Primero fue la revelación – en Septiembre pasado – de que cerca de 500 millones de cuentas de correo de usuarios de Yahoo! Mail habían sido comprometidas y sus logins y passwords robados en un ataque que se dio en 2014 pero que la compañía no identificó sino un año después.
Tres meses después la compañía hizo saber que en un ataque diferente otro bache de cuentas, este de cerca de 1000 Millones, habían sido robadas en Agosto del 2003, un año antes del ataque ya reportado. Logins, passwords, nombres, números de teléfono, fechas de nacimiento e incluso, en algunos casos, hasta las preguntas y respuestas de seguridad utilizadas para validar la identidad de los usuarios (aunque estas estaban encriptadas).
La pesadilla máxima. La información con la que cualquier hacker puede suplantar la identidad de sus víctimas, no solo en la plataforma de Yahoo! sino en cualquier outlet digital.
Y para cerrar con broche de oro, esta semana se conoció que Yahoo! ha comenzado a informar a algunos de sus usuarios de un sofisticado ataque utilizando cookies falsas, que por sus características permitiría al atacante obtener acceso a las cuentas de los usuarios sin necesidad de conocer su clave de acceso.
“Our outside forensic experts have been investigating the creation of forged cookies that could allow an intruder to access users’ accounts without a password. Based on the ongoing investigation, we believe a forged cookie may have been used in 2015 or 2016 to access your account.” – Mail de Yahoo!
Aún no se sabe cuantos usuarios han sido afectados por esta nueva falla de seguridad. Lo que si sabe es que este es un ataque de tipo state-sponsored, perpetrado con la ayuda y complacencia de un gobierno extranjero y que la compañía, que está en proceso de venta a Verizon está utilizando un equipo de forense externo, posiblemente como parte del Due Diligence asociado al proceso de compra.
Así que si usted tuvo una cuenta de Yahoo! Mail entre el 2012 y el 2016 lo invito a que cambie todos sus passwords y preguntas de seguridad en todas sus plataformas de correo, redes sociales, bancarias y demás asegurando utilizar combinaciones que no haya utilizado antes.
Ahora bien, si a pesar de todo esto la sigue usando, lo invito a recapacitar y a tomar medidas inmediatamente pues no es sólo usted quien está en peligro. Somos todos a quienes nos tenga dentro de sus contactos los que corremos riesgos.