Definitivamente, este no está siendo el año de Yahoo. Bueno, ni el suyo ni el de sus usuarios. Primero fue su puesta en venta, luego una filtración de 500 millones de cuentas, luego demandas a su CEO y ahora, de nuevo una filtración: nada menos que más de mil millones de cuentas son las que se estiman que han sido comprometidas en lo que ya se está llamando el mayor hackeo de la historia.
El anuncio de esta filtración fue realizado por Bob Lord, jefe de seguridad de información en Yahoo, en un post publicado en Tumblr. En él explica que «creemos que una tercera parte no autorizada, en agosto de 2013, accedió a datos robados asociados con más de un mil millones de cuentas de usuario». Sí, no ahora mismo, sino en 2013. Y según añade, parece que esto no tiene que ver con la otra filtración, la de los 500 millones. De manera que, este año, Yahoo ha descubierto que en total se les «escaparon» (o les robaron) 1.500 millones de cuentas.
Parece ser que Yahoo empezó a sospechar de que algo había ocurrido el mes pasado, cuando la policía les hizo llegar un archivo de un tercero que afirmaba que contenía datos de cuentas del servicio. Comenzó la correspondiente investigación, para la cual recurrieron a la ayuda de expertos forenses de fuera de la compañía, y finalmente se terminó por determinar que sí, que esos datos eran de sus usuarios.
¿Y qué datos eran esos? Pues «poca cosa» (no sé enfatizar más la ironía): direcciones de correo, números de teléfono, fechas de nacimiento, contraseñas hash (usando MD5) y, en algunos casos, preguntas y respuestas de seguridad tanto cifradas como sin sin cifrar. Lo suficiente como para tomar el control de una cuenta, vamos.
Ante semejante robo, la pregunta que surge es cómo consiguieron los delincuentes hacerse con esos datos. Pero no hay respuesta: «No hemos sido capaces de identificar la intrusión asociada con este robo» reconoce Lord en la comunicación. Es de suponer que la investigación seguirá profundizándose y que en algún momento desde Yahoo llegarán a alguna conclusión. Porque algo de semejante tamaño no puede quedarse en un encogimiento de hombros y un «no sabemos».
En cuanto a las medidas que se han tomado, dicen que se están poniendo en contacto con los usuarios potencialmente afectados y llevando a cabo las acciones necesarias para asegurar esas cuentas. También han invalidado las preguntas y respuestas de seguridad que no estaban cifradas para que no puedan usarse como mecanismo para hacerse con el control de las cuentas.
Pero no se vayan todavía, aún hay más: cookies falsas
Como si esto no fuera suficientemente grave, también resulta que han descubierto, gracias a ese equipo de forenses externo, que alguien estaba usando código de Yahoo, obtenido a saber cómo, para crear cookies que permitan acceder a cuentas sin necesidad de introducir contraseña alguna.
También respecto a esto ya han tomado las medidas necesarias: los expertos consiguieron identificar las cuentas afectadas y ya se han puesto en contacto con sus propietarios al tiempo que han invalidado esas cookies. En este caso, no se han desvelado números de afectados, pero parece que, según sus indagaciones, «Hemos conectado parte de esta actividad [la creación de cookies] con el mismo actor auspiciado por un gobierno que creemos que fue el responsable por el robo de datos» del caso de los 500 millones de cuentas.
¿Tienes cuenta en Yahoo? Esto es lo que tienes que hacer
Si aún sigues siendo usuario de Yahoo, ya sea activo o tienes tu cuenta pero no le das uso, esto es lo que recomiendan hacer desde la misma compañía:
– Cambiar tus contraseñas y las preguntas y respuestas de seguridad para cualquier otra cuenta en la que hayas usado la misma o información similar usada para tu cuenta de Yahoo.
– Revisar todas tus cuentas en busca de actividad sospechosa.
– Ser cauteloso respecto a cualquier comunicación no solicitada que pregunte por información personal o que te refiera a una página web que lo haga.
– Evitar hacer clic en enlaces o descargar adjuntos de correos sospechosos.
– Considerar usar Yahoo Account Key https://login.yahoo.com/accountkey/setup, una herramienta de autenticación que elimina la necesidad de usar una contraseña en todo Yahoo.
Y cabe añadir lo más lógico: cambiar inmediatamente (sí, de nuevo, que nunca se sabe) tu contraseña de Yahoo. Eso si quieres seguir usando el servicio.
Yahoo, de desastre en desastre
Ahora queda ver cómo afectará esto a la venta de la compañía. En principio, desde Verizon han manifestado que están a la espera de los resultados de la investigación que se está desarrollando. Es decir, que se muestran prudentes. Sin embargo no es descabellado pensar que esto supondrá una nueva reducción en el precio de compra, si es que finalmente esta termina dándose. Porque, vamos a ver, ¿quién en su sano juicio compraría algo que está demostrando haber sido un coladero de datos durante años?
Es una pena ver que una compañía que significó tanto en Internet está viendo que sus días acaban de mala manera. No supo adaptarse a los tiempos, nos tuvo la capacidad de modernizarse cuando le fue requerido y parece que de puertas adentro, el trabajo tecnológico tampoco fue muy fino que digamos. Tras todo lo sucedido este año, cabe preguntarse si le esperan nuevas sorpresas la compañía en el que se suponía que iba a ser su corto futuro y si, en lugar de ver como cambia de manos, terminaremos viéndola como termina cerrándose. Pareciera que en Yahoo tuvieses su propia caja de Pandora privada y que alguien la hubiese abierto de par en par.
