Tras el avance en seguridad informática que se ha producido en los últimos años, con la proliferación de métodos de acceso cada vez más robustos, sigue llamando la atención cuando uno de mayores gigantes de internet cae todavía en prácticas obsoletas. Le pasó a Facebook e Instagram hace un par de meses con cientos de millones de contraseñas, y ahora es Google quien reconoce que, desde 2005 ha estado almacenando contraseñas de sus cuentas corporativas en texto plano.

Aunque Google admite que "no hay evidencia de accesos impropios o malintencionados de las contraseñas afectadas", que son un subconjunto del total de estos clientes del servicio G Suite, también son los primeros en reconocer que "esta práctica no está a la altura" de sus estándares.

Por tanto, si no usas la suite corporativa de Google, que da servicio a multitud de empresas con servicios tan básicos como el e-mail, no tienes de qué preocuparte. Afirman estar además trabajando con los administradores de los servicios afectados para asegurarse de que los usuarios restablecen sus contraseñas.

Google se ha puesto en contacto con los administradores de los servicios afectados para instarles a que cambien las contraseñas manualmente. En caso de no hacerlo, el sistema reseteará estas cuentas automáticamente.

El cifrado de contraseñas, clave

Contraseña de Google

Es cifrado es fundamental para la seguridad, puesto que cualquiera con acceso a las bases de datos internas –tanto un atacante como un trabajador de la propia Google– podría haber estado leyendo parte de ellas durante nada menos que 14 años. Es importante recordar que estas se encuentran inaccesibles desde fuera, y están en un entorno privado y también cifrado al que únicamente tienen acceso los administradores.

Las contraseñas se almacenan generalmente tras ser procesadas, de forma que una contraseña que se procesa siempre de la misma forma, obtendrán siempre el mismo hash o clave final que almacena Google que es extremadamente difícil de revertir. En este caso se estaba almacenando una copia extra en la consola de administración, en la que podía ser leída la clave de los usuarios.