plugins de nuestra cuenta y seleccionaremos Aadir nuevo,
usaremos el buscador para encontrar el plugin y lo instalaremos para despus
activarlo.

21
 Figura 4: Plugin Two Factor Authentication

A continuacin entraremos en el apartado Two Factor Auth de nuestro men,

donde podremos observar distintas opciones de configuracin.

Figura 5: Configuracin del Plugin de Two Factor Authentication

22
En la parte inferior tenemos los ajustes avanzados, donde nos aseguraremos de que
la opcin TOTP este activada.

Figura 6: Activacin del plugin

Despus procederemos al escaneo del cdigo QR con la aplicacin de Latch para

aadir el nuevo servicio que queremos proteger.

Figura 7: Configuracin de la proteccin TOTP en la cuenta

Una vez lo hayamos hecho nos dirigiremos a la parte superior de la ventana y

activaremos la proteccin pulsando sobre Enabled y despus sobre Guardar
Cambios.

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la ltima versin, donde disponemos de la

funcionalidad Cloud TOTP. Nos vamos a aadir un nuevo servicio con Latch y

23
veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad
clsica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta ltima.

Figura 8: Configuracin de Latch Cloud TOTP en la app

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrar la cmara del dispositivo
para que podamos escanear el cdigo QR que Two Factor Authenticator nos
present anteriormente. En el momento que lo hagamos o introduzcamos los datos
de la semilla "seed" manualmente, Latch nos indicar que hay un nuevo servicio, tal
y como se puede ver en la imagen inferior. Una vez que se nos muestra este
mensaje, tendremos protegida nuestra cuenta de WordPress con Latch Cloud TOTP.

Iniciando sesin con Latch Cloud TOTP en Wordpress

Ahora, nos dirigimos al login de Wordpress e introducimos nuestro usuario y

24
contrasea. Una vez validado, el sistema de login nos solicitar informacin sobre el
cdigo TOTP, tal y como se puede ver en la imagen siguiente. El segundo factor de
autenticacin est correctamente configurado en la cuenta de WordPress y
podremos utilizar nuestro Latch para acceder a ese valor haciendo clic en la opcin
de PIN.

Figura 9: Login de WordPress protegido con TOTP

En nuestra aplicacin de Latch debemos disponer de una entrada Latch Cloud TOTP
que tenga el mismo nombre del servicio (en este caso localhost/wordpress) y
generando tokens para la cuenta de WordPress que hayamos integrado con TOTP.
Hay un botn, en dicha fila, con la palabra 'Pin' que deberemos pulsar para que nos
genere un TOTP que ser vlido durante un breve perodo de tiempo (30 segundos),
tal y como nos indica el pequeo reloj que aparece junto al token.

25
 Figura 10: Latch Cloud TOTP token para la cuenta de WordPress

Una demo de esto con el proceso completo de configuracin de Latch Cloud TOTP
en WordPress la tienes en este vdeo
https://youtu.be/_09Xcz6L5R8
No dudis en configurar los segundos factores de autenticacin en todas las cuentas
de los servicios que utilicis, siempre que lo soporten. Hoy en da es un factor vital
para fortalecer el uso de las identidades digitales de forma segura.

Ms recursos de fortificacin de WordPress

26
Como punto final, os dejo una lista de recursos que os pueden venir bien si estis
administrando un WordPress o queris aprender cmo fortificarlo de verdad. Estos
son libros, vdeos, papers y artculos publicados que os pueden ayudar.

Proteger tu cuenta de ProtonMail

con Latch Cloud TOTP
En ElevenPaths hace ya algn tiempo que hemos implementado la funcionalidad de
Cloud TOTP para que puedas proteger tus cuentas de servicios en Internet ms
utilizadas con nuestra app de Latch. Al igual que publicamos anteriormente con
Google/Gmail, Facebook, Outlook, Amazon, Dropbox, WordPress o tu SSH, hoy nos
centraremos en configurar un Segundo Factor de Autenticacin basado en Cloud
TOTP para tu cuenta de ProtonMail.

