Getty Images Los funcionarios de Irlanda han multado a Meta con 101 millones de dólares por almacenar cientos de millones de contraseñas de usuarios en texto plano y ponerlas a disposición de los empleados de la empresa. Meta reveló la falla a principios de 2019. La compañía dijo que las aplicaciones para conectarse a varias redes sociales propiedad de Meta habían registrado las contraseñas de los usuarios en texto plano y las habían almacenado en una base de datos que había sido buscada por aproximadamente 2000 ingenieros de la compañía, quienes colectivamente consultaron el alijo más más de 9 millones de veces. Meta investigó durante cinco años. Los funcionarios de Meta dijeron en ese momento que el error se encontró durante una revisión de seguridad de rutina de las prácticas de almacenamiento de datos de la red interna de la compañía. Continuaron diciendo que no descubrieron evidencia de que alguien internamente haya accedido incorrectamente a los códigos de acceso o que los códigos de acceso alguna vez hayan sido accesibles para personas ajenas a la empresa. A pesar de esas garantías, la divulgación expuso una falla de seguridad importante por parte de Meta. Durante más de tres décadas, las mejores prácticas en casi todas las industrias han sido el hash criptográfico de contraseñas. Hashing es un término que se aplica a la práctica de pasar contraseñas a través de un algoritmo criptográfico unidireccional que asigna una larga cadena de caracteres que es única para cada entrada única de texto sin formato. Debido a que la conversión funciona en una sola dirección (de texto sin formato a hash), no existen medios criptográficos para convertir los hashes nuevamente a texto sin formato. Más recientemente, estas mejores prácticas han sido exigidas por leyes y regulaciones en países de todo el mundo. Debido a que los algoritmos hash funcionan en una dirección, la única forma de obtener el texto sin formato correspondiente es adivinar, un proceso que puede requerir grandes cantidades de tiempo y recursos computacionales. La idea detrás del hash de contraseñas es similar a la idea del seguro contra incendios para una casa. En caso de una emergencia (el pirateo de una base de datos de contraseñas en un caso, o un incendio en una casa en el otro), la protección aísla a la parte interesada de un daño que de otro modo habría sido más grave. Para que los esquemas de hash funcionen según lo previsto, deben seguir una serie de requisitos. Una es que los algoritmos hash deben diseñarse de manera que requieran grandes cantidades de recursos informáticos. Eso hace que algoritmos como SHA1 y MD5 no sean adecuados, porque están diseñados para codificar mensajes rápidamente con una mínima necesidad de computación. Por el contrario, los algoritmos diseñados específicamente para hash de contraseñas (como Bcrypt, PBKDF2 o SHA512crypt) son lentos y consumen grandes cantidades de memoria y procesamiento. Otro requisito es que los algoritmos deben incluir «salting» criptográfico, en el que se agrega una pequeña cantidad de caracteres adicionales a la contraseña en texto plano antes de aplicar el hash. La salazón aumenta aún más la carga de trabajo necesaria para descifrar el hachís. Cracking es el proceso de pasar una gran cantidad de conjeturas, a menudo medidas en cientos de millones, a través del algoritmo y comparar cada hash con el hash encontrado en la base de datos violada. El objetivo final del hash es almacenar contraseñas sólo en formato hash y nunca como texto sin formato. Eso evita que tanto los piratas informáticos como los internos malintencionados puedan utilizar los datos sin tener que gastar primero grandes cantidades de recursos. Cuando Meta reveló la falla en 2019, quedó claro que la compañía no había logrado proteger adecuadamente cientos de millones de contraseñas. «Está ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos», dijo Graham Doyle, comisionado adjunto de la Comisión de Protección de Datos de Irlanda. «Hay que tener en cuenta que las contraseñas, objeto de consideración en este caso, son particularmente sensibles, ya que permitirían el acceso a las cuentas de las redes sociales de los usuarios». La comisión ha estado investigando el incidente desde que Meta lo reveló hace más de cinco años. El organismo gubernamental, principal regulador de la Unión Europea para la mayoría de los servicios de Internet estadounidenses, impuso esta semana una multa de 101 millones de dólares (91 millones de euros). Hasta la fecha, la UE ha multado a Meta con más de 2.230 millones de dólares (2.000 millones de euros) por violaciones del Reglamento General de Protección de Datos (GDPR), que entró en vigor en 2018. Esa cantidad incluye la multa récord de 1.340 millones de dólares (1.200 millones de euros) del año pasado. , que Meta está apelando.