Categories: Artículos

Almacenar las contraseñas en texto plano está prohibido

La normativa española prohibe expresamente que se almacenen las contraseñas en texto plano bajo pena de multa de entre 40.000 y 300.000 euros, de forma que no es solo una “sugerencia de seguridad”. El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos indica que las contraseñas, mientras estén vigentes, se almacenarán de forma “ininteligible”. El último ataque a Sony demuestra que allí no lo estarían haciendo así.

En las útimas horas Sony ha sufrido un nuevo ataque de seguridad comprometiendo diversos datos de usuarios y trabajadores de la multinacional; el fichero con la información confidencial circula por la Red y en él podemos ver sin complicaciones las contraseñas de acceso a diversos servicios de miles de usuarios.

Según los propios atacantes, la información se habría obtenido así directamente de la base de datos de Sony, esto es, que las contraseñas no han sido descifradas una a una sino que se almacenaban directamente en lo que se conoce como “texto plano”, entendibles a simple vista.

Si a Sony le fuera de aplicación nuestra legislación sobre protección de datos, tendría un problema, y no solo por la propia intrusión, sino por el hecho de que se demostraría que las contraseñas se están almacenando contraviniendo lo que indica el artículo 93.4 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible”.

Esto quiere decir que las contraseñas deben almacenarse de forma cifrada precisamente para evitar casos como el Sony, donde no sólo se compromete la información básica de los usuarios sino también los mecanismos de identificación y autenticación a los correspondientes sistemas de información.

En España ya han sido sancionadas algunas empresas por almacenar las contraseñas sin cifrar, como Interflora España o Arsys.

Samuel Parra

10 años de experiencia profesional en el sector de la protección de los datos de carácter personal y la privacidad. Premio de la Agencia de Protección de Datos de la Comunidad de Madrid al mejor blog sobre protección de datos.

Share
Published by
Samuel Parra

Recent Posts

Cómo eliminar contenido de OnlyFans

Publicar contenido en OnlyFans no está exento de riesgos y es posible que llegado el…

3 meses ago

Cómo borrar imágenes de PimEyes

Si no sabes cómo eliminar las fotos de Pimeyes cuando buscas tu imagen, consulta este…

11 meses ago

TikTok: cómo borrar un vídeo de tiktok del perfil de otra persona

¿Alguna vez has querido borrar un vídeo de TikTok? Ya sea porque lo has subido…

1 año ago

¿Qué es el derecho al olvido oncológico?

El derecho al olvido oncológico, una medida aprobada por el Gobierno, elimina la discriminación que…

1 año ago

Cómo desactivar y eliminar tu cuenta de Twitter en dos pasos

Te explicamos paso a paso como puedes desactivar y eliminar tu cuenta de Twitter de…

1 año ago

¿Qué es el efecto Streisand y por qué hay que evitarlo al borrar información de Internet?

En 2003, el fotógrafo Kenneth Adelman publicó en Internet su proyecto fotográfico en el que documentaba…

3 años ago