igor - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Yahoo bajo fuego por la brecha de datos que afecta a 500 millones de usuarios

Yahoo está bajo fuego por no detectar y notificar a los usuarios antes, en la mayor violación de datos personales hasta la fecha.

Yahoo ha sido objeto de críticas por no informar a los usuarios previamente de una violación de datos en 2014, que dejó al descubierto datos personales de "al menos" 500 millones de usuarios.

Se cree que la brecha es la mayor informada públicamente de su tipo hasta la fecha, superando el récord anterior de poco más de 359 millones de datos de usuarios expuestos en una brecha de MySpace en 2008.

Yahoo también ha sido criticado por los laxos procesos de seguridad, al tomar tanto tiempo para detectar y confirmar la brecha internamente, y por no cifrar todas las preguntas y respuestas de seguridad.

El guardián de la privacidad del Reino Unido, la Oficina del Comisionado de Información (ICO), ha indicado que se investigará la violación para entender el impacto en los ciudadanos del Reino Unido.

El comisionado de información, Elizabeth Denham, dijo que el número de personas afectadas por la brecha es "sorprendente" y demuestra cuán severas pueden ser las consecuencias de un hackeo de seguridad.

"Las autoridades de Estados Unidos estarán buscando localizar a los hackers, pero es nuestro trabajo hacer preguntas serias a Yahoo en nombre de los ciudadanos británicos y yo estoy haciendo eso”.

"Todavía no conocemos todos los detalles de cómo ocurrió este hackeo, pero hay un mensaje aleccionador e importante aquí para las empresas que adquieren y manejan datos personales. La información personal de la gente debe ser protegida de forma segura bajo llave y clave, y esa clave debe ser imposible de encontrar para los hackers", dijo.

Los primeros indicios públicos de una brecha en Yahoo surgieron en agosto de 2016, cuando un hacker conocido como "Peace" estaba presuntamente intentando vender datos de 200 millones de cuentas de Yahoo.

La firma de internet ha confirmado ahora que una "investigación reciente" reveló que los datos comprometidos pueden haber incluido los nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hash, y algunas preguntas y respuestas de seguridad cifradas o no cifradas.

Los encargados de investigar la brecha dicen que los datos comprometidos no parecen haber incluido datos de tarjetas de pago, o información de cuentas bancarias.

Yahoo dijo que la brecha parece haber sido llevada a cabo por un "agente patrocinado por un estado", pero no hay evidencia de que los hackers están todavía en la red de Yahoo y la empresa está trabajando estrechamente con la policía.

La compañía está notificando a todos los usuarios que puedan verse afectados e instándoles a que cambien sus contraseñas y consideren el uso de Yahoo Account Key, una herramienta de autenticación diseñada para eliminar las contraseñas.

A los usuarios potencialmente afectados también se les está recomendando que cambien su contraseña y las preguntas y respuestas de seguridad para cualquier otra cuenta que utiliza la misma información utilizada para su cuenta de Yahoo.

Yahoo ha invalidado preguntas y respuestas de seguridad sin cifrar para que no se puedan usar para acceder a una cuenta.

"Un mundo cada vez más conectado ha llegado con amenazas cada vez más sofisticadas. Industria, el gobierno y usuarios están constantemente en la mira de los adversarios", dijo Bob Lord, director de seguridad de la información en Yahoo.

"A través de iniciativas de detección proactiva estratégicas y respuesta activa al acceso no autorizado de las cuentas, Yahoo seguirá esforzándose para mantenerse por delante de estas amenazas en línea en constante evolución, y para mantener a nuestros usuarios y nuestras plataformas seguros", escribió en un blog.

Las empresas deben ‘aprender de los errores’

Si bien Yahoo ha confirmado que la brecha se produjo a finales de 2014, no ha dejado claro exactamente cuándo se tuvo conocimiento de la brecha, dijo Keatron Evans, investigador senior de seguridad de Blink Digital Security.

"Si sucedió en 2014, y la compañía ha sabido sobre ello durante los últimos dos años, ¿entonces por qué ha tomado tanto tiempo para revelar el alcance de la brecha? Esta lenta respuesta podría convertirse en una pesadilla de relaciones públicas que daña la reputación de la empresa", dijo.

"Va a mostrar lo difícil que puede ser determinar la causa raíz de un ataque que ha pasado meses o incluso años en el pasado sin el entrenamiento y las herramientas adecuadas".

Lo único que está claro en este punto, dijo Evans, es que todas las empresas tienen que aprender de los errores de Yahoo mediante el establecimiento de un plan robusto de remediación post-brecha, que tiene las herramientas para investigar más rápido las violaciones.

"Hay aparatos en el mercado que ayudan a automatizar y acelerar el proceso de análisis forense, así que ninguna empresa del tamaño de Yahoo tiene el lujo de dejar a los clientes colgando por meses sin la información adecuada o un plan de acción correctiva", dijo Evans.

Troy Gill, director de investigación de seguridad en AppRiver, dijo: "La triste realidad es que esta es la última de una larga lista de organizaciones que han sido tomadas por sorpresa cuando se trata de proteger los datos de los clientes, y no creo que hayamos visto la última confesión todavía”.

"De hecho, a medida que la tecnología se infiltra en todas las facetas de nuestras vidas, solo estamos abriendo la puerta para que este tipo de eventos sean más frecuentes y, con toda probabilidad, más impactantes”.

"Yo estaría interesado en conocer los hallazgos de Yahoo cuando supuestamente investigaron los 200 millones de registros que estaban a la venta en la web oscura. ¿Se confirmaron los registros como válidos? Si es así, ¿por qué tomó tanto tiempo para informar a los usuarios de la brecha y por qué no se forzó el restablecimiento de contraseñas antes?

"Mantener los datos de los clientes seguros debe ser una prioridad para todas las empresas. Un hacker determinado puede ser difícil de detectar, pero las organizaciones tienen que comprometerse a endurecerse a sí mismas ante este tipo de ataques. Esta brecha sirve como una dura advertencia para todas las organizaciones, de que ninguna empresa es un objetivo demasiado grande o demasiado pequeño", dijo.

La ignorancia no es la respuesta

Michael Lipinski, CISO y estratega jefe de seguridad en Securonix, dijo que la brecha de Yahoo es el ejemplo perfecto de que algunas organizaciones ya tienen una brecha, pero simplemente no lo saben todavía.

"No podemos seguir aceptando este nivel de ignorancia como lo mejor que podemos hacer", dijo, y agregó que no cree que tomó dos años para encontrar la brecha.

"Con la adquisición de Verizon en proceso, hay esta cosa llamada debida diligencia que pasa. Creo firmemente que esto está saliendo a la luz solo ahora, debido a la diligencia debida. Creo que alguien sabía de esto antes", dijo Lipinski.

"Si hubo un encubrimiento o si esta brecha no fue descubierta por dos años, este es un gran fracaso del equipo de Yahoo por no ser capaz de identificar esto mucho antes", dijo.

Lipinski dijo que el equipo de seguridad de Yahoo parece estar tratando de desviar el riesgo para los usuarios diciendo que las contraseñas fueron desmenuzadas usando bcrypt.

"Pregúnteles cómo funcionó eso para Ashley Madison. Utilizaron la misma sal hash y los hackers encontraron un trabajo en torno a los métodos de fuerza bruta de craquear la contraseña", dijo.

Prácticas de seguridad cotidianas

Jes Breslaw, director europeo de estrategia en Delphix, dijo que la brecha de Yahoo subraya la importancia de incorporar una fuerte seguridad de datos en las prácticas cotidianas.

"Una y otra vez, hemos visto las amplias implicaciones de una brecha de datos. La confianza del consumidor recibe un golpe, las reputaciones se dejan por los suelos y los dedos apuntan a los responsables de la salvaguardia de la organización ante los ataques", dijo.

"Sin embargo, a pesar del creciente número de escándalos globales, nuestra investigación muestra que solo una cuarta parte de los datos en el Reino Unido se enmascaran”.

"Tradicionalmente, las organizaciones son muy buenas en tomar medidas para proteger los datos en sus sistemas de producción, tales como sus sitios web, pero se olvidan de proteger la información sensible mantenida en sus entornos no productivos donde ocurren las pruebas de TI y el desarrollo.

"En un panorama de amenazas en evolución, las organizaciones preocupadas por los datos necesitan asegurar que la seguridad de datos esté incrustada en las prácticas cotidianas. Lo que se necesita es un proceso irreversible que ofusque la información personal, pero  garantice que los datos ficticios siguen estando disponibles, para que las organizaciones pueden dar prioridad a la seguridad, pero asegurar que los procesos de desarrollo siguen sin obstáculos”.

"Adoptar las nuevas tecnologías –incluyendo aquellas que combinan la virtualización de datos con el enmascaramiento de datos– asegura que las organizaciones pueden seudonimizar datos una vez y garantizar que todas las copias posteriores tienen aplicadas las mismas políticas de protección. Esto pondrá el negocio a prueba de futuro respecto a las brechas de datos costosas, y garantizará el cumplimiento al tiempo que mejora la agilidad y el tiempo de comercialización", dijo Breslaw.

Próximos pasos

Revise también:

El sitio comercial de Acer tuvo una brecha de datos de clientes

Nueva brecha en internet: 1,200 millones de credenciales robadas por grupo ruso

Dropbox implementa doble autentificación tras la brecha de seguridad

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close