ePrivacidad® - Empresa de reputación en Internet

Almacenar las contraseñas en texto plano está prohibido

por

La normativa española prohibe expresamente que se almacenen las contraseñas en texto plano bajo pena de multa de entre 40.000 y 300.000 euros, de forma que no es solo una “sugerencia de seguridad”. El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos indica que las contraseñas, mientras estén vigentes, se almacenarán de forma “ininteligible”. El último ataque a Sony demuestra que allí no lo estarían haciendo así.

En las útimas horas Sony ha sufrido un nuevo ataque de seguridad comprometiendo diversos datos de usuarios y trabajadores de la multinacional; el fichero con la información confidencial circula por la Red y en él podemos ver sin complicaciones las contraseñas de acceso a diversos servicios de miles de usuarios.

Según los propios atacantes, la información se habría obtenido así directamente de la base de datos de Sony, esto es, que las contraseñas no han sido descifradas una a una sino que se almacenaban directamente en lo que se conoce como “texto plano”, entendibles a simple vista.

Si a Sony le fuera de aplicación nuestra legislación sobre protección de datos, tendría un problema, y no solo por la propia intrusión, sino por el hecho de que se demostraría que las contraseñas se están almacenando contraviniendo lo que indica el artículo 93.4 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible”.

Esto quiere decir que las contraseñas deben almacenarse de forma cifrada precisamente para evitar casos como el Sony, donde no sólo se compromete la información básica de los usuarios sino también los mecanismos de identificación y autenticación a los correspondientes sistemas de información.

En España ya han sido sancionadas algunas empresas por almacenar las contraseñas sin cifrar, como Interflora España o Arsys.

Artículos relacionados:

Con 15 años de experiencia, ePrivacidad® es la primera empresa española especializada en la protección de la reputación en Internet.

Oficinas centrales

Expertos en reputación

ePrivacidad® es una empresa experta en eliminar contenido perjudicial de Internet.

Métodos de pago aceptados

En nuestro blog

Reconocimientos internacionales y compromisos

ePrivacidad® es una marca registrada de la sociedad Privacidad en Internet S.L. legalmente constituida en el Registro Mercantil de Murcia, Tomo 2819 Folio 61, inscripción 1 con hoja MU-76076 y NIF B73714552. Toda comunicación entre ePrivacidad® y sus clientes es estrictamente confidencial y amparada bajo el secreto profesional.

Protección RGPD y LOPD

Ⓒ 2021 - Todos los derechos reservados
Aviso legal | Política de Privacidad
¿Hablamos?