Google ha guardado contraseñas sin cifrar ni protección desde 2005
Una cantidad sin confirmar de contraseñas de Google guardadas en texto plano es un nuevo escándalo de seguridad para el gigante.
22 mayo, 2019 08:46Noticias relacionadas
- El nuevo doodle de Google celebra el aniversario del Apolo 11 y la llegada a la Luna
- Google te pagará tres veces más si encuentras fallos en sus productos
- Cuando veas porno vigila la puerta... y la privacidad: Google y Facebook saben lo que ves
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
La seguridad informática ha avanzado con pasos de gigante en los últimos años. Prácticas que hasta no hace mucho eran raras ahora son muy comunes, como por ejemplo, el cifrado de contraseña. Hoy en día, cualquier servicio que se precie como mínimo pasa la contraseña de sus usuarios por un “hash”, que resulta en una serie de caracteres sin sentido; a partir de ahí muchos servicios además aplican diversos métodos de cifrado.
Y sin embargo, aún quedan muchos flecos de aquella época en la que lo aceptable era guardar contraseñas en “texto plano”; es decir, sin ningún tipo de cifrado o protección. A veces son servicios que no han invertido lo suficiente en seguridad; y en otras ocasiones son grandes servicios t a los que se les ha “olvidado” que lo estaban haciendo.
Contraseñas de Google guardadas en texto plano
La última en admitirlo es nada menos que Google. El gigante de Internet ha confirmado que guardó una cierta cantidad de contraseñas de sus usuarios en sus servidores, sin cifrado ni ningún otro tipo de protección. Pero lo más sorprendente es que llevan haciendo esto desde 2005; unos 14 años en los que una cantidad sin confirmar de usuarios han estado en peligro.
Las buenas noticias, si es que se les puede llamar así, es que estas contraseñas se guardaron así por culpa de un bug en G Suite; la plataforma de Google para empresas y usuarios profesionales. Por lo tanto, no afecta a los usuarios corrientes de Google, y es muy probable que no te afecte a ti, a menos que tengas una cuenta de G Suite en tu empresa o negocio. Incluso aunque seas usuario de G Suite, el bug sólo afecta a una “porción” de usuarios según Google, que no ha querido dar cifras.
Google normalmente guarda las contraseñas de sus usuarios ya “hasheadas” en sus servidores. Pero un bug en el sistema de recuperación de contraseña de G Suite permitió que contraseñas sin cifrar se guardasen en el panel de control del administrador de la cuenta.
Eso significa que tanto el administrador de la organización, como personal autorizado de Google podían leer las contraseñas sin ningún tipo de problema. Y si un atacante consiguiese acceso al panel de control, también podría haber obtenido las contraseñas de los usuarios. Con esta contraseña, podría haber obtenido acceso a Gmail, Google Docs, y el resto de servicios incluidos en G Suite.
Tres escándalos similares para tres gigantes de Internet
Google no es la única que tiene que ha admitido malas prácticas con las contraseñas en el último año. El pasado marzo se descubrió que Facebook había guardado cientos de millones de contraseñas en texto plano. Y hace un año, Twitter admitió que absolutamente todos sus usuarios podrían estar en peligro por un bug que copiaba contraseñas antes de cifrarlas.
No está claro a cuanta gente ha afectado este bug de Google; la compañía no ha sido muy transparente en ese sentido, hablando sólo de un “subconjunto de usuarios”. Este es el segundo gran escándalo relacionado con la seguridad de Google en muy poco tiempo: su red social Google+ expuso los datos de millones de usuarios, un problema tan grande que tuvo que ser cerrada.