Treinta y dos millones, esa es la cifra barajada en esta ocasión por el informe de seguridad expuesto por la Comisión Nacional del Mercado de Valores (SEC por sus siglas en inglés) de Estados Unidos. La investigación ha puesto de manifiesto que las cuentas de usuario han sido vulneradas gracias a un ataque denominado cookie-forging que permite a los hackers acceder a las cuentas sin tener que proporcionar usuario o contraseña. Este nuevo fallo de seguridad solo agrava una situación tensa por parte de la compañía. Yahoo! ya sufrió dos fallos masivos que han comprometido las cuentas de 1.500 millones de personas en los tres últimos años. La Comisión Nacional del Mercado de Valores ha acusado a varios miembros directivos de fallar en sus obligaciones para con los usuarios al no comprender ni valorar los fallos de seguridad anteriores.
Cookie-forging attack
"En los pasados noviembre y diciembre de 2016, anunciamos que expertos forenses externos estaban investigando la creación de cookies falsas [forged cookies] que podrían permitir a un intruso acceder a las cuentas de los usuarios sin necesidad de contraseña. Sobre la base de la investigación, creemos que "terceros" no autorizados han accedido al código propietario de la compañía para aprender a diseñar dichas cookies. Los forenses han identificado aproximadamente 32 millones de cuentas de usuario para las que creen que se emplearon las cookies falsas para hackearlas entre 2015 y 2016. Creemos que parte de esta actividad está relacionada con el mismo "actor" responsable del incidente de seguridad de 2014. Las cookies falsas ya han sido invalidadas por la compañía para que no se puedan usar y poner en peligro las cuentas de usuario de nuevo".
Tal y como explican en el informe, en el hackeo de Yahoo! se ha empleado una sofisticada técnica denominada cookie-forging attack en las que se han empleado cookies, o pequeños fragmentos de información almacenada para "engañar" al sitio web. Las cookies se guardan para comodidad del usuario. Por ejemplo, permiten acceder a un sitio tras pasar cierto tiempo sin que tengamos que volver a identificarnos. También nos ayudan a recuperar datos sin que tengamos que introducirlos de nuevo. En este ataque, los supuestos hackers han empleado dichas piezas informáticas para vulnerar la seguridad del usuario de manera que la web de Yahoo! creyese que en realidad se encontraba ante un usuario que había entrado previamente a ver su cuenta. Esta posibilidad lleva discutiéndose desde tiempo atrás, cuando diversos expertos señalaron el peligro potencial que suponen las cookies para la seguridad.
Para que lo entendamos, cuando estamos navegando solemos aceptar las cookies de los sitios que visitamos. Sus principales funciones son el llevar el control de los usuarios, recoger información sobre sus hábitos de navegación y almacenar información para agilizar los trámites. El propósito general de las cookies es, normalmente, crear un entorno más cómodo de navegación. Así, cuando nos identificamos una vez en una cuenta de Yahoo! no hace falta volver a hacerlo mientras navegamos por la página a no ser que nos salgamos conscientemente. El pedazo de información que guarda nuestra identificación (o la orden que le indica a la página que ya nos hemos identificado) es la cookie. El hackeo de falseo de cookies utiliza cookies robadas (algo relativamente sencillo) e inyección de cookies para engañar al servidor diciéndole que en realidad, el hacker, estaba ya identificado, por lo que no le solicita la clave de usuario, pudiendo acceder a toda la información privada de la cuenta o, incluso, modificarla sin problemas.
Y ya van tres
Este incidente ha sido ampliamente denunciado por la SEC debido a los anteriores ataques de 2013 y 2014 que vulneraron la cuenta de más de 1.500 millones de usuarios. Lo más crítico es que en las anteriores ocasiones, las cookies también jugaron un papel importante en el hackeo.
"Un comité independiente ha encontrado que estos fallos en la comunicación, administración, investigación e información interna han contribuido a la falta de comprensión y el manejo de situación a partir del incidente de 2014".
Con estas palabras, el comité acusa a los directivos de no haber tomado las cartas adecuadas en el asunto a pesar de haber vivido ya los fallos de seguridad anteriores. Y todo esto tras la declaración de la compañía de estar al tanto y haber tomado las medidas oportunas tras el ataque de 2014. Marissa Mayer, actual CEO de Yahoo!, ha declarado en un mensaje de su propio Tumblr que está al corriente de la gravedad del asunto y que, a pesar de haber tratado de poner medidas para remediar el potencial problema, va a tomar responsabilidad del fallo. Esto se traduce en que la CEO rechazará este año parte de sus ganancias y que las repartirá entre los trabajadores de Yahoo!. Mientras tanto, la SEC ha solicitado evidencias que prueben la legitimidad de la decisión de retener la información ante los inversores, con las duras consecuencias que esto podría tener para la compañía.