Compartir
Secciones
Actualidad
Mundo
Economía
Revista
Deportes
Opinión
Planeta
Videos
Edición USA
Podcasts
Última Hora
Encuestas
Servicios
Plaza Libre
Efemérides
Cumpleaños
RSS
Horóscopos
Crucigrama
Más
Contáctanos
Sobre Diario Libre
Aviso Legal
Versión Impresa
versión impresa
Redes Sociales
Yahoo
Yahoo

El regalo de Yahoo para los ciberdelincuentes

    Expandir imagen
    El regalo de Yahoo para los ciberdelincuentes
    Yahoo (FOTO DE ARCHIVO.)

    Las contravenciones de seguridad en 2013 tienen repercusiones que van mucho más allá de los servicios de la compañía de Internet.

    Oh, Yahoo, ¿por dónde empiezo? Solíamos estar bien en el 2004. Pero ahora estoy enojada y decepcionada. Y no soy yo, es Yahoo.

    La brecha de datos de la compañía divulgada la semana pasada, que afectó a más de un millardo de usuarios, comenzó en 2013, un año antes de que se revelara el hackeo de 500 millones de cuentas en septiembre. Ya sea que uses o no a Yahoo, desengáñate inmediatamente de cualquier noción de que esta brecha será la última. Las implicaciones son peores y van más allá de la empresa. Y no se trata sólo del número de personas afectadas.

    Esta vez Yahoo está diciendo categóricamente que todas las contraseñas de usuario afectadas se almacenaron de una manera que enloquece a todos los expertos de ciberseguridad. “¡Expertos! ¡en seguridad! ¡critican! ¡a los ejecutivos de Yahoo! ¡por! ¡utilizar! ¡códigos! ¡antiguos!”, publicó un titular en The Register, sitio web de la industria tecnología, burlándose de la puntuación corporativa de la compañía de Internet.

    Para entender tal frustración, hay que imaginarnos que una base de datos de contraseñas es como una bicicleta en un área propensa a altos niveles de robo de bicicletas, por ejemplo, una ciudad universitaria. Es importante tanto la seguridad con la que se almacena la bicicleta como cuán inutilizable es con las cerraduras.

    Como se sabe que la bicicleta — contraseñas — de Yahoo ha sido robada (de nuevo), entonces lo que importa son las cerraduras adicionales y lo fuerte que son. La fortaleza de una contraseña equivale a lo fácil que es recuperar la versión de texto sin formato que ingresas en la computadora — como hansolo81 — de la versión “hash” inutilizable que la empresa almacena. Una versión “hash” sería algo así como: 57dddf57a98dc88c64327fe6bb5b9358. Si los ladrones pueden recuperar hansolo81, pueden utilizarlo también en tu cuenta bancaria, PayPal o en cualquier otro sitio en el que uses esta contraseña o variantes predecibles de la misma, como Hansolo81, han$olo81 o hansolo82.

    Así que uno pensaría que Yahoo utilizaría cerraduras de cadena resistentes como las que utilizan los ciclistas de mensajería. Pero, en realidad, parece como si la empresa hubiera en vez atado una cinta entre la rueda delantera y el marco. En la jerga, utilizaron un método que implicaba una función llamada MD5. El sitio web de adulterio Ashley Madison y el servicio de música Last.fm cometieron el mismo error con algunas de las contraseñas de sus usuarios, y ambos sufrieron contravenciones.

    Pregúntales a los nerds de la tecnología qué piensan sobre la función MD5 y escucharás su incredulidad sobre el hecho de que cualquier compañía — mucho menos una compañía grande, basada en Internet — todavía la utilizara en 2013; que haberlo hecho es totalmente negligente; que no hay excusa para ello; y que fue desacreditada hace un par de décadas.

    En el momento de la brecha de 2014, Yahoo había casi terminado una actualización severamente atrasada a sus cerraduras, cambiando a “bcrypt”. Si está bien implementado, esto hace que su contraseña sea inutilizable para los ladrones. Pasar de 57dddf57a98dc88c64327fe6bb5b9358 a hansolo81 sería muy improbable. Por lo tanto, a pesar de que la brecha en seguridad puso a los usuarios en peligro, fue un fracaso menos épico que la brecha que se divulgó recientemente.

    Vale la pena ser claros acerca de las consecuencias de las increíblemente malas prácticas de seguridad de Yahoo tan recientemente como hace tres años: la compañía probablemente ha expuesto el mayor conjunto de datos conocidos mostrando cómo el mundo construye contraseñas. Ésta es una herramienta poderosa para adivinar cómo acceder a distintas cuentas, especialmente en los servicios que no limitan el número de intentos ni ofrecen medidas de seguridad adicionales, como la autenticación de dos factores. Y es un regalo para los delincuentes maliciosos que cada vez nos conocen más de lo que nos conocemos nosotros mismos.

    Además, Yahoo sólo puede restablecer las contraseñas en su propio servicio. No hay nada que Yahoo pueda hacer para que las personas cambien contraseñas idénticas o similares utilizadas en otros sitios.

    Además, como con el último incidente, la compañía no ha revelado cuántas preguntas y respuestas de seguridad estaban mal almacenadas. Sólo indican que los datos se mantuvieron “encriptados o no encriptados “, el último en texto legible. ¿Cuántas personas pueden recordar si alguna vez tuvieron una cuenta de Yahoo, y mucho menos qué información de seguridad utilizaron y si utilizaron esa misma información en sus otras cuentas? ¿Dónde más usó el nombre de soltera de su madre, su primera mascota, su color favorito, su escuela o su maestro?

    Las consecuencias de las malas decisiones de seguridad de la organización volverán a atormentarnos. Sólo espero que este error garrafal de Yahoo sea el peor y posiblemente el último.

    Lisa Pollack (c) 2016 The Financial Times Ltd. All rights reserved

    TEMAS -
    • Yahoo