Dependiendo de la información proporcionada por los usuarios, se trataría de su identificador para inicio de sesiones, dirección de correo electrónico, número telefónico, fecha de nacimiento y contraseña. La intrusión habría ocurrido en agosto de 2013; es decir, antes del incidente de 2014, que la empresa finalmente “confesó” en septiembre de este año. En esa oportunidad, la situación afectó a 500 millones de cuentas de usuarios.
Al ser publicada con tanta tardanza, la nueva revelación de Yahoo en principio sólo dejaría de manifiesto, nuevamente, la indiferencia de la empresa frente a la seguridad de sus usuarios, y su necesidad de ser informados cuando sus datos personales quedan en manos de desconocidos. Sin embargo, lo que da un carácter especial a la nueva confesión de Yahoo es que las contraseñas utilizadas para la intrusión de 2013 utilizaban el algoritmo MD5 (abreviatura de Message-Digest Algorithm 5, o Algoritmo de Resumen del Mensaje 5). En su artículo sobre MD5, Wikipedia escribe: “A pesar de haber sido considerado criptográficamente seguro en un principio, ciertas investigaciones han revelado vulnerabilidades que hacen cuestionable el uso futuro del MD5”, agregando que en agosto de 2004; es decir, hace 12 años, un grupo de investigadores anunció el descubrimiento de colisiones de hash para MD5. “Su ataque se consumó en una hora de cálculo con un clúster IBM P690”.
Diario TI conversó con Jonathan Care, director de investigación en Gartner, quien puso el énfasis en que las contraseñas como tecnología de autenticación están llegando rápidamente a la obsolescencia. “Ante ello, estamos viendo un número cada vez mayor de organizaciones de Internet que utilizan señales de familiaridad y biometría de comportamiento para autenticar a sus usuarios”.
Respecto del caso de Yahoo, Care considera preocupante que la empresa no haya sido capaz de explicar todos los aspectos asociados a la intrusión. “La implicaciones que Yahoo no ha implementado analítica eficaz, ni tampoco sistemas o procesos de detección y respuesta”, señaló el experto.
Jonathan Care, Director de Investigación en Gartner.
“Por lo que sabemos, los atacantes utilizaron la táctica de usurpación de cookie, pass-the-hash y probablemente habría un actor estatal involucrado. MD5 es vulnerable frente a los ataques de tipo ‘colisión’, lo que implica que un atacante puede identificar una cadena de caracteres que coincidirán con el hash o contraseña cifrada. MD5 es totalmente obsoleto, lo que es indicativo de una práctica preocupante por parte de Yahoo en cuanto a políticas sobre la seguridad de su software, o el de sus proveedores”.
Consultado por Diario TI si esta situación podría afectar la confirmación de la adquisición de la empresa por parte de Verizon, Jonathan Care comentó: “indudablemente habrá un impacto en la adquisición propuesta, y los mercados ya están reaccionando frente a la noticia. Resulta inquietante que haya tomado tanto tiempo antes que Yahoo diera a conocer la información, especialmente a la luz de las leyes que regulan la entrega de este tipo de información en Estados Unidos y en otros países”.
Jonathan Care, director de investigación en Gartner, presentó finalmente la siguiente reflexión: “una de las lecciones aprendidas es que ya no podemos decir que si nos atacan tenemos mala suerte. La realidad es que todos estamos en la mira de los atacantes”.