Figura 1: Proteger tu cuenta de ProtonMail con Latch Cloud TOTP

Para ello tienes que tener la ltima aplicacin de Latch para Android o Latch para
iPhone (incluido Latch para Apple Watch). Adems, necesitas tener una cuenta del
servicio y en este artculo se explica cmo comenzar a usar Latch desde hoy mismo.

27
Preparando ProtonMail

Lo primero que debemos hacer ser iniciar sesin con nuestra cuenta de
ProtonMail, una vez estemos en nuestra bandeja de entrada accederemos a los
ajustes en la pestaa Settings que encontramos en la parte superior de la pantalla,
dentro de los ajustes iremos al apartado Security.

Figura 3: Configuracin de Seguridad en ProtonMail

A continuacin entraremos en el apartado Enable Two Factor Authentication de

nuestro men de seguridad, en ese instante saltar un aviso en el que seremos
informados de que el servicio 2FA va a ser activado y har nuestra cuenta ms
segura. Adems proporcionar una gua sobre su funcionamiento. Pulsaremos sobre
Next.

28
 Figura 4: Asistente de configuracin de un 2FA

Tras pulsar sobre Next procederemos a la zona donde se ofrece escaneo del QR
Code que ProtonMail nos ha facilitado, con la aplicacin de Latch para generar el
nuevo servicio que queremos proteger. Una vez acabada la configuracin
volveremos a pulsar Next. Hay que tener en cuenta que si el proceso de escaneado
del QRCode fallara, siempre se puede introducir la clave manualmente en Latch, y
que en ProtonMail se puede hacer con la opcin de Enter key manually.

29
 Figura 5: QRCode con la semilla del TOTP generado para esta cuenta

Para finalizar el proceso de configuracin ProtonMail nos solicitar que

introduzcamos de nuevo nuestra contrasea y un cdigo TOTP generado por nuestra
aplicacin de Latch. Hecho esto nos facilitar los cdigos de recuperacin de la
cuenta en caso de que no podamos generar los cdigos desde nuestra aplicacin en
el futuro.

30
 Figura 6: Verificacin de configuracin correcta de Cloud TOTP

Configurando Latch Cloud TOTP

Arrancamos ahora nuestra app de Latch con la ltima versin, donde disponemos de
la funcionalidad Cloud TOTP. Nos vamos a aadir un nuevo servicio con Latch y
veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad
clsica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta ltima.

Figura 7: Pareado de Latch con el TOTP de ProtonMail

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrar la cmara del dispositivo
para que podamos escanear el QRCode con la semilla TOTP del usuario que
ProtonMail nos present anteriormente. En el momento que escaneemos o
introduzcamos los datos de la semilla (seed) manualmente, Latch nos indicar que

31
hay un nuevo servicio, tal y como se puede ver en la imagen de la Figura 6. Una vez
que nos muestran este mensaje, tendremos protegida nuestra cuenta
de ProtonMail con Latch.

Iniciando sesin con Latch Cloud TOTP en ProtonMail

Ahora, nos dirigimos al login de ProtonMail e introducimos nuestro usuario y

contrasea. Una vez validado esto se nos solicitar informacin sobre el TOTP, tal y
como se puede ver en la imagen. El segundo factor de autenticacin est
correctamente configurado en la cuenta de ProtonMail y podremos utilizar
nuestro Latch.

Figura 8: Verificacin del 2FA con TOTP en el proceso de login de ProtonMail

En nuestra aplicacin de Latch debemos disponer de una nueva app que tenga el
mismo nombre del servicio (en este caso ProtonMail) y generando tokens TOTP para
la cuenta de ProtonMail que hayamos integrado. Hay un botn, en dicha fila, con la
palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que ser vlido
durante un breve perodo de tiempo (30 segundos), tal y como nos indica el
pequeo reloj que aparece junto al token.

32
 Figura 9: Cdigo TOTP para cuenta de ProtonMail en Latch

No dudis en configurar los segundos factores de autenticacin en todas las cuentas

de los servicios que utilicis, siempre que lo soporten. Hoy en da es un factor vital
para fortalecer el uso de las identidades digitales de forma segura. Las posibilidades
que ofrece Latch Cloud TOTP cada vez son ms grandes, protege tus servicios y tus
cuentas de una forma rpida, sencilla y fiable.

Autor: Sergio Sancho Azcoitia @ ElevenPaths

33