En Estados Unidos ha comenzado una investigación oficial para aclarar las circunstancias y la repercusión del robo masivo de contraseñas de cuentas de Yahoo Mail, que se produjo en 2014 y no se dio a conocer hasta hace dos meses. Las nuevas pistas indican que Yahoo conocía el robo y no informó a sus usuarios antes.
Yahoo pudo haber ocultado deliberadamente información sobre la brecha de seguridad
Hace dos meses, Yahoo reconoció de manera oficial que en 2014 se había producido un robo masivo de contraseñas de sus usuarios: alrededor de 500 millones de cuentas habían sido vulneradas en un ciberataque y la compañía pidió a sus clientes que cambiaran urgentemente las contraseñas anteriores a 2014.
El escándalo coincidió con el proceso de adquisición de Yahoo por parte de la compañía Verizon, y la empresa compradora estaba indignada: de hecho, llegó a pedir un descuento importante en la cantidad ofrecida inicialmente, por todos los problemas que iba a suponer la cuestión del robo de las contraseñas. Verizon solicitó, concretamente, una reducción de 1.000 millones de dólares en el precio (unos 915 millones de euros de rebaja, aproximadamente).
Ahora, los órganos responsables de la investigación del caso en Estados Unidos están empezando a destapar datos preocupantes: parece que Yahoo sabía que se había producido una brecha en su sistema de seguridad y conocía el robo de contraseñas de 2014. Sin embargo, no tomó medidas al respecto, ocultó la información a Verizon y tampoco advirtió a los usuarios para que actuaran de inmediato y cambiaran sus contraseñas.
La conclusión es preocupante: durante casi dos años, los hackers han podido tener acceso fácil a más de 500 millones de cuentas de Yahoo y a toda la información privada almacenada en ellas (correos electrónicos de Yahoo Mail, fotos y vídeos almacenados en el servicio Flickr, etc.).
La empresa acaba de reconocer que teme por la seguridad de los datos personales, ya que un hacker anónimo ha proporcionado información de cuentas de usuarios de Yahoo a las autoridades responsables de la investigación.
Yahoo también ha explicado que tomará medidas para intentar averiguar si los hackers desarrollaron cookies para el navegador que pudieran quedar almacenadas en los equipos de los usuarios para burlar las barreras de seguridad de la empresa. Estas cookies podrían haber permitido a los hackers seguir accediendo en cualquier momento a datos personales de los usuarios.
Medidas extra de seguridad
Este tipo de situaciones y brechas de seguridad demuestran que la protección de cuentas por contraseña es insuficiente. Siempre es recomendable añadir métodos adicionales de verificación de identidad, como los números de teléfono móvil o el registro en Google Authenticator.
Y puede que en el futuro los servicios de Internet incorporen aún más procesos de verificación, como el escáner de iris o de huella digital. Los estamos usando ya en los smartphones y en algunos ordenadores: ¿por qué no convertir las características biométricas en medidas extra de seguridad para entrar al correo electrónico o a las redes sociales?