Aprender jerga de seguridad: texto plano

Benjamin Scott
plaintext password

Era marzo de 2019 cuando la revolución del Reglamento General de Protección de Datos sufrió un revés. En esa ocasión se debió al vicepresidente de seguridad y privacidad de Facebook. En un comunicado público, Pedro Canahuti informó a los usuarios de Facebook, Instagram y WhatsApp de que miles de millones de sus contraseñas habían sido almacenadas en texto plano. Por lo tanto, cualquiera de sus 40 000 empleados podía acceder a ellas. Dado que se trata de la mayor filtración de seguridad jamás registrada, exploraremos los peligros del texto plano, empezando por la primera pregunta:

¿Qué es el texto plano?

El texto plano es sinónimo de lenguaje normal. Si tu contraseña se almacena en texto plano, queda visible en bases de datos, que pueden no ser seguras. En criptografía, se hace referencia a un mensaje sin encriptar.

Cuando se cifra un mensaje en texto plano, los caracteres se desordenan y se vuelven ininteligibles. El texto codificado pasa a denominarse «texto cifrado». Normalmente, el texto cifrado se asocia a una clave de cifrado, que permite al poseedor de la clave desbloquear los datos codificados y convertirlos de nuevo en información legible (en otras palabras, descifrarlos). Cuando hablamos de cifrar contraseñas nos referimos a todo el proceso como «hashing de contraseñas».

El cifrado se lleva a cabo por las siguientes razones:

  • Comunicación confidencial y secreta. El cifrado protege la información frente a partes no autorizadas, por lo que se convierte en la opción ideal para documentos gubernamentales, intercambio de secretos y transacciones financieras.

  • Autenticación: se utiliza habitualmente en la banca online y en cualquier otra cuenta online, por ejemplo NordVPN y NordPass.

El cifrado de texto plano, o texto cifrado, es básicamente un lenguaje secreto digital, un principio que se remonta a 1900 a.C. Desde el «Cifrado César» de la Antigua Roma hasta la escítala de la antigua Grecia, la escritura cifrada ha sido siempre la forma favorita de la humanidad para proteger los secretos. Sin embargo, aunque la base del cifrado es la misma, mucho ha cambiado desde los portadores papiros y palomas. De hecho, hay muchas cosas que no funcionan en nuestro código secreto del momento, sobre todo la incapacidad del mundo empresarial para utilizarlo correctamente.

¿Cuál es el problema con el texto plano?

A pesar de la gran cantidad de métodos de cifrado que existen, algunas empresas siguen almacenando las contraseñas de sus clientes en texto plano (un formato legible). Esto significa que cualquier persona con acceso puede leer toda su información altamente sensible, como su contraseña, fecha de nacimiento y números de tarjetas de débito. Si tu contraseña se almacena en texto plano, es como si la escribieses en una nota y la dejases en medio de la calle. Imagina la alegría que se llevará el hacker que pase por allí.

Cómo identificar si una página almacena las contraseñas en texto plano

La buena noticia es que estamos a punto de enseñarte a protegerte. Así nunca tendrás que preocuparte de que tu contraseña esté a la vista y te la puedan robar.

Dos señales de alerta:

  1. Si recibes un correo electrónico con tu nombre de usuario y contraseña tras crear una cuenta, significa que el método de cifrado empleado por la página web es reversible. Esto significa que los empleados de dicha empresa saben cómo descifrar los datos y leerlos.

  2. Si sospechas de un sitio, haz clic en «He olvidado la contraseña» para ver si te envían tu nombre de usuario y contraseña por correo electrónico. Si te envían un enlace para reiniciarla, tu contraseña está segura y hashed.

¿Se pueden guardar las contraseñas de forma segura?

Ya que no hay una forma definitiva de saber si tus contraseñas están almacenadas de forma segura. Los signos reveladores que hemos mencionado anteriormente suelen ser la mejor manera de averiguarlo. Sin embargo, aunque no puedas controlar las prácticas de contraseña de los demás, sí puedes controlar las tuyas. Por eso nos gustaría recordarte nuestras dos reglas de oro para las contraseñas:

  1. Utiliza una contraseña distinta para cada página.

    Si empleas la misma contraseña en varias páginas, y una de ellas la almacena en texto plano, no pasará mucho tiempo hasta que alguien se haga con los datos de tu tarjeta de crédito o dirección. En lugar de rastrear los sitios jugando a ser investigador, es más fácil suponer que tu contraseña no ha sido cifrada con hash y sal.

  2. Crea contraseñas aleatorias de 6 caracteres como mínimo. Asegúrate de incluir mayúsculas, minúsculas, símbolos especiales y un asterisco para una seguridad óptima.

    Haz clic aquí para generar una contraseña segura ahora. Antes de hacerlo, recuerda que, por su propia naturaleza, las contraseñas aleatorias son imposibles de recordar. Por eso necesitarás un buen gestor de contraseñas. Si aún no lo has hecho, echa un vistazo a NordPass, un gestor de contraseñas que utiliza el cifrado XChaCha20 en un proceso de conocimiento cero para mantener tus contraseñas a prueba de balas pero en tu bolsillo.

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.