Yahoo anuncia el robo de datos de mil millones de cuentas

La compañía admite un nuevo hackeo, que dobla el que reveló hace solo tres meses

Sandro Pozzi/El País

Los problemas de seguridad de Yahoo se agravan. La compañía tecnológica informó anoche en un comunicado difundido tras el cierre de Wall Street de que en agosto de 2013 sufrió un nuevo asalto informático en el que le fueron robados datos de más de mil millones de usuarios en todo el mundo. El anuncio llega después de que la firma admitiese en septiembre que en 2014 registró otro robo masivo que afectó a 500 millones de cuentas, en el que ya se consideró el mayor caso de piratería informática de la historia a una empresa, ahora duplicado.

Yahoo explica en su nota de prensa que “una tercera parte no autorizada” accedió a los datos de sus usuarios. La compañía, que asegura que en este momento no puede identificar al autor de este robo masivo, se muestra, en cambio, segura de que el incidente es independiente al que reveló hace tres meses. Aquel caso ya superó en alcance al sufrido por la red de contactos profesionales LinkedIn que afectó a cerca de 360 millones de sus perfiles.

El nuevo caso sería la mayor sustracción de datos sufrida por una sola compañía. La serie de tres ciberataques masivos contra el proveedor de Internet Dyn del pasado 21 de octubre, el más grave de la última década, afectaron a un número mayor de clientes, pero de múltiples firmas y en algunos casos sin robo de datos.

En este último incidente conocido, siempre de acuerdo con la información que adelanta Yahoo, los piratas pueden haber accedido a nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas y, en algunos casos, a preguntas y respuestas encriptadas o sin cifrar de sus clientes. Los piratas no habrían conseguido, en cambio, hacerse con datos de las tarjetas de pago de los afectados o información sobre cuentas bancarias o contraseñas sin encriptar.

Tras el anterior robo, conocido en septiembre, Yahoo aseguró que la operación contaba con el “patrocinio” de un Estado, teoría que han cuestionado algunos especialistas.

Este nuevo y grave incidente puede poner en cuestión toda la operación que Verizon tiene en marcha para integrar Yahoo con la plataforma AOL. Verizon, el mayor operador de telecomunicaciones de Estados Unidos puso sobre la mesa en julio 4.830 millones de dólares (casi 4.600 millones de euros) para adquirir los activos de web de la compañía. Y pone igualmente de relieve el fracaso de Marissa Mayer al frente de la compañía que hace dos décadas fue la gran puerta abierta a Internet. Empleados de Yahoo criticaron en el pasado que el equipo de Mayer puso la seguridad por detrás de otras prioridades en su gestión de la firma, presionando de forma prioritaria en la necesidad de captar más tráfico.

Verizon señaló después en otra nota que va a revisar el impacto de este nuevo robo masivo. Yahoo aseguró, de su lado, que está adoptando medidas adicionales para garantizar la seguridad de las cuentas. El servicio de autentificación de estas estuvo ayer, de hecho, todo el día pidiendo a los usuarios que validasen su acceso para evitar de esta forma cualquier posible intromisión que pudiese dejar al descubierto datos personales, contraseñas y otras informaciones relevantes, como números de teléfono.

Yahoo instó ayer a todos sus usuarios que revisen sus cuentas y procedan a cambiar las contraseñas correspondientes, así como las preguntas de seguridad y las respuestas. Igualmente les pide que eviten pinchar en los enlaces que lleguen por correo electrónico o descargar archivos adjuntos que piensen que pueden resultar sospechosos. Y, sobre todo, que no ofrezcan información personal en una comunicación no solicitada.

El robo masivo de datos no es el único problema con el que tiene que lidiar Yahoo. La compañía fundada por Jerry Yang y Dave Filo está investigando también la posibilidad de que los intrusos que penetran en su servicio estén utilizando cookies que les permiten acceder a las cuentas de los usuarios sin necesidad de tener las claves correspondientes.

El temor que existe es que alguien ajeno a la empresa haya sido capaz de desarrollar por su cuenta el código informático que permite la creación de las mencionadas llaves.