Microsoft Excel tiene una larga historia de inseguridad de datos.
En Windows Excel 97 y 2000 (más las versiones correspondientes para Mac), puede desproteger instantáneamente una hoja de trabajo protegida por contraseña utilizando dos líneas de código VBA. Afortunadamente, no mucha gente sabía el truco. Por lo tanto, había un mercado próspero para el software comercial que costaba entre $ 25 y $ 50 que desprotegería una hoja de trabajo, un código VBA o incluso el libro completo.
Con Excel 2002 y 2003, Microsoft cerró la puerta trasera utilizada por las dos líneas de código VBA. Sin embargo, el software comercial aún funcionaba. Esto se debe a que Microsoft utilizó una técnica matemática llamada hashing para convertir la contraseña elegida por el usuario en una mezcla aleatoria de letras y números. Almacenaron la versión hash de la contraseña en el archivo y se basaron en el hecho de que no hay una manera fácil de pasar de la versión hash a la contraseña original. Desafortunadamente, su algoritmo de hash solo pudo generar 194,560 códigos hash diferentes. Esto significaba que un ataque de fuerza bruta podría generar una contraseña que utilizaba el mismo código que su contraseña exquisitamente larga. Ahora necesitabas 20 declaraciones de VBA para recorrer las posibilidades y desproteger la hoja de trabajo. La macro es bastante fácil de encontrar en Internet y hace su trabajo en unos 20 a 30 segundos.
- ¿Cuáles son los mayores defectos de seguridad en nuestras vidas digitales?
- ¿La autenticación de iCloud desde IOS es vulnerable al hombre en el medio ataque?
- ¿Cuál es una forma simple y segura de almacenar las contraseñas de su cuenta de Internet?
- ¿Cuál es la mejor manera de evitar que su sistema informático contraiga un virus?
- ¿Qué tipo de medidas de seguridad se requieren para que los sitios web, como el IRCTC del gobierno indio, creen un sitio web seguro?
Excel 2007 y 2010 tenían una nueva estructura de archivos, pero eran tan susceptibles a la macro de 20 sentencias. Y, por supuesto, el software comercial continuó rompiendo contraseñas en todas partes.
Excel 2013 y 2016 introdujeron una nueva técnica de seguridad llamada sal que funcionó en asociación con el hash. Y Microsoft utilizó el algoritmo de hash seguro SHA-512 desarrollado por la NSA para cifrar los datos con un código hash de 512 bits, lo que suena realmente impresionante. La sal significaba que la macro de 20 declaraciones ya no funcionaba, incluso si abría el libro en una versión anterior de Excel. Pero no animes aún, porque el software comercial sigue funcionando. Y si alguien vuelve a guardar su archivo .xlsx de Excel 2016 en el formato .xls anterior, se elimina la sal y la macro de 20 instrucciones ahora podría eliminar la contraseña.
Además del software comercial y los formatos de archivo antiguos altamente susceptibles, existen técnicas manuales para eliminar la protección con contraseña. Un archivo .xlsx o .xlsm de Excel es un archivo zip. Si cambia la extensión del archivo y usa un descomprimidor, puede encontrar un archivo dentro del archivo zip que contiene la contraseña. No voy a decir cómo, pero las técnicas manuales me permiten eliminar las contraseñas que protegen una hoja de trabajo, el código VBA e incluso todo el libro de trabajo.
En pocas palabras: sin excepción, todos los archivos de Excel protegidos por contraseña se pueden descifrar. No toma mucho tiempo si sabe cómo o si desea gastar entre $ 25 y $ 50 por el software comercial. Protege con contraseña un archivo de Excel para que las personas honestas sean honestas. Los malos siempre pueden entrar.