La normativa española prohibe expresamente que se almacenen las contraseñas en texto plano bajo pena de multa de entre 40.000 y 300.000 euros, de forma que no es solo una “sugerencia de seguridad”. El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos indica que las contraseñas, mientras estén vigentes, se almacenarán de forma “ininteligible”. El último ataque a Sony demuestra que allí no lo estarían haciendo así.

En las útimas horas Sony ha sufrido un nuevo ataque de seguridad comprometiendo diversos datos de usuarios y trabajadores de la multinacional; el fichero con la información confidencial circula por la Red y en él podemos ver sin complicaciones las contraseñas de acceso a diversos servicios de miles de usuarios.

Según los propios atacantes, la información se habría obtenido así directamente de la base de datos de Sony, esto es, que las contraseñas no han sido descifradas una a una sino que se almacenaban directamente en lo que se conoce como “texto plano”, entendibles a simple vista.

Si a Sony le fuera de aplicación nuestra legislación sobre protección de datos, tendría un problema, y no solo por la propia intrusión, sino por el hecho de que se demostraría que las contraseñas se están almacenando contraviniendo lo que indica el artículo 93.4 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal:

“El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible”.

Esto quiere decir que las contraseñas deben almacenarse de forma cifrada precisamente para evitar casos como el Sony, donde no sólo se compromete la información básica de los usuarios sino también los mecanismos de identificación y autenticación a los correspondientes sistemas de información.

En España ya han sido sancionadas algunas empresas por almacenar las contraseñas sin cifrar, como Interflora España o Arsys.

Samuel Parra

10 años de experiencia profesional en el sector de la protección de los datos de carácter personal y la privacidad.
Premio de la Agencia de Protección de Datos de la Comunidad de Madrid al mejor blog sobre protección de datos.