Skip to main content

Google guardó durante años contraseñas sin cifrar

Google Search tema oscuro beta

22/05/2019 - 09:20

Desde Facebook hasta Google, los grandes gigantes de internet cuentan con la tecnología más avanzada, pero incluso ésta puede tener fallos que pongan en riesgo la seguridad y privacidad de los millones de usuarios que utilizan los servicios de estas empresas. Google acaba de reconocer que durante años ha sufrido un fallo a la hora de guardar ciertas contraseñas

Vamos a empezar explicando cuál debería haber sido el proceso correcto. A la hora de abrir una cuenta de Google, el sistema que se encarga de iniciar la sesión no debe conocer nuestra contraseña. Para comprobar que la dirección de email y la contraseña coinciden, entra en acción un sistema de cifrado

La contraseña con nuestras fechas clave o el nombre de nuestra mascota se codifican meclándose entre una secuencia de números de apariencia aleatoria, ocultando nuestra clave y haciendo que sea más difícil de adivinar para cualquier intruso. 

Los correos electrónicos siguen siendo la principal amenaza para tu seguridad

Este proceso, una vez revertido, permite verificar que la contraseña es la correcta cada vez que iniciamos sesión al mismo tiempo que se mantiene en privado nuestra verdadera clave de acceso. El problema es que si olvidamos nuestra contraseña, el sistema no puede mostrarla, por lo que se estableció que en caso de olvido los usuarios debían solicitar un código temporal que les permitiera establecer una nueva contraseña. 

Volviendo al fallo de seguridad. Desde 2005 Google permitía a los usuarios con cuentas empresariales de GSuite que recuperaran fácilmente la contraseña si la perdían, por lo que estás no se cifraban con la función hash.

La compañía ha informado esta semana en su blog que esta posibilidad se ha eliminado y que el fallo de seguridad ya se ha corregido. Aseguran que, a pesar de haber estado expuestas, no tienen constancia de que las contraseñas hayan sido robadas por nadie: "Hemos estado realizando una investigación exhaustiva y no hemos visto evidencia de acceso indebido o mal uso de las credenciales de G Suite afectadas" explican en el blog.

ciberseguridad

Por lo tanto sólo se han visto expuestas las cuentas profesionales de GSuite Enterprise con las que ahora está contactando Google para que cambien su contraseña y restablecer cada una de las cuentas que a partir de ahora si estarán debidamente cifradas y protegidas. 

Aunque se haya detectado a tiempo y este bug no haya supuesto un ataque de seguridad clave, es una muestra más de cómo las empresas, incluso las más grandes, se enfrentan a un mundo tecnológico cada vez más grande donde la seguridad continúa siendo una asignatura pendiente. 

Ver ahora: