Google admitió ser el último gigante tecnológico que ha almacenado accidentalmente contraseñas de usuario en texto plano, es decir, sin protección.
Google dice que el error afectó a «un pequeño porcentaje de usuarios de G Suite», lo que significa que no afecta a las cuentas de consumidores individuales, pero sí a algunas cuentas de empresas y corporaciones, que tienen sus propios riesgos y sensibilidades.
«G Suite» es uno de los servicios que Google ofrece, donde proporciona varios productos de su creación con un nombre de dominio personalizado por su cliente.
La empresa suele almacenar las contraseñas en sus servidores en un estado criptográficamente revuelto conocido en el argot tecnológico como “hash”. Pero un error en la función de recuperación de contraseñas de G Suite para los administradores provocó que las contraseñas no protegidas se almacenaran en la infraestructura de un panel de control, llamado consola de administración. Ante ello, Google ha desactivado las funciones que contenían el error.
Antes de hacerlo, las contraseñas habrían sido accesibles para el personal autorizado de Google o para los intrusos malintencionados. El administrador de cada organización también podría haber accedido a las contraseñas de texto plano para los titulares de cuentas dentro de su grupo.
El problema de almacenar contraseñas en texto plano es que no hay manera de protegerlas si alguien sabe cómo y dónde buscarlas. Este tipo de información sensible de una cuenta debe estar almacenado siempre con una encriptación, para que cuando el usuario digite su contraseña, el sitio donde se está introduciendo no la «lea», pero pueda confirmar que es correcta.
A otras plataformas ya les había ocurrido
Exponer contraseñas de texto plano es bastante común, desafortunadamente, como se ha visto con una zona de acceso público WiFi que expuso dos millones de contraseñas en forma no cifrada, y un error de GitHub que expuso las contraseñas de los usuarios en texto plano.
Twitter y Facebook han tratado con errores de contraseñas de texto plano propios en los últimos 18 meses. Pero cuando ambas compañías concluyeron que no era necesario restablecer automáticamente las contraseñas de los usuarios, Google está dando el paso «con mucha precaución». En ese momento, Twitter no comentaba cuánto tiempo había estado almacenando las contraseñas de los usuarios en texto plano. El error de Facebook se remonta a 2012.
El error de Google, por su parte, existe desde 2005, un año antes de que «Google For Work» se convirtiera en una oferta oficial. Y aunque la compañía enfatiza que no tiene evidencia de que las contraseñas de texto plano hayan sido accedidas o abusadas, 14 años es mucho tiempo para que los datos sensibles pasen desapercibidos.
«Nuestros sistemas de autenticación funcionan con muchas capas de defensa más allá de la contraseña, e implementamos numerosos sistemas automáticos que bloquean los intentos de inicio de sesión maliciosos incluso cuando el atacante conoce la contraseña», escribió la vicepresidenta de ingeniería de Google, Suzanne Frey, en una entrada del blog.
Además, agregó que, ofrecen a los administradores de G Suite numerosas opciones de verificación de dos pasos (2SV). “Nos tomamos muy en serio la seguridad de nuestros clientes empresariales y nos enorgullecemos de promover las mejores prácticas de la industria para la seguridad de las cuentas. Aquí no cumplimos con nuestras propias normas».
Google está en proceso de notificar a los administradores de G Suite y dice que también restablecerá automáticamente las contraseñas afectadas que aún no se hayan cambiado. La empresa descubrió el error en abril, y un error adicional de contraseña en texto plano en mayo durante el curso de su investigación. Este último almacenó accidentalmente contraseñas de texto plano para los nuevos clientes de G Suite cuando completaron su registro. Ese error no entró en vigor hasta enero de 2019, y esas contraseñas sin contraseña sólo se almacenaron durante un máximo de 14 días. Google dice que ha corregido tanto el principal error de texto plano de la consola de administración como el problema más reciente de flujo de registro.
Google suele tener un historial decente de detección rápida y corrección de errores, por lo que el hecho de que esto haya existido desde 2005 y no se haya detectado es desconcertante», afirma David Kennedy, director ejecutivo de la empresa de pruebas de penetración empresarial TrustedSec. «Lo hemos visto en Twitter, Facebook y otras muchas organizaciones en las que los procesos o aplicaciones heredados hacen que las contraseñas de texto claro queden expuestas internamente». E incluso si es sólo interno, crea una preocupación sustancial de privacidad y seguridad».
Dado que todas las contraseñas afectadas que aún no han sido modificadas serán restablecidas automáticamente por Google, los usuarios de G Suite deberían centrarse en añadir la autenticación de dos factores a su cuenta si aún no la tienen.
