Hasta el momento se había hablado siempre de 1.000 millones de cuentas de Yahoo «vulneradas», y ya con esa cifra se trataba del mayor robo de datos registrado. Sin embargo, recientemente se recibió información que apuntaba a un mayor número de cuentas afectadas, según explicó Verizon: 3.000 millones.
Entre los datos robados no se encontraban ni contraseñas sin texto codificado ni información sobre tarjetas de crédito o cuentas bancarias, aseguró la empresa.
Según la información obtenida hasta ahora, los atacantes tuvieron acceso a nombres, cuentas de correo electrónico, números de teléfono y contraseñas indescifrables. El problema es que también podrían haberse visto afectadas las respuestas a las preguntas de seguridad que debe responder el usuario cuando ha olvidado su contraseña y que también podrían aparecer en otras webs.
Yahoo destacó que el año pasado se repusieron todas las respuestas no cifradas de todas las cuentas.
Aún sigue sin estar claro cuántas cuentas pertenecían a un usuario activo en el momento del ataque. Las cuentas afectadas formaban parte de varios servicios de Yahoo.
La empresa supone que tras el ataque se encontraban hackers relacionados con organismos estatales, aunque no mencionó ningún país en particular. Sin embargo, en la mayoría de los casos, con este tipo de formulación se suelen referir a atacantes rusos o chinos.
Yahoo admitió el año pasado haber sufrido un hackeo en 2014 en el que se vieron comprometidos 500 millones de cuentas. Y poco después se dio a conocer el ataque de 2013.
La revelación de la información condujo a que el valor de compra de Yahoo se redujera en 350 millones de dólares. Aun así Verizon pagó casi 4.500 millones de dólares, mientras que la presidenta en aquel momento de Yahoo, Marissa Mayer, renunció a bonificaciones.
Se descubrió que el ataque había tenido una mayor envergadura cuando se integró el sistema de Yahoo en Verizon, según explicó esta empresa.
En Estados Unidos ya se presentaron varias decenas de demandas de usuarios por el robo de datos. Una investigación interna concluyó que aunque el ataque se descubrió en 2014, los responsables no reconocieron su alcance.
Aunque el hackeo de Yahoo afectó al mayor número de usuarios, el reciente ciberataque a la agencia de información económica Equifax podría tener incluso peores consecuencias, puesto que podrían haber robado el número de la seguridad social de los 145,5 millones de estadounidenses afectados -más del 40% de la población-. En Estados Unidos uno se puede identificar con ese número para cerrar un contrato.
Además, los atacantes también tuvieron acceso a nombres, fechas de nacimiento y direcciones. La combinación de estos cuatro datos puede abrir muchas puertas a los timadores, por ejemplo al solicitar un crédito a nombre de otra persona.
Según los datos del ex director ejecutivo de Equifax Richard Smith, el robo de datos se debió al error de un trabajador. Por un fallo humano no se envió en marzo la información de un agujero de seguridad a los departamentos responsables, explicó Smith, quien compareció el martes en el Congreso estadounidense. Por esa razón, la vulnerabilidad quedó sin reparar.
Sin embargo, según dijo Smith, también falló un software de seguridad que al escanear el sistema hace meses no registró el problema.
Fuente: DPA