El gigante tecnológico Google admitió esta semana que almacenó de manera accidental las contraseñas de algunos de sus usuarios en texto plano, es decir, sin protección.
El "virus", de acuerdo con la compañía californiana, afectó a "un pequeño porcentaje de usuarios de 'G Suite'", dijeron. "G Suite" es uno de los servicios que Google ofrece, donde proporciona varios productos de su creación con un nombre de dominio personalizado por su cliente.
Google dijo además que el impacto no tuvo afectaciones entre usuarios de cuentas individuales, pero sí vulneró a varias cuentas de negocios y corporativas, con sus propios riesgos e información sensible.
La compañía del buscador típicamente almacena las contraseñas en sus servidores con una combinación criptográfica conocida en el argot tecnológico como un "hash". Sin embargo, un error en la función de recuperación de contraseñas hizo que se almacenaran en la infraestructura del panel de control, llamada consola de administración, causando su vulnerabilidad.
Cuando descubrieron el error, los técnicos inhabilitaron el error. Sin embargo, antes de hacerlo, la información de los passwords podría haber estado accesible para cierto personal autorizado de la empresa y para "intrusos" con intenciones "maliciosas".
El problema de almacenar contraseñas en texto plano es que no hay manera de protegerlas si alguien sabe cómo y dónde buscarlas. Este tipo de información sensible de una cuenta debe estar almacenado siempre con una encriptación, para que cuando el usuario digite su contraseña, el sitio donde se está introduciendo no la "lea", pero pueda confirmar que es correcta.
Tanto Twitter como Facebook han tenido que aceptar en el último tiempo que han almacenado, también de forma accidental, contraseñas de sus usuarios en texto plano. Sin embargo, de acuerdo con la revista "Wired", estas dos compañías concluyeron que no era necesario resetear las contraseñas de sus usuarios.
Google, en cambio, está tomando ese paso, "que abunda en la precaución", para evitar otro accidente parecido, a pesar de que la compañía ha enfatizado que no tiene evidencia de que las contraseñas fueron accesadas o violadas. Sin embargo, el error en sus sistemas ha existido desde 2005 y, con 14 años con información sensible así de vulnerable, es una rareza que nadie haya detectado la brecha antes.
"Nuestro sistema de autentificación opera con muchas capas de protección más allá de las contraseñas, y hemos desplegado numerosos sistemas automáticos que bloquean intentos maliciosos que buscan ingresar a una cuenta a pesar de que sepa el password", aseguró la vice presidenta de ingeniería de Google Suzanne Frey, en un blog de la empresa.
Google se encuentra en el proceso de notificar a sus administradores de "G Suite", y aseguró que reseteará automáticamente cualquier contraseña que haya podido formar parte de la falla, descubierta en abril, además de lanzar una investigación interna.