¿Qué son las contraseñas en texto plano y por qué son una mala idea?

En julio de 2024, saltó la noticia RockYou2024: la mayor filtración de contraseñas de la historia, más de 10 000 millones de credenciales únicas, apareció en un foro conocido entre los círculos de ciberdelincuentes. El archivo, almacenado en texto plano, contenía datos recuperados de numerosos hackeos a lo largo de los años.

Los archivos en texto plano suponen un enorme riesgo para la seguridad de los datos. Pero no son solo los archivos descubiertos en los tablones de mensajes de Tor contenían documentos en texto plano: muchas empresas confían en ellos para almacenar su información esencial. Así pues, hablemos de los archivos en texto plano y de por qué tu empresa debería encontrar una solución cifrada.

¿Qué significa «texto plano»?

El texto plano no es solo un término de ciberseguridad. Se refiere a cualquier archivo al que se puede acceder sin una capa adicional de protección. Piensa en un documento de Word o una hoja de cálculo que no requieran una clave designada para acceder a ellos. En criptografía es un poco más específico, ya que texto plano se refiere a un mensaje antes de ser cifrado, que es visible para todos además de para el destinatario o remitente previsto.

Durante el cifrado, se utiliza un algoritmo para codificar el contenido del mensaje y convertirlo en una cadena de caracteres ininteligible conocida como texto cifrado. Para desbloquear el texto cifrado y convertirlo de nuevo en texto legible, se necesita acceso a una clave de cifrado. Cifrar un mensaje en texto plano ayuda a proteger su contenido de accesos no autorizados.

Las empresas y los organismos públicos utilizan cada vez más el cifrado para las comunicaciones internas y externas, las operaciones financieras y el almacenamiento de archivos. El cifrado también desempeña un papel clave en la autenticación, ya que ayuda a confirmar la identidad de una persona sin revelar ninguna información sensible.

Los peligros de las contraseñas en texto plano

Por desgracia, los documentos en texto plano siguen siendo habituales como la opción más accesible para almacenar contraseñas y otra información sensible relacionada con el trabajo. Suelen ser completamente gratuitos o cuestan poco en comparación con los programas de cifrado. No es raro que los empleados compartan una hoja de cálculo con credenciales de uso frecuente o envíen contraseñas por correo electrónico, ya que ambos métodos son de texto plano.

El inconveniente es fácil de detectar. Si los empleados no necesitan ningún tipo de autenticación para ver datos confidenciales, es igual de fácil para terceros, autorizados o no, obtener credenciales. Estas empresas se convierten en un blanco fácil para los ciberdelincuentes, que solo necesitan adquirir un archivo para desbloquear todas las cuentas esenciales.

Sin embargo, no solo los datos de acceso se pueden robar de archivos en texto plano. Información sobre empleados y clientes, datos de identidad, números de la Seguridad Social, datos bancarios... todo lo que se almacene en texto plano corre el riesgo de ser objeto de una filtración. Los archivos en texto plano son apenas más seguros que garabatear una contraseña en un bloc de notas y dejarlo en la mesa de la cocina de la oficina. Es un blanco fácil con una recompensa muy alta.

¿Cuáles son las alternativas?

El almacenamiento de datos en texto plano puede suponer una grave amenaza para la seguridad de las organizaciones. Las filtraciones de información a la que se ha tenido fácil acceso pueden afectar a todos los aspectos de una empresa, desde los empleados hasta los clientes. Es imprescindible buscar alternativas que den prioridad a la protección de datos.

Ya lo hemos comentado al principio: el cifrado es esencial para proteger la información en texto plano de una exposición no deseada. Sin embargo, cambiar del almacenamiento de texto plano al de texto cifrado no significa que los pasos de acceso se vuelvan mucho más complicados. De hecho, los métodos de autenticación pueden ser tan rápidos como utilizar un identificador de huellas dactilares en un dispositivo personal.

Empecemos por las credenciales compartidas en la empresa. Pueden suponer un enorme obstáculo para el flujo de trabajo y la productividad. ¿Quién fue el último en utilizar las credenciales?, ¿y alguien tiene que desconectarse para que otra persona pueda acceder? ¿La contraseña de un documento compartido es la más actualizada, o es la antigua? ¿Alguien ha borrado accidentalmente una fila que contenía datos de acceso, o la cuenta no estaba disponible en principio? Cuestiones como estas se pueden resolver fácilmente cambiando a una solución de gestión de contraseñas más segura.

Un gestor de contraseñas permite a las organizaciones almacenar y compartir credenciales corporativas sin depender de la documentación en texto plano. Utiliza el cifrado, normalmente AES-256 o XChaCha20—para proteger los datos y garantizar un acceso estrictamente autorizado. Además de contraseñas, los miembros de la organización pueden almacenar información como direcciones, datos bancarios y números de DNI.

Sin embargo, las funciones de los gestores de contraseñas profesionales rara vez se limitan al almacenamiento cifrado. Como NordPass, por ejemplo. Además del almacenamiento cifrado con XChaCha20, ofrece herramientas de seguridad avanzadas tanto para administradores de seguridad como para empleados normales.

Si tu organización impone la autenticación de dos factores, NordPass te ayuda a facilitarla con su Autenticador integrado. Esta función permite a los empleados almacenar y generar contraseñas de un solo uso basadas en el tiempo (TOTP) directamente en su almacén NordPass, manteniendo así su acceso de inicio de sesión seguro y sin complicaciones.

El Panel de Administración es una solución integral para que las organizaciones creen políticas de seguridad y observen toda la actividad de las cuentas. NordPass está equipado con integraciones como Vanta y Splunk, que ayudan a gestionar eficazmente los flujos de trabajo y a crear documentación lista para auditorías.

El Escáner de Filtración de Datos ofrece una doble protección. Rastrea todos los dominios de la organización en busca de cualquier aparición de esta información en la dark web y también permite a los empleados comprobar sus credenciales individuales en busca de tales filtraciones.

Como puedes ver, configurar un gestor de contraseñas hace algo más que ayudarte a eliminar el uso no seguro de credenciales en texto plano en tu empresa. Puede contribuir a reforzar tus políticas generales de seguridad y ayudar a tu empresa a reaccionar con rapidez ante casos de filtraciones inesperadas.

Prácticas recomendadas de seguridad de contraseñas

Una vez eliminados los correos electrónicos con contraseñas en texto plano y retiradas las hojas de cálculo compartidas, estos son los pasos que puedes seguir para gestionar de forma segura las credenciales en tu organización.

• Utiliza contraseñas fuertes y únicas para proteger todas las cuentas corporativas. Cuanto más complejas, mejor. Asegúrate de que todas las contraseñas sean complejas y contengan al menos 12 caracteres. Pon especial cuidado en que las credenciales compartidas sean seguras y nunca utilices la misma contraseña para más de una cuenta.

• Asegúrate de que todas las credenciales se actualizan con regularidad y se adhieren a los estándares de contraseñas seguras. Esto se puede lograr fácilmente si tu organización utiliza la función de política de contraseñas disponible con NordPass, que permite a las empresas determinar la longitud de las contraseñas y la frecuencia con la que deben cambiarse.

• Utiliza siempre almacenamiento cifrado. Olvídate de almacenar contraseñas en texto plano: importa tus hojas de cálculo como un archivo CSV a NordPass y elimínalas para siempre después. A partir de ahora, todo lo que necesitas es tu gestor de contraseñas para encontrar lo que necesitas.

• Utiliza únicamente canales cifrados para compartir credenciales. No pases libretas ni envíes datos de acceso por correo electrónico a nadie. Utiliza NordPass para compartir datos de forma segura y establece tus permisos de acceso preferidos para controlar cómo se manejan estos datos.