Yahoo: más de mil millones de cuentas fueron hackeadas en 2013

Yahoo, ya en el ojo del huracán luego de que hace unos meses anunciara que 500 millones de cuentas de sus usuarios habían sido hackeadas en 2014, reveló el miércoles que otro ataque perpetrado en 2013 ya había comprometido más de mil millones de cuentas.

El ataque involucró información más sensible de los usuarios, incluyendo preguntas de seguridad no codificadas. Yahoo está obligando a todos los usuarios afectados a cambiar sus contraseñas e inició el proceso de invalidación de las preguntas de seguridad.

La compañía aceptó venderle sus principales negocios a Verizon Communications por 4800 millones de dólares. Verizon dijo que podría tratar de renegociar los términos de la transacción después de que se reveló el primer ataque. No está claro si la reciente divulgación del ataque de 2013 afectará la compra.

Yahoo dijo que descubrió las consecuencias de esta falla después de analizar los archivos de datos proporcionados por las agencias gubernamentales estadounidenses que afirmaban que contenía información de la empresa.

La compañía ha ido revelando los detalles del hackeo que sufrió en 2014, luego de las investigaciones que ha desarrollado con las autoridades federales. El miércoles se reveló que los expertos creen que el atacante, que presuntamente fue patrocinado por un gobierno, encontró una forma de forjar credenciales para iniciar sesión en algunas cuentas de usuarios, sin usar la contraseña.

Bob Lord, jefe de seguridad de Yahoo, dijo en un comunicado que el atacante había robado el código fuente que es propiedad de Yahoo. Los forenses externos creen que los hackers usaron el código para acceder a las cuentas de usuario, sin sus contraseñas, creando falsas “cookies”, información que un sitio web puede almacenar en la máquina de los usuarios. Al falsificar las cookies, los atacantes pudieron hacerse pasar por usuarios válidos, obtener información y realizar acciones en nombre de sus víctimas.

El equipo de seguridad de Yahoo se enfrentó con la resistencia de altos ejecutivos, incluyendo a la directora ejecutiva Marissa Mayer, por el costo y la inconveniencia de las medidas de seguridad propuestas.

Los expertos también dicen que el tiempo que le ha tomado a Yahoo descubrir el ataque revelado el miércoles es una señal de que sus tecnologías de seguridad y monitoreo no son adecuadas.

“Lo más preocupante es que esto ocurrió hace tanto tiempo, en agosto de 2013, y nadie vio ningún indicio de una violación hasta que las agencias gubernamentales llegaron”, dijo Jay Kaplan, director ejecutivo de Synack, una empresa de seguridad. “Yahoo tiene un largo camino que recorrer para atacar estas amenazas”.

Tras la última divulgación, Bob Varettoni, un portavoz de Verizon, dijo: “Como hemos dicho todo el tiempo, evaluaremos la situación mientras Yahoo continúa su investigación”. También agregó que revisarán “el impacto de este nuevo ataque antes de llegar a conclusiones definitivas”.

Lord dijo que después de estos ataques, Yahoo había tomado medidas para mejorar sus sistemas. La compañía alentó a sus usuarios para que cambiaran las contraseñas asociadas con su cuenta y cualquier otra cuenta digital vinculada a Yahoo.

Cambiar las contraseñas solo será el comienzo para muchos usuarios. También tendrán que revisar otros servicios para asegurarse de que las contraseñas utilizadas en esos sitios no sean muy similares a las que estaban utilizando en Yahoo. Y tendrán que considerar todo lo que reciben en línea, como correos electrónicos, con una gran sospecha, en caso de que los hackers estén tratando de engañarlos.

Yahoo le recomendó a sus clientes utilizar la Yahoo Account Key, una herramienta de autenticación que verifica la identidad con un teléfono móvil y elimina la necesidad de usar una contraseña.