Queremos compartir con todos vosotros el presente análisis, que sirva a su vez de información, sobre el manejo y almacenamiento de las contraseñas de acceso a servicios online de los usuarios finales (clientes).
Por todos son conocidas las exigencias recogidas en el Reglamento de la LOPD sobre los accesos a los sistemas de información, necesidad de identificación y autenticación, almacenamiento de contraseñas, caducidad de las mismas, etc. Sin embargo hay que tener en cuenta que la Agencia Española de Protección de Datos, según se ha puesto de manifiesto en varias resoluciones condenatorias al analizar las medidas de seguridad en el almacenamiento de las contraseñas, no lo limita únicamente como una obligación para usuarios internos o empleados con acceso a los sistemas de información de la empresa, sino que amplia su aplicación a usuarios en general, es decir, clientes-usuarios-consumidores finales que tengan acceso a portales o páginas personales en las que puedan consultar sus datos, realizar sus compras, verificar sus mensajes… y en definitiva en todos los casos en que ofrecemos al usuario final o cliente identificarse en la web.
En este sentido ya se han dado varios casos de sanciones que van, dependiendo de las circunstancias, desde los 1.000 a los 60.000 euros por no proceder a almacenar las contraseñas de los usuarios de manera ininteligible. Estos casos se han dado incluso no habiendo existido ninguna brecha de seguridad, sino por el simple hecho de recordarle al usuario su contraseña.
En definitiva, es opinión de la AEPD que cuando los clientes pueden acceder a un sistema online y consultar sus propios datos personales, la página web es un “sistema de información”, y el cliente, un “usuario de un sistema de información”.
En nuestra opinión, la interpretación que hace la AEPD en este asunto es incorrecta. Cuando la normativa de protección de datos hace referencia a “usuarios” debe entenderse que se refiere únicamente a empleados o trabajadores por cuenta del responsable del fichero que acceden al sistema de información ya que en caso de identificar también a clientes y consumidores finales, las obligaciones no se limitarían únicamente al almacenamiento de la contraseña sino que serían de aplicación otras medidas de seguridad como la caducidad de las mismas, imposición de unas funciones y obligaciones así como el cumplimiento de normas de seguridad, conocimiento del documento de seguridad, y en definitiva todas las medidas de seguridad que equiparen al cliente con un empleado de la empresa.
Por todo ello y siguiendo los criterios de la AEPD, se hace necesario que en estos casos, las contraseñas sean almacenadas de forma no reversible (almacenando el hash), ofreciendo la configuración de caducidad de la contraseña, establecerse un número máximo de intentos de acceso incorrectos a partir del nivel medio de seguridad y registrando todos los accesos e intentos de acceso para el nivel alto. En los casos en que al cliente se olvide de la contraseña, no se procederá a recordarla sino que se recomienda proceder a la creación de una nueva provisional que deba ser cambiada por el usuario en el primer acceso.
Hay que resaltar que la aplicación de estas medidas de seguridad son de indiscutible aplicación a todos los usuarios internos, empleados, gestores de la base de datos, y no solo en el acceso al sistema operativo, sino también en el acceso a todo sistema de base de datos que sea gestionado con usuario y contraseña.
Nuestro equipo de consultores expertos en protección de datos y de servicios de la sociedad de la información están a vuestra disposición.
Álvaro Aritio
Áudea Seguridad de la Información
Derecho TIC