Solo tres meses después de haber informado sobre una intrusión informática que afectó a 500 millones de sus cuentas en 2014, Yahoo ha admitido que ha sido víctima de otro ataque informático que expuso la información de mil millones de cuentas en agosto de 2013.
La compañía acaba de descubrir la intrusión este año gracias a información brindada por las autoridades que investigó con la ayuda de expertos forenses externos.
La información filtrada “podría incluir nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas protegidas con hash (usando MD5) y, en algunos casos, preguntas y respuestas de seguridad cifradas y descifradas”, dijo el jefe de seguridad informática Bob Lord en un comunicado oficial. El algoritmo de hashing MD5 protegió a los usuarios desde 1993, pero desde mediados de 2000 no se considera una medida de seguridad eficiente. “El hashing MD5 es vulnerable a un ataque denominado ‘ataque de colisión'”, explicó el experto en seguridad de Gartner, Jonathan Care. “El hashing MD5 hoy en día está muy desvalorizado, lo que demuestra las precarias prácticas de desarrollo de software de Yahoo”.
Bob Lord se empeñó en recalcar que la información financiera de los usuarios afectados no corre peligro: “La investigación indica que la información robada no incluía contraseñas en texto legible, datos de tarjetas de crédito ni información de cuentas bancarias. (Esta información) no está almacenada en el sistema afectado”.
Pero la amenaza no acaba allí: investigadores externos descubrieron que se habían falsificado las “cookies” del sistema, lo que entregaba a terceras personas el acceso a las cuentas de las víctimas sin necesidad de que tengan las credenciales de inicio de sesión.
La compañía sigue investigando el incidente y no sabe con certeza cómo los atacantes llevaron a cabo la intrusión ni quién es el responsable. Yahoo había atribuido el ataque expuesto en septiembre a agentes de espionaje gubernamental, y parece que no han abandonado del todo esa idea: “hemos vinculado esta actividad con el mismo agente gubernamental responsable del robo de datos que la compañía expuso el 22 de septiembre de 2016”.
El incidente podría ser fatal para la reputación de la compañía. Los expertos en seguridad acusan a Yahoo de haber perdido su credibilidad y lo han bombardeado con críticas sobre sus fallas de seguridad tan reiteradas y su incapacidad de detectarlas a tiempo. También destacaron el hecho de que la compañía no pudo detectar la amenaza ni siquiera cuando investigaba la intrusión de 2014. “Estas cuentas han estado comprometidas por años y sólo su cantidad indica que ya son una fuente de robo de identidad. Se ha llegado al punto en el que nadie debería confiar en Yahoo”, opino Tyler Moffit, analista de seguridad de Webroot.
Al conocerse el ataque el valor de la compañía en la bolsa bajó 2 mil millones de dólares, lo que podría tener repercusiones directas en sus negociaciones con Verizon, que estaba a punto de comprar sus servicios de correo electrónico, Flickr y Tumblr por 4,8 mil millones de dólares. “Evaluaremos la situación mientras Yahoo sigue con su investigación”, dijo un portavoz de Verizon. “Revisaremos el impacto de este incidente antes de llegar a una conclusión final”.
Fuentes
Yahoo: un nuevo ataque informático expone mil millones de cuentas