Yahoo! ha compartido los detalles de su última intrusión informática que revelan que los atacantes no necesitaron las contraseñas de sus víctimas para irrumpir en sus cuentas, sino que lo hicieron usando cookies falsificadas que fabricaron en su propio servidor.
El ataque se realizó entre 2015 y 2016. Yahoo! alertó sobre el peligro en un informe de seguridad de octubre del año pasado, que pasó desapercibido hasta ahora. Esta semana, la compañía se ha estado poniendo en contacto con los usuarios afectados para comentarles sobre los detalles de la intrusión y guiarlos para proteger sus cuentas.
Yahoo! envió un correo a sus usuarios explicándoles que los atacantes robaron un programa de su servidor interno que les permitió fabricar cookies fraudulentas, que utilizaron para desbloquear las cuentas sin necesidad de conocer las contraseñas de sus víctimas.
“Nuestros expertos forenses externos han estado investigando la creación de cookies falsificadas que permiten a los intrusos acceder a las cuentas de los usuarios sin una contraseña. Las investigaciones en curso indican que su cuenta podría haberse comprometido en los ataques de 2015-2016”, dice parte del mensaje que envió Yahoo! a sus clientes.
La cantidad estimada de usuarios afectados no se ha dado a conocer, pero esta es la tercera intrusión a las cuentas de sus usuarios que se descubre en menos de seis meses. En septiembre del año pasado, se dio a conocer un ataque que había comprometido la privacidad de 500 millones de usuarios. Solo tres meses después, en diciembre de 2016, se reveló otro ataque en el que los daños eran mucho mayores, alcanzando los mil millones de usuarios.
La frecuencia e intensidad de estos ataques ha dado mucho de qué hablar. Chris Boyd, analista de Malwarebytes, opinó: “Sin duda muchos usuarios de Yahoo! ya deben estar cansados de tanto lidiar con este tipo de incidentes. El sentimiento de confusión – ‘¿No había pasado por esto y había hecho lo necesario para proteger mi cuenta?’ – puede hacer que la gente se satisfaga con actualizar sus contraseñas o, peor aún, ni siquiera se moleste en reforzar sus defensas”.
El hecho de que las contraseñas no hayan sido comprometidas en este ataque también deja una sensación de impotencia a los usuarios respecto a su propia seguridad. “El hecho de que los hackers hayan podido acceder a las cuentas sin necesidad de contraseñas es importante. Solemos depender de las contraseñas para proteger nuestros datos y privacidad, y esto ha desatado un estado de alerta. Se aconseja a los consumidores y empresas por igual que refuercen sus defensas con protecciones como la autentificación de dos factores cuando sea posible y siempre estén atentos de la actividad de sus cuentas”, dijo Tony Pepper, co-fundador de la empresa de seguridad de datos Egress.
Fuentes
Nuevo ataque a Yahoo! irrumpe en las cuentas sin necesidad de contraseñas