Facebook, Instagram, Twitter y ahora Google: todos han guardado tus contraseñas en texto plano, sin cifrar

Escrito por Rubén Velasco

Siempre hablamos de la importancia de usar contraseñas seguras, largas y complejas que mezcles letras, símbolos y números de manera que adivinarla sea complicado. Además, también recomendamos usar contraseñas únicas de manera que, si por alguna razón una contraseña se ve expuesta, el impacto sea el menor posible. Aunque nosotros tenemos una gran responsabilidad a la hora de elegir y usar contraseñas seguras, no todo depende de nosotros, y es que muchas veces son las propias compañías, incluso las más grandes, las que comprometen nuestra seguridad; le ha pasado a Facebook, a Instagram, a Twitter, a GitHub y, hoy, podemos ver que hasta a Google.

Hace un año, en mayo de 2018, pudimos conocer que grandes compañías como GitHub y Twitter habían estado utilizando malas prácticas para guardar las contraseñas de los usuarios, estando estas guardadas en texto plano, sin ningún tipo de cifrado y estando expuestas ante posibles ataques informáticos, aunque por suerte nadie fuera de la compañía pudo acceder a ellas.

Hace un par de meses, los compañeros de ADSLZone nos contaban cómo un fallo de seguridad en Facebook e Instagram ponía en riesgo 600 millones de contraseñas, contraseñas que estaban guardadas en texto plano en los servidores sin ningún tipo de cifrado.

Obviamente estas compañías no iban a ser las únicas que iban a poner en peligro los datos de los usuarios, pues hay una gran cantidad de webs que siguen utilizando malas prácticas a la hora de guardar las contraseñas de sus usuarios. Lo que no nos íbamos a imaginar es que Google fuera una de estas empresas.

Aplicaciones Google G-Suite

Google ha estado guardando desde 2005 las contraseñas de sus usuarios de G-Suite en texto plano

Como podemos leer en el propio blog de Google, un fallo en la función de recuperación de las contraseñas de su plataforma ha estado guardando durante más de 14 años todas las contraseñas de los usuarios en texto plano, sin ningún tipo de cifrado. Esto significa que cualquier trabajador, o usuario no autorizado, con acceso al servidor podría haber tenido acceso a todas estas contraseñas sin ninguna dificultad.

La función de recuperación de contraseñas se implementó en G Suite en 2005, cuando aún se la conocía como Google Apps. Esta función permitía a los administradores de entornos empresariales cargar o configurar las contraseñas de cualquiera de los usuarios dentro de su dominio. Cuando hacían esto, Google guardaba una copia de la contraseña en el servidor sin cifrar.

Según afirma Google, no hay evidencias de que ningún trabajador haya podido acceder a estas contraseñas, y tampoco ningún usuario externo, como un pirata informático. De todas formas, no podemos comprender cómo este fallo de seguridad ha podido pasar desapercibido más de 14 años, sobre todo teniendo en cuenta que la seguridad para empresas debería ser crucial.

Este fallo de seguridad ya ha sido solucionado por parte de los ingenieros de Google y la compañía asegura que va a restablecer las contraseñas de todas las cuentas de G-Suite (más de 5 millones) para poder estar seguros de que estas vuelven a estar totalmente protegidas.

Fuente > Google Cloud