La DGT desvela sin querer una contraseña en horarios de máxima audencia. Estaba en un post-ít y era insultantemente fácil

Habitualmente se nos insiste en que utilicemos contraseñas fuertes, difíciles de adivinar y a buen recaudo de miradas indiscretas. Sin embargo, parece que algunas instituciones públicas son las primeras en incumplir esos consejos. Si hace poco nos sorprendía la noticia sobre el sistema de seguridad del Museo del Louvre, ahora es la DGT la protagonista.

Y es que la Dirección General de Tráfico, se ha visto envuelta en una polémica al respecto después de que Informativos Telecinco mostrara accidentalmente, en horario de máxima audiencia, un post-it pegado en un monitor con un nombre de usuario y una contraseña escritos. Y lo peor de todo es que esta última resultaba insultantemente fácil.

La escena apenas dura un instante en el reportaje emitido por la cadena, pero eso significa poco en los tiempos de las capturas de pantalla, por lo que ha sido suficiente para indignar a muchos usuarios concienciados con el tema de la ciberseguridad, que no ha tardado en difundir el desliz en redes.

Y es que la clave revelada es tan extremadamente simple que a muchos les resultará difícil creer que forme parte de un sistema informático gubernamental.

Y es que la contraseña expuesta no era otra que '54321', una secuencia presente en todos los 'diccionarios de contraseñas' usados por los hackers para agilizar sus ciberataques, y considerada uno de los ejemplos más flagrantes de mala práctica digital.

Un descuido grabado en alta definición

El incidente salió a la luz gracias a profesionales del sector, como Carlos Cantero, especialista en Ciberinteligencia y OSINT. Al detener uno de los fotogramas del reportaje, observó que en la parte inferior de un monitor de la DGT había una pegatina con usuario y contraseña claramente visibles.

Así lo denunciaba Cantero en su publicación de LinkedIn:

"El hecho de que la DGT tenga el usuario y la contraseña insegura pegada al propio monitor, da bastante que pensar, sobre todo sabiendo el infierno que es España a nivel de protección de datos".

Algunos espectadores también lograron distinguir que, además de las credenciales, se mostraba el dominio privado del servicio interno utilizado para gestionar incidencias. Aunque ese dominio pueda estar protegido por VPN o filtrado de IPs, la mera exposición supone un riesgo potencial adicional.

Llueve sobre mojado

Hay que tener en cuenta que la DGT arrastra un historial reciente de incidentes relacionados con la seguridad informática. No hace tanto que el organismo sufrió un ataque que permitió el robo de los datos de 34 millones de conductores, posteriormente puestos a la venta en la deep web por apenas 3.000 euros, dando pie a una de las mayores campañas de suplantación vividas en España. En esos meses, miles de ciudadanos recibieron correos falsos que simulaban multas urgentes, mensajes que permitían a los atacantes acceder a cuentas bancarias privadas.

En este contexto, el nuevo desliz resulta particularmente grave. Y es que colocar usuario y contraseña en un papel visible es una de las prácticas más inseguras posibles en un entorno profesional, y aún más cuando se trata de dependencias de una institución pública que custodia información crítica de millones de ciudadanos.

Lecciones no aprendidas

Este tipo de errores no son fallos aislados, sino síntomas estructurales de un problema más profundo: la falta de cultura de seguridad digital dentro de ciertos organismos públicos. Estas brechas no suelen deberse a grandes ataques externos, sino a pequeñas negligencias internas, acumuladas durante años y normalizadas en el día a día del trabajo administrativo. Los expertos recomiendan:

• evitar cualquier contraseña visible en espacios comunes,
• utilizar gestores de contraseñas,
• y, sobre todo, establecer contraseñas complejas y únicas para cada servicio.

Imagen | Marcos Merino mediante IA

En Genbeta | "Estamos sustituyendo las contraseñas por algo peor": así facilitan los códigos de un solo uso nuevos tipos de ataque