Yahoo ha publicado un comunicadoen el que confirma que a finales del 2014 sufrió un robo de datos, que afectó al menos a 500 millones de cuentas de usuario.
En lo que ya se cataloga como el mayor robo de cuentas de usuario de la historia, la información substraída también es de gran alcance, al incluir nombres, dirección de e-mail, números de teléfono, fechas de nacimiento, el hash de las contraseñas (la mayoría con bcrypt) y en algunos casos las preguntas de seguridad y sus respuestas cifradas o sin cifrar. ¿Aun seguimos usando preguntas de seguridad?
Y aunque la investigación todavía está en curso, la propia firma cree que detrás del ataque se encuentra un Estado. Aunque tampoco aporta ninguna información sobre cómo llega a esa conclusión. También se señala que la información robada no incluía las contraseñas sin cifrar (¡solo faltaba!), datos de tarjetas de pago o información de cuentas bancarias.
Como es costumbre en estos casos, Yahoo dice lo habitual: que está notificando a los potenciales usuarios afectados, pidiendo a los usuarios que hayan podido verse afectados que cambien rápidamente sus contraseñas y adopten medios alternativos de verificación de la cuenta, está invalidado las preguntas de seguridad sin cifrar y las respuestas para que no se pueden usar para acceder a una cuenta, recomienda a todos los usuarios que no hayan cambiado sus contraseñas desde 2014 que lo hagan, que están mejorando sus sistemas para detectar y evitar accesos no autorizados a las cuentas y por supuesto están trabajando con las autoridades en esta materia.
Yahoo confirma «ahora» el robo de 500 millones de cuentas en 2014 https://t.co/e1n1rCIb9m— hispasec (@hispasec) 23 de septiembre de 2016
Yahoo recomienda a los usuarios utilizar la herramienta Yahoo Account Key, una utilidad de autenticación que evita el uso de contraseñas mediante el uso del móvil.
La noticia no resulta extraña, los ataques de este tipo siempre han rondadoa Yahoo, el mismo 2014 (cuando datan este robo) ya confirmóun intento de intrusión y el reinicio de las contraseñas de cuenta atacadas.
Después de todo esto, quedan muchas cuestiones en el aire. ¿Cuándo supo Yahoo realmente el robo de los datos? ¿Desde 2014 no se ha dado cuenta del robo? ¿Qué datos tiene para afirmar que hay un Estado detrás del ataque? ¿Se filtrarán o se publicarán de alguna forma los datos? ¿Dejaremos de usar las preguntas de seguridad?
Más información:
una-al-dia (02/02/2016) Los sitios web que no amaban a las contraseñas
An Important Message About Yahoo User Security
Account Security Issue FAQs
una-al-dia (31/01/2014) Si usas Yahoo Mail cambia tu contraseña
una-al-dia (27/04/2012) Grave fallo de seguridad en Hotmail permitía el robo de cuentas
Antonio Ropero
Twitter: @aropero
