Yahoo! confirmó hoy una brecha de seguridad que ocurrió en 2014 y que afectó a 500 millones de usuarios, lo que permitió a hackers acceder a información personal, incluidas contraseñas cifradas.

Un comunicado de prensa de Yahoo! fue el que confirmó la noticia, esto después de que en la mañana surgieran reportes de que la compañía daría a conocer información oficial sobre el hackeo en el transcurso del día.

Este robo de credenciales de 500 millones de usuarios representa una de las mayores violaciones de privacidad que haya golpeado a una empresa estadounidense. Al respecto, Yahoo! dijo lo siguiente:

«Una investigación reciente de Yahoo! ha confirmado que una copia de cierta información de cuentas de usuario fue robada de la red de la empresa a finales de 2014 por quien creemos fue un actor patrocinado por el Estado.

La información de las cuentas pudo haber incluido nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas cifradas con bcrypt y, en algunos casos, preguntas y respuestas de seguridad».

Yahoo! señala que ninguna información de pago, como tarjetas de crédito asociadas, fue robada. A pesar de que algunas de las contraseñas robadas pueden estar cifradas, volcados de datos de este tipo tienden a ser descifrados con razonable rapidez.

La declaración continúa confirmando el alcance del hackeo. La compañía cree que la información robada está asociada con al menos 500 millones de cuentas de usuario. Sin embargo, la empresa afirma que sus sistemas ahora son seguros y están libres de piratas informáticos.

Sobra decir que cualquier persona con una cuenta de Yahoo! debe de cambiar inmediatamente su contraseña. Aún así, la compañía mostrará una advertencia a todos los usuarios para incitarlos a hacer el cambio y de hecho, abrió una sección de preguntas y respuestas frecuentes para ayudar a las personas con el proceso.

La parte más importante de la declaración de Yahoo! no es la escala del hackeo, sino la persona detrás de él. La mayoría de las brechas de seguridad de información de usuarios son hechas generalmente por hackers que buscan obtener un beneficio económico al vender dichos datos a otros criminales, quienes los pueden usar para fraudes de identidad.

Sin embargo, los hackers patrocinados por el gobierno no tienen los mismos motivos. Ya hemos visto a varios de ellos estar vinculados a ataques del gobierno ruso dirigidos a organizaciones políticas norteamericanas con el objetivo de obtener documentos sensibles y filtrarlos para causar vergüenza.

Por ahora, muchas personas están criticando fuertemente a Yahoo! por no haber anunciado o