El problema no es dónde se guardan las contraseñas. Es dónde terminan apareciendo
La señal
Un auditor de seguridad documentó un caso real: contraseñas de múltiples sistemas encontradas en texto plano dentro de los campos de descripción del directorio de usuarios de Windows (Active Directory). Esos campos son visibles para cualquier cuenta de la red, sin privilegios especiales.
El supuesto que se rompe
Las contraseñas de la organización están donde se gestionan las contraseñas — en bóvedas o sistemas dedicados. Este supuesto ignora años de decisiones prácticas tomadas bajo presión: “lo anoto aquí por si acaso”, “es temporal”, “solo lo verá TI”. Con el tiempo, ese conocimiento tácito se convierte en riesgo invisible acumulado.
Qué observar
Si la organización usa Active Directory y si alguien ha revisado alguna vez los campos de descripción, comentarios y atributos de las cuentas de servicio, administrador y sistemas heredados. Las herramientas de auditoría estándar pueden extraer esa información en minutos. Antes de que lo haga un atacante, conviene hacerlo internamente.