Malos tiempos para Yahoo: además de no levantar cabeza en lo que a servicios y usuarios se refiere y con la venta a Verizon en el horizonte, hace unas horas que la compañía confirmaba en público que habían sufrido un importante ataque informático que ha dejado al descubierto la información de millones de sus usuarios. Pero ¿a quién afecta este ataque, qué hacer con las cuentas afectadas y quién se cree que está detrás? Intentamos dar respuesta a éstas y otras preguntas.

¿Cómo sé si mi cuenta está afectada?

Según Yahoo, el “hackeo” tuvo lugar “a finales de 2014” y ha afectado a 500 millones de cuentas. En 2013, Yahoo aseguraba tener 800 millones de usuarios activos, así que no parece que todas las cuentas estén afectadas. Parece. Aquí insisto en que toda la información que tenemos procede de la propia Yahoo, parte interesada (y afectada) por todo el problema.

¿Cómo saber si tu cuenta de Yahoo es una de esas supuestas 500 millones de cuentas filtradas? Por ahora el listado de afectados no se ha compartido en ningún sitio, pero si lo estás lo más probable es que te haya llegado un correo de Yahoo avisándote. De todas formas, lo más prudente en este caso es dar por hecho que, si tenías cuenta en 2014 en Yahoo, ésta puede estar afectada y deberías tomar todas las medidas oportunas.

¿Qué debo hacer si es el caso?

En primer lugar, cambiar la contraseña. Si la clave la utilizas además en otros servicios online, cambiarla también rápidamente en esos servicios. Si este último es tu caso, una recomendación: nunca uses la misma contraseña en más de un lugar. Con filtraciones de este tipo que, por desgracia, cada vez son más comunes, puedes llevarte algún disgusto. Así se cree que entraron en las cuentas de Twitter y Pinterest de Mark Zuckerberg: utilizando la contraseña que Mark tenía en LinkedIN y que se filtró.

En segundo lugar, otra cosa muy importante: cambiar tu pregunta de seguridad y su respuesta si las utilizas. Y más importante aún: cambiarlas si utilizas esa misma pregunta de seguridad y su respuesta en otros servicios.

¿A qué información han accedido?

“La información [robada] de las cuentas puede haber incluido nombres, direcciones de email, números de teléfono, fechas de nacimiento, contraseñas con hash (la mayoría de ellas con bcrypt) y, en algunos casos, preguntas de seguridad y sus respuestas cifradas o sin cifrar. La investigación, en curso, sugiere que la información robada no incluye contraseñas desprotegidas, datos de pagos de tarjetas de crédito o información bancaria; los datos de las tarjetas y la información bancaria no se almacenan en el sistema que la investigación ha detectado como afectado.”

Para dar respuesta a esta pregunta nos remitimos directamente al comunicado oficial, en el que, siempre según Yahoo, se ha filtrado:

  • Nombres
  • Direcciones de email
  • Números de teléfono
  • Fechas de nacimiento
  • Contraseñas en hash
  • Preguntas de seguridad y sus respuestas cifradas o sin cifrar.

¿Mi contraseña está a salvo entonces?

“Contraseñas en hash”, es decir, el hacker ha tenido acceso a las contraseñas cifradas, no en texto plano. Nuestros compañeros de Genbeta Dev explican aquí qué es un hash, pero básicamente es la cadena que resulta tras pasar tu contraseña por un algoritmo. De esta forma, lo que almacenan los servicios es esta cadena, y no tu contraseña tal cual.

1366_200010

¿Significa esto que tu contraseña está a salvo? No exactamente. Tras el hackeo a Slack, que también utilizaba bcrypt (un algoritmo bastante avanzado), Agilebits explicaba así por qué, pese a ser uno de los algoritmos estrella, debes preocuparte por tu contraseña si su hash ha sido filtrado:

“Con cualquier función criptográfica de hash medio decente no es factible computacionalmente el recuperar el original a partir del hash si el original se ha elegido de forma aleatoria. Pero si puedes hacer suposiciones razonables sobre el original, entonces puedes utilizar el hash para comprobar tus suposiciones. Porque las contraseñas que crean los humanos no se eligen de forma aleatoria, entonces el descubrir el original a partir de un hash pasa a ser computacionalmente viable.”

Por este motivo, desde Yahoo recomiendan que cambies tu contraseña igualmente y lo mismo ocurre cuando se filtran las contraseñas hasheadas de cualquier otro servicio.

¿Qué es una “pregunta de seguridad”?

Se trata de un método para recuperar tu cuenta en el caso de que te olvides de la contraseña. La idea es que configures una pregunta extremadamente personal o secreta, de la que sólo tú sabes la respuesta. Así, si se te olvida la clave, puedes recuperar el acceso a tu cuenta respondiendo a la pregunta secreta.

No es un método demasiado seguro, y de hecho me atrevería a decir que este sistema cada vez está más en desuso por esto mismo (en favor de otros como el que te envíen el método de recuperación a tu teléfono o a otro correo adicional). De hecho, en la época de MSN Messenger y Hotmail era uno de los métodos más sencillos de “reventar” una cuenta. ¿Cuánta gente tenía de pregunta “cuál es mi película favorita” y “Titanic” como respuesta?

Espera… con la pregunta secreta se puede acceder a las cuentas, ¿no?

Claro, es su principal función. Si alguien ha tenido acceso a las preguntas y, sobre todo, a las respuestas de las preguntas de seguridad de una cuenta, ha podido perfectamente hacerse con la cuenta a la que éstas pertenecen. Y no olvidemos que Yahoo dice que los atacantes han podido ver las preguntas y respuestas sin cifrar, en texto plano.

En su comunicado, Yahoo asegura que ya ha desactivado esta forma de entrar en los perfiles, por lo que entendemos que las preguntas y respuestas secretas filtradas ya no son válidas. Eso sí, no olvidemos que el ataque se produjo en 2014 y mucho ha llovido desde entonces. Y tampoco olvidemos que alguien que reutilice estas preguntas entre servicios pasa a tener sus cuentas en ellos totalmente vulnerables.

¿Y cómo es que, si el ataque se produjo en 2014, nos enteramos ahora?

Buena pregunta. Este verano, alguien ponía a la venta en la Dark Net 200 millones de supuestas cuentas de Yahoo con su respectiva información. Yahoo investigó el caso y fue cuando supuestamente dieron con esta intrusión. Desde Yahoo no han confirmado si ambos ataques están relacionados de alguna forma o son el mismo.

A principios de septiembre de 2016, Yahoo en teoría no sabía nada de este ataque. O, si lo sabía, se arriesgaron y no lo incluyeron en las declaraciones oficiales que presentaron en septiembre como parte del proceso a seguir para cerrar la compra de la compañía por parte de Verizon. En dicho documento, Yahoo explicaba, según recoge el diario Wall Street Journal, que no estaban al tanto de ninguna “brecha de seguridad” en sus sistemas que pusiera en riesgo los datos de los usuarios.

¿Quién es o quiénes son los responsables?

1366_200011

Por ahora, no hay respuesta. Desde el FBI están investigando el ataque, y desde Yahoo apuntan directamente a un “state-sponsored actor”, es decir, a alguien que forma parte o trabaja de alguna forma para algún gobierno.

Sin embargo, en este caso también aparece el nombre de Peace. Es muy posible que te resulte familiar, ya que este usuario (o usuarios, no está muy claro si es un grupo) se puso de moda este verano tras aparecer en la Deep Web vendiendo credenciales robados masivamente de LinkedIN, Tumblr y otros servicios. El propio Peace es el que hace unas semanas ponía a la venta 200 millones de supuestas cuentas de Yahoo.

No se sabe mucho sobre Peace. En junio este “hacker” concedió una entrevista a Wired, en la que reconocía formar parte de un “equipo de rusos” que habían vendido credenciales de LinkedIN, Tumblr y otras páginas en privado durante algún tiempo. Cuando vieron que otras personas se habían hecho con sus datos y estaban vendiéndolos en público, entonces decidieron ponerlos ellos a la venta también. El equipo, según dice, ya no está en activo porque ha tenido problemas internos.

Eso explica por qué a día de hoy estamos conociendo numerosos ataques masivos realizados en 2012, 2013 y 2014, pero posiblemente estemos sufriendo más ataques actualmente de los que no nos enteraremos hasta dentro de un tiempo. ¿Por qué? Porque esta información es útil hasta que todo el mundo sabe que se ha producido una brecha. Peace lo explicaba así:

“La información no tiene valor si se hace pública. Nosotros la úsabamos [para spam] y otros compradores la usaban también. Además, nuestros compradores esperan que estos datos se mantengan privados todo el tiempo posible. Hay muchas bases de datos que no se hace públicas por esta razón y que se seguirán usando durante años”

Si Peace está detrás o no de este ataque es algo que se desconoce, ya que por ahora sólo sabemos que puso a la venta un lote de cuentas que supuestamente pertenecían a Yahoo.

¿Quién tiene la información?

De nuevo, se desconoce. Como decimos, hubo un grupo de 200 millones de supuestas cuentas que se vendían este verano en la Dark Net, pero hasta ahora al menos no se ha encontrado una venta pública de las 500 millones de cuentas. Esto no significa que la lista no esté en varias manos: como dice Peace, es un objetivo muy jugoso por el que mucha gente pagaría mucho dinero… siempre que no todo el mundo tenga acceso a la información, claro.

¿Qué significa esto para Yahoo?

Las consecuencias para Yahoo todavía no están muy claras. Se trata de un “palo” muy importante que daña su reputación, eso está claro, pero está por ver si esto afecta de alguna forma a la compra por parte de Verizon o si tiene consecuencias legales de algún tipo. Por ahora, y con la noticia recién anunciada, todavía es pronto para responder a esto.

 

Anuncios