G Suite de Google ha estado guardando contraseñas en texto simple durante 14 años

Google ha descubierto que su servicio G Suite ha estado almacenando las contraseñas de algunos de sus usuarios en texto simple durante los últimos 14 años. Aunque la vulnerabilidad tiene el potencial de facilitar el acceso de terceras personas a las cuentas sin autorización, Google asegura que la falla no ha sido explotada por ningún cibercriminal.

Google descubrió el problema mientras revisaba los procesos de inicio de sesión en G Suite. Al hacerlo, los ingenieros de google se dieron cuenta de un problema inesperado: “el sistema había almacenado un subgrupo de contraseñas sin cifrar en el área segura de nuestra infraestructura cifrada”.

Al indagar más sobre la situación se descubrió que las contraseñas comprometidas se almacenaban de forma insegura, sin cifrado y en texto simple, durante un máximo de 14 días, pero el problema llevaba 14 años sin haber sido resuelto.

La compañía no ha revelado cuántas cuentas fueron afectadas por el problema, pero afirmó que la falla sólo afecta a los clientes que pagaron por la versión empresarial de G Suite. Por ende, las contraseñas de los consumidores domésticos de Google se encuentran a salvo.

“En nuestro producto corporativo, G Suite, ofrecíamos a los administradores de dominio herramientas para establecer y recuperar contraseñas, ya que era una característica muy solicitada. La herramienta (ubicada en la consola de administración) permitía a los administradores subir o establecer de forma manual las contraseñas para los usuarios de su compañía”, indicó Google. La vulnerabilidad estaba vinculada con este servicio, por lo que ha dejado de estar disponible para los usuarios. Google no ha compartido detalles sobre el problema, pero admitió que “cometió un error al implementar esta funcionalidad en 2005”.

A pesar del potencial peligro de la situación, Google cree que descubrió el problema antes que los cibercriminales y afirma que está haciendo todo lo posible para mantener la situación bajo control. “Realizamos una investigación minuciosa y no encontramos evidencias que indiquen que hubo acceso inadecuado o uso malicioso de las credenciales de G Suite afectadas”, dijo Google. Aun así, la compañía se está poniendo en contacto con los administradores de las cuentas afectadas para asegurarse de que restauren sus contraseñas.

“El problema es que casi nunca comprendemos la magnitud de un problema como éste hasta que pasan varios años. Eso significa que, aunque queremos creer que cada inicio de sesión en G Suite es de un usuario legítimo, la verdad no hay forma de saberlo. Y el eslabón más débil de la cadena de seguridad es el nombre de usuario y contraseña de Google”, opinó Robert Prigge, presidente de la compañía de verificación de identidades virtuales Jumio.

Google dijo que comprende la magnitud del problema y ha pedido disculpas por lo sucedido: “Tomamos muy en serio la seguridad de nuestros clientes corporativos y nos enorgullecemos de haber impulsado las prácticas de seguridad en la industria. En esta ocasión no estuvimos a la altura de nuestros propios estándares ni a la de nuestros clientes. Ofrecemos nuestras más sinceras disculpas y mejoraremos”.

Fuentes
Google G Suite glitch left some passwords stored in plain text for 14 years • SC Magazine
A Google Bug Caused Passwords to be Stored in Plain Text for Fourteen Years • Interesting Engineering
G Suite Has Been Saving Some Passwords In Plaintext Since 2005 • Forbes