Blog

El gigante de los juguetes infantiles Vtech ha sido acusado de no almacenar de manera segura las contraseñas de su base de datos, así lo aseguran los expertos.

Hackers han accedido a más de seis millones de cuentas de niños el mes pasado. Los investigadores en seguridad han dicho que Vtech no tomó los pasos básicos para proteger las contraseñas de sus usuarios en un evento de brecha. El Lunes, Vtech envió un email a sus clientes afectados y aseguró que sus contraseñas habían sido encriptadas pero que “era posible que el hacker las haya desencriptado”. No obstante, Rik Ferguson, de la firma de Ciberseguridad Trend Micro, apuntó Vtech no tenía las contraseñas de sus clientes revueltas sino que estaban almacenadas en texto plano.

Es un criterio fundamental para un sitio web seguro almacenar las contraseñas de sus usuarios de un modo ilegible. Un algoritmo matemático revuelve los caracteres de la contraseña convirtiéndola en un nuevo código ilegible para los intrusos. Ese código es el almacenado por la página. Cuando se ingresa la contraseña en una pagina web el sistema revuelve los caracteres con el algoritmo y compara el código creado con el almacenado en la base de dato, si estos coinciden se permite el ingreso del usuario.

Vtech realizó este proceso pero su proceso no fue lo suficientemente complejo como para evitar que pudieran ser leidas. Para volver más complejo éste proceso se puede aplicar un proceso de “sal” o salt e inglés que implica generar texto de manera aleatoria para añadir a cada contraseña antes de ser revuelta. Este proceso agrega un nivel superior de diferenciación en el proceso de almacenamiento de contraseñas pues incluso cuando dos usuarios tienen la misma contraseña con este procedimiento la base de datos las tendrá como diferentes.

El ataque que sufrió Vtech consistió en un hash table.  Este tipo de ataques consiste en, sabiendo el algoritmo usado para almacenar las contraseñas se puede usar un diccionario de palabras o secuencias usadas comúnmente como contraseñas y a partir de allí hacer el match con las contraseñas almacenadas en la base de datos de la página. Si Vtech hubiese aplicado un proceso de salt el ataque hubiese sido frustrado pues los criminales hubiesen tenido que crear un número infinito de posibles palabras al azar para cada usuario en la base de datos.

Ferguson asegura que Vtech tomó una decisión muy pobre al usar el algoritmo MD5 que es sabido en el medio carece de la seguridad que hace una decada lo caracterizo. “Es imperdonable, para una compañía de tecnología que hace productos para niños. Tenían una gran cantidad de responsabilidad y fallaron” Asimismo advierte, que si un usuario afectado por esta brecha tenía esa misma contraseña en cualquier otra página era necesario cambiarla.

Es importante para aquellos Responsables de datos personales tener en cuenta qué sistemas de seguridad decidan usar y que niveles de seguridad aplicar según la naturaleza del dato personal y el riesgo para estos. Los usuarios tienen el derecho de tener sus datos personales y financieros asegurados de intrusos y brechas, incluso los Responsables deben plantearse cómo asegurar los escenarios de errores con métodos para asegurar los datos en esos casos. En Colombia existen leyes que obligan a los Responsables de datos personales a resguardar los datos almacenados y tiene la capacidad de sancionar con multas a aquellos que no cumplan con este deber.

La debida gestión de la seguridad de la información será evaluada con base en la diligencia que se exige bien al responsable del tratamiento de datos personales o al encargado a la luz del principio de responsabilidad demostrada o accountability.