¿Y si los sitios web guardan las contraseñas incorrectas?

Muchas veces vamos a entrar a un sitio web con nuestro nombre de usuario y contraseña y escribimos algo mal y no nos deja entrar. Normal. Volvemos atrás, lo ponemos bien y para adentro. Esas palabras mal escritas que pusimos antes habrán ido a parar al limbo de las variables y se olvidarán para siempre. Pero ¿Que pasaría si eso no es así?

Para los programadores de las aplicaciones de las páginas web, conseguir esto es una tarea trivial. No hay ninguna dificultad técnica en que todo aquello que escribimos en los cuadros de usuario y contraseña vaya a parar a un archivo de registro, o incluso que se almacene en la base de datos junto con los demás datos de nuestro perfil una vez que nos hayamos identificado correctamente para entrar a la página.

Ahora habría que analizar qué tipo de claves no válidas irían apareciendo en estos archivos en caso de existir...


Por un lado tendríamos intentos de acceso no autorizados de usuarios que han probado muchas claves, o que quieren de alguna forma "forzar la cerradura" intentando de encontrar alguna vulnerabilidad en el programa. Esta información junto con otros datos como direcciones IP que se hubieran recopilado, serían de utilidad para mejorar la seguridad del sistema.

Por otro lado tendríamos las equivocaciones de los usuarios legítimos. Aquí haríamos dos distinciones. En primer lugar los fallos cometidos al escribir el nombre de usuario y la clave. Una letra mal puesta es suficiente para hacer fracasar la operación. Es normal que ocurra.
Pero otra equivocación muy habitual es llegar a un sitio web y pretender entrar usando nuestro nombre de usuario y contraseña de otro sitio distinto. Son una pareja de palabras que sabemos de memoria y escribimos con frecuencia. Podemos soltarlas en el sitio que no es, e incluso insistir otra vez hasta que nos damos cuenta de que "esta no era la clave de aquí". Es como intentar abrir el portal con la llave de casa, seguro que te ha ocurrido alguna vez.

Llegados a este último supuesto, el administrador del sitio web que recolectara claves incorrectas se puede encontrar en su listado con un buen número de parejas de usuario+contraseña que si bien no son válidos en su página, sí que sirven para otros sitios. Si hay interés en hacer un mal uso de las claves, sólo habría que averiguar dónde.

Si en un registro aparece pepaperez y 1234 habría que averiguar en qué sitio se usaría pepaperez como nick y entrar poniendo la clave 1234. Pero para facilitar la situación, si en el registro aparece pepaperez@tucorreo.es y 1234, alguien malintencionado que viera la lista de claves no tiene más que ir a tucorreo.es y entrar con todos los honores. Imagina todo lo que podría salir de aquí con una simple búsqueda por @hotmail, @yahoo, @gmail etc.

He preparado esta entrada sin apenas encontrar información sobre el tema, porque todo lo que se pregunte a google con palabras como claves y almacenar, no devuelve más que resultados spam de sitios de descargas y programas gestores de contraseñas. Lo más parecido que he encontrado es esta entrada de un foro en inglés donde no se llega al fondo del problema.

Ahora estamos obsesionados con las leyes de protección de datos y las políticas de privacidad. Habría que saber como se trata el hecho de que se pudieran guardar este tipo de datos, inútiles en principio pero peligrosos si se abusa de ellos. O si esto no es más que otro síntoma de paranoia internética.



Comentarios