El cifrado MD5 es uno de los más usados en la red. Es, también, el que usaba Pordede antes de ser hackeada.

Cuando te registras en una página web, algunos datos se almacenan en texto plano y otros no. Texto plano es esto que estás viendo por pantalla: palabras que puedes leer perfectamente. Las contraseñas, por ejemplo, son datos que deben ser almacenados mediante un hash, pues si no, cualquier persona que entre a la base de datos donde se almacenan las claves podrá tener acceso a ellas.

Si están hasheadas, simplemente se encontrará un montón de letras juntas que no tienen ningún sentido. Un hash, como decimos, es un conjunto de letras cuya unión no tiene sentido. Se genera mediante una fórmula. Todos y cada uno de esos códigos resultantes tienen la misma longitud independientemente de cualquier otra cosa.

funcion hash

Por ejemplo, si hasheamos ‘a’ (cuyo resultado sería ‘0cc175b9c0f1b6a831c399e269772661’ obtendremos un dígito de igual longitud que si hasheamos ‘Pepito Grillo’ (cuyo resultado es ’10e161cb116d207591ae46274032dd33′). En el caso del MD5, la tecnología que usa Pordede, la longitud es de 32 dígitos.

¿Y cómo se sabe si la contraseña coincide con el hash?

Entonces, tenemos que la contraseña en sí nunca se almacena en las bases de datos ni en los servidores en general. Lo que se almacena, como ya sabemos, es el hash MD5. Pero, cuando introduzco mi contraseña, ¿cómo se sabe si coincide con alguno de los códigos cifrados?

Para ello lo que se hace es hashear la contraseña que nosotros hemos introducido en el campo de texto del navegador y, en caso de que coincida de forma exacta con alguna de las filas de la base de datos (y siempre y cuando pertenezca, claro al usuario al que tratamos de entrar), podemos iniciar sesión.

¿Puede fallar el MD5?

La tecnología MD5 tiene tantos años ya que ha fallado no por un error en el algoritmo (que también), sino que se ha usado tanto y durante tantos años que ya prácticamente hay diccionarios para ‘descifrar’ cualquier hash MD5. Esto quiere decir que, aunque no podamos descifrar el código, sí que podemos buscarlo en listas que hay en Internet.

cifrado

Hay hackers que invierten recursos en ir hasheando y almacenando palabras para tener una base de datos bien completa. Así, con entrar a una base de datos y extraer las contraseñas en MD5 y buscarlas en la tabla de equivalencia valdría.

Entonces, ¿nuestras contraseñas de Pordede están expuestas o no?

pordede-caido

En el caso de Pordede, a no ser que los atacantes usasen diccionarios, nuestras contraseñas deberían seguir estando a salvo (según el grupo que ha perpetrado el ataque, no lo han hecho con este fin). Tal y como han afirmado los administradores, las contraseñas no se almacenaron en texto plano en ningún momento. No obstante, podrían estar circulando por la red y siendo vendidas en masa.

La conclusión, entonces, es que el cifrado MD5, al menos a nivel de algoritmo, sigue siendo relativamente seguro. Por lo que, alguien, aún teniendo el código hasheado, necesitaría de un diccionario (que normalmente se compra) para poder conseguir las contraseñas en texto plano, que es lo realmente útil.

Como recomendación, lo mejor es no usar las mismas contraseñas en más de un sitio. Es algo complicado, evidentemente, pero es lo mejor para la salud de nuestra privacidad y seguridad. Así, aunque alguna de las web en la que nos registremos almacene las claves en texto plano, solamente sufrirá la cuenta de esa misma web y el hackeo no se propagará al resto de cuentas o de webs.