El hackeo a las cuentas de Yahoo ya se considera como uno de los mayores incidentes de Ciberseguridad de la historia. Nuestro Responsable de Ciberseguridad en Necsia, Rodrigo Jiménez del Val, analiza paso a paso la cronología del ataque:

Yahoo! posee un portal de Internet, un directorio web y una serie de servicios tales como el popular correo electrónico o la información financiera proporcionada por Apple en sus dispositivos con iOS.

Pese a sus últimos malos datos financieros y de modelo de negocio, Yahoo.com es el quinto sitio más visitado de internet, según el ránking de “Alexa”. Yahoo Japan es el líder del país y posee un negocio rentable.

25 de julio de 2016

  •  El 25 de julio se cerró su compra por parte de Verizon por 4.800 millones de dólares, a pesar de que años atrás había sido valorada cerca de los 100.000 millones.
  • Fue el mismo mes de julio cuando un hacker, de nombre Peace, aseguró en la internet oscura disponer de 200 millones de cuentas de usuarios de Yahoo con su nombre, contraseña y correo electrónico. La compañía informó que estaba investigando el supuesto incidente.

 5 de septiembre de 2016 

  • La semana del 5 de septiembre Yahoo envió a la comisión del mercado de valores estadounidense (SEC) una comunicación en la que negaba cualquier tipo de incidente de ciberseguridad.

22 de septiembre de 2016

  • Sin embargo, el pasado jueves 22 de septiembre, Bob Lord, responsable de seguridad de Yahoo, anunció que a finales del 2014 sufrieron un ciberataque en el que robaron información de 500 millones de usuarios, presuntamente esponsorizado por un estado. Carta de Bob Lord.

Para tener un punto de comparación, el hackeo a LinkedIn ocurrido en 2012 afectó a 117 millones de cuentas, hace unos meses se anunció que 360 millones de cuentas de MySpace habían quedado comprometidas y en agosto 68 millones de usuarios de Dropbox.

La información robada a Yahoo incluía nombres, direcciones de correo electrónico, números telefónicos, fechas de nacimiento y, en algunos casos, preguntas de seguridad cifradas o no cifradas con sus respuestas.

23 de septiembre de 2016

El viernes 23 cayó en bolsa un 3,02%. El mismo día, Ronald Schwartz, originario de Nueva York, presentó una demanda en la corte federal de San José, California, en nombre de todos los usuarios de Yahoo en Estados Unidos cuya información personal fue comprometida.

Alcance

Según el informe Mandiant (FireEye) M-Trends 2016, las organizaciones tardan una media de 146 días en detectar un incidente. Yahoo ha tardado cinco veces más (desde septiembre del 2014 a septiembre del 2016) que la media en detectar un ciberataque, lo cual a priori indica deficiencias en los controles de seguridad implementados por la compañía.

Por otro lado, existiría negligencia en el hecho de no cifrar las preguntas de seguridad. A su vez podría haber mala praxis en la comunicación a la SEC, dado que previamente un hacker había publicado el robo de 200.000 cuentas de usuario.

“Yahoo ha tardado

cinco veces más

que la media en

detectar un ciberataque”

 

Actualmente la compañía está llevando a cabo un análisis del incidente con el fin de determinar la siguiente información: quién robó la información, desde dónde, cómo lo perpetró y a qué información tuvo acceso. Esos datos son estratégicos para la continuidad del negocio en un escenario de ciberataque. Bien gestionada permite minimizar el impacto en imagen, cumplimiento y operaciones, aunque siempre es preferible disponer de los suficientes controles para que no se materialicen incidentes basados en riesgos de fácil mitigación, tales como un plan de gestión de crisis probado con escenario de ciberataque, procesos continuos de concienciación, sistemas anti-malware no basados en firmas y el cifrado de la información sensible almacenada tales como las contraseñas así como las preguntas de seguridad.