Reutilización de Contraseñas: Crónica de un Desastre Legal Anunciado

La reutilización de credenciales en sistemas digitales constituye una negligencia con consecuencias legales y técnicas predecibles para individuos y empresas.
Una llave maestra oxidada encajada en múltiples cerraduras de formas y tamaños diferentes, algunas incluso rotas o con agujeros. Representa: Reutilización de contraseñas en múltiples sistemas inseguros

La Ilusión de la Fortaleza Digital: «mascota123» como Amuleto

Existe una creencia, casi tierna en su ingenuidad, de que la contraseña es un mero trámite. Un peaje burocrático para acceder a lo nuestro. Se elige una, se la memoriza con el esfuerzo que merece –es decir, poco– y se la replica por todo el ciberespacio. La misma llave para el auto, la casa, la oficina y la caja fuerte del banco. ¿Qué podría salir mal? Esta práctica, este acto de optimismo digital, se fundamenta en la esperanza de que todos los cerrajeros del mundo son igualmente competentes y honestos.

La realidad técnica, por supuesto, es bastante menos romántica. Cuando un servicio es vulnerado, los atacantes no suelen obtener una lista prolija de claves. En el mejor de los casos, obtienen ‘hashes’, que son como la sombra criptográfica de la contraseña. Pero si el sistema no aplicó medidas adicionales como el ‘salting’ (agregar datos aleatorios antes de hashear), revertir esas sombras a su forma original es trivial para quien tiene el conocimiento y los recursos. Una vez que la clave ‘PasionPorElFutbol2024’ es expuesta en la web oscura tras el hackeo a un sitio de venta de merchandising deportivo, se prueba automáticamente contra cada servicio popular existente: bancos, correos electrónicos, redes sociales. Es el llamado ‘credential stuffing’. El efecto dominó no es un riesgo, es una certeza matemática.

Aquí es donde el derecho, con su parsimonia característica, intenta poner un poco de orden. La Ley 25.326 de Protección de Datos Personales, en su artículo 9, impone al responsable de la base de datos un ‘deber de seguridad’. Esto significa que debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales. La ley no dice ‘instalen el mejor antivirus’, sino que exige una diligencia acorde a la naturaleza de los datos. Proteger una lista de emails no requiere el mismo esfuerzo que proteger historiales clínicos. Sin embargo, la reutilización de contraseñas por parte del usuario crea una zona gris donde la causalidad del daño se vuelve un campo de batalla legal.

El Escenario del Crimen: Anatomía de una Fuga de Datos

Imaginemos la escena. Un usuario descubre que alguien accedió a su cuenta de correo y la usó para restablecer las contraseñas de otros servicios, vaciando su billetera virtual. El origen: una vieja cuenta en un foro de aficionados a la jardinería que fue hackeado hace seis meses. La contraseña era, por supuesto, la misma. El usuario, ahora víctima, se siente ultrajado. Su privacidad fue violada, su patrimonio afectado. Decide accionar legalmente contra la plataforma de la billetera virtual. Su argumento es simple: ‘Ustedes debían proteger mi cuenta’.

Desde la perspectiva del acusador (el usuario damnificado), el camino legal se centra en probar tres cosas: la existencia del acceso no autorizado, el daño sufrido (económico, moral) y, lo más complejo, el nexo causal entre la falta de seguridad de la empresa y ese daño. El artículo 9 de la Ley 25.326 es su principal aliado. Deberá argumentar que la empresa demandada no implementó medidas suficientes para prevenir un ataque de ‘credential stuffing’. ¿Tenían autenticación de dos factores? ¿Detectaban inicios de sesión desde ubicaciones inusuales? ¿Alertaban sobre múltiples intentos fallidos? La carga de la prueba sobre la adopción de medidas de seguridad recae, en principio, sobre la empresa. El damnificado debe documentar meticulosamente todo: capturas de pantalla, emails, fechas, y presentar una denuncia ante la Agencia de Accaso a la Información Pública (AAIP), que puede sancionar a la empresa infractora, fortaleciendo el reclamo civil por daños y perjuicios.

El Banquillo de los Acusados: Cuando la Víctima También es Cómplice

Ahora, sentémonos del otro lado de la mesa. La empresa demandada recibe la notificación y su equipo legal se pone a trabajar. Su defensa no será negar el incidente, sino redefinir la causa. El argumento central será, con toda probabilidad, la ‘culpa de la víctima’ o, en términos más sutiles, la ‘ruptura del nexo causal por el hecho de un tercero o de la propia víctima’.

La estrategia del acusado (la empresa) será demostrar que ellos cumplieron con un estándar razonable de seguridad, pero que la negligencia del usuario fue el factor determinante. Sostendrán que la contraseña no fue robada de sus servidores, sino de un tercero (el foro de jardinería). Y que el único motivo por el que ese robo fue efectivo contra su plataforma es porque el usuario, en un acto de imprudencia manifiesta, utilizó la misma credencial en múltiples sitios, uno de ellos evidentemente inseguro. La empresa dirá: ‘Mi cerradura es segura, pero usted dejó copias de la llave debajo de cada maceta del barrio’. Intentarán probar que sus sistemas son robustos, que invierten en seguridad, y que la conducta del usuario fue tan temeraria que mitigó o directamente eliminó su responsabilidad. Es una defensa potente, porque apela a una verdad incómoda: en la seguridad de una cuenta, hay una responsabilidad compartida. Y los jueces, aunque protegen al consumidor como parte débil, también evalúan la diligencia esperable de un ciudadano promedio en el entorno digital actual.

Verdades Incómodas y Consejos No Solicitados

Al final del día, este tipo de litigios revela una verdad profundamente incómoda: la seguridad digital es un ecosistema frágil donde la responsabilidad es difusa. La ley exige a las empresas un deber de protección, y con razón. Son ellas quienes lucran con los datos y tienen los recursos para protegerlos. Incumplir el artículo 9 de la Ley 25.326 puede acarrear multas y la obligación de indemnizar. Sin embargo, la ley no opera en un vacío. La conducta del usuario es un factor que ningún juez puede ignorar. Pretender que se puede navegar por la vida digital con una única contraseña para todo es el equivalente a dejar el auto en marcha con las llaves puestas y luego demandar al fabricante porque lo robaron.

La revelación obvia, esa que nadie quiere escuchar, es que la seguridad requiere un mínimo de laburo. No hay soluciones mágicas. La prevención, ese concepto tan poco glamoroso, sigue siendo la mejor estrategia legal y financiera. Para el usuario, esto se traduce en medidas que deberían ser tan automáticas como ponerse el cinturón de seguridad. Primero: usar un gestor de contraseñas. Es un llavero digital que crea y recuerda claves complejas y únicas para cada servicio. La pereza ya no es una excusa válida. Segundo: activar la autenticación de dos factores (2FA) en todos los servicios que lo permitan. Es agregar una segunda cerradura, una que requiere algo que uno tiene (como el celular) además de algo que uno sabe (la contraseña). Un atacante podría robar la clave, pero difícilmente tendrá también el teléfono.

Para las empresas, el consejo es similar: cumplan con su deber de seguridad no solo porque lo dice la ley, sino porque es más barato que enfrentar un litigio, una sanción de la AAIP y un daño reputacional. Implementen 2FA, monitoreen accesos anómalos, eduquen a sus usuarios. En este quilombo digital, la mejor defensa no la da un abogado, sino un buen ingeniero de seguridad y una política de diligencia. Una verdad tan evidente que resulta casi ofensivo tener que escribirla.

Vas a querer leer