Consejos sobre la brecha de seguridad de Yahoo
El gigante de Internet ha sufrido una brecha de datos masiva que afecta a 500 millones de cuentas. Aun así, este percance ha servido como recordatorio de algunos consejos básicos en seguridad.
Yahoo es un proveedor de correo electrónico y estas cuentas son fundamentales para los usuarios que navegan por Internet ya que no sólo son direcciones utilizadas para las comunicaciones privadas, sino que sirven como puntos de recuperación y credenciales de acceso para las cuentas en muchos otros sitios web. Por eso se dice que es una de las peores violaciones de datos que una persona puede experimentar.
El gigante de Internet dijo que la "inmensa mayoría" de las contraseñas de las cuentas robadas fueron obtenidas mediante hash con bcrypt, una operación criptográfica unidireccional que transforma los datos en un conjunto de caracteres al azar que sirve como su única representación. Se trata de una fórmula muy compleja por lo que se cree que la probabilidad de que los piratas informáticos hayan obtenido la mayoría de las contraseñas de Yahoo es muy baja.
Respecto a la minoría, la compañía no sabe con qué otro algoritmo se dedujeron las demás cuentas. Lo único que se comenta es que se puede tratar de un algoritmo más débil que bcrypt ya que no se ha especificado en el anuncio que publicaron, o en la página de preguntas frecuentes. Lógicamente, Yahoo no quiere dar esa información a los atacantes.
Tácticas y consejos
Una vez que los atacantes entran dentro del email, es muy fácil que descubran qué otras cuentas tienen los usuarios vinculadas a esa dirección. Esto lo hacen mediante la búsqueda de mensajes de bienvenida que la mayoría de los sitios web envían cuando los usuarios abren una nueva cuenta. Esto sucede debido a que la mayoría de los proveedores de correo electrónico ofrecen suficiente espacio de almacenamiento, por lo que éstos no se preocupan de borrarlos.
Entre la información que los hackers robaron, salían a la luz nombres verdaderos, números de teléfono, fechas de nacimiento y, en algunos casos, las preguntas y respuestas de seguridad descodificadas. Algunos de esos detalles son utilizados para la verificación de los bancos y, posiblemente, para las agencias gubernamentales. Se aconseja no dar la fecha real de nacimiento –ya que hay muy pocos casos en los que un sitio web la necesita- y, tampoco, dar respuestas reales a las preguntas de seguridad. De hecho, Yahoo no recomienda ni siquiera el uso de estas preguntas.
Aunque parezca increíble, otra de las tácticas que suelen usar los atacantes es el reenvío de correos electrónicos mediante una de las opciones que hay en ajustes. Esto lo hacen consiguiendo entrar en la cuenta una vez y marcando la casilla de esta opción para que ellos puedan tener copia de todos los movimientos. De esta manera, la víctima no sospechará de los inicios de sesión desde dispositivos no reconocidos y otras direcciones IP.
Más cosas a tener cuenta podrían ser no reutilizar la misma contraseña para diferentes cuentas, que las web autentifiquen a los usuarios mediante dos pasos (no solamente uno), y no fiarse de todos los correos enmascarados como notificaciones de seguridad cuyo objetivo puede ser descargarse un programa malicioso, o conseguir información personal.
