La compañía dio a conocer una falla en G Suite, su plataforma para servicios empresariales.
Google reveló que una falla de seguridad que permitió que algunas contraseñas de los usuarios de G Suite, el servicio empresarial de la compañía, fueran almacenadas sin ningún tipo de protección durante 14 años.
En un blog, el gigante tecnológico explico que pese a que esta información normalmente es guardad con ‘hashes criptográficos’ (es decir los datos son cifrados para garantizar su seguridad), la vulnerabilidad llevó a que las contraseñas se almacenaran en sus sistemas internos sin el método adecuado de encriptación.
La compañía aclaró que el problema solo afectó a la plataforma G Suite, el servicio que proporciona varios productos de Google como Gmail con un nombre de dominio personalizado para las empresas. Las cuentas de Google de consumo gratuitas no estuvieron en riesgo y la compañía ya informó a los administradores de las empresas para que sus empleados restablezcan las contraseñas.
Por el momento, no hay evidencia de que haya habido un uso indebido de las credenciales afectadas ni tampoco se conoce que hubieran sido accedidas por terceros.
El error se presentó luego de lanzar, en 2005, una herramienta que permitía a los administradores cargar o establecer manualmente contraseñas para los usuarios de su empresa. “La intención era ayudarles a incorporar nuevos usuarios; por ejemplo, un nuevo empleado podía recibir la información de su cuenta el primer día de trabajo”, dijo Google. Sin embargo, al lanzar la función se incluyó un error que permtía almacenar una copia de la contraseña sin encriptación en los servidores.
El problema ya fue corregido y actualmente se continúan realizando investigaciones sobre el alcance del error. Tenga en cuenta que los administradores de G Suite afectados ya fueron notificados sobre la situación. En caso de que no se cambien las contraseñas luego de la advertencia, se restablecerán automáticamente.
“Nuestros sistemas de autenticación funcionan con muchas capas de defensa más allá de la contraseña, e implementamos numerosos sistemas automáticos que bloquean los intentos de inicio de sesión maliciosos incluso cuando el atacante conoce la contraseña”, dijo Google. La compañía dijo que además es posible activar otras medidas de seguridad como el método de autenticación de dos pasos.