Yahoo ha publicado un comunicado
en el que confirma que a finales del 2014 sufrió un robo de datos, que afectó al menos a 500 millones de cuentas de usuario.
En lo que ya se cataloga como el mayor robo de cuentas de usuario de
la historia, la información substraída también es de gran alcance, al incluir
nombres, dirección de e-mail, números de teléfono, fechas de nacimiento, el
hash de las contraseñas (la mayoría con bcrypt) y en algunos casos las
preguntas de seguridad y sus respuestas cifradas o sin cifrar. ¿Aun seguimos usando
preguntas
de seguridad?
Y aunque la investigación todavía
está en curso, la propia firma cree que detrás
del ataque se encuentra un Estado. Aunque tampoco aporta ninguna
información sobre cómo llega a esa conclusión. También se señala que la
información robada no incluía las contraseñas sin cifrar (¡solo faltaba!),
datos de tarjetas de pago o información de cuentas bancarias.
Como es costumbre en estos casos, Yahoo dice lo habitual: que está
notificando a los potenciales usuarios afectados, pidiendo a los usuarios que hayan
podido verse afectados que cambien rápidamente sus contraseñas y adopten medios
alternativos de verificación de la cuenta, está invalidado las preguntas de
seguridad sin cifrar y las respuestas para que no se pueden usar para acceder a
una cuenta, recomienda a todos los usuarios que no hayan cambiado sus
contraseñas desde 2014 que lo hagan, que están mejorando sus sistemas para
detectar y evitar accesos no autorizados a las cuentas y por supuesto están trabajando
con las autoridades en esta materia.
Yahoo confirma "ahora" el robo de 500 millones de cuentas en 2014 https://t.co/e1n1rCIb9m— hispasec (@hispasec) 23 de septiembre de 2016
Yahoo recomienda a los usuarios
utilizar la herramienta Yahoo
Account Key, una utilidad de autenticación que evita el uso de contraseñas mediante
el uso del móvil.
La noticia no resulta extraña,
los ataques de este tipo siempre han rondado
a Yahoo, el mismo 2014 (cuando datan este robo) ya confirmó
un intento de intrusión y el reinicio de las contraseñas de cuenta atacadas.
Después de todo esto, quedan muchas cuestiones en el aire.
¿Cuándo supo Yahoo realmente el robo de los datos? ¿Desde 2014 no se ha dado
cuenta del robo? ¿Qué datos tiene para afirmar que hay un Estado detrás del
ataque? ¿Se filtrarán o se publicarán de alguna forma los datos? ¿Dejaremos de
usar las preguntas de seguridad?
Más información:
una-al-dia (02/02/2016) Los
sitios web que no amaban a las contraseñas
An Important Message About Yahoo User Security
Account Security Issue FAQs
una-al-dia (31/01/2014) Si usas
Yahoo Mail cambia tu contraseña
una-al-dia (27/04/2012) Grave
fallo de seguridad en Hotmail permitía el robo de cuentas
Antonio Ropero
Twitter: @aropero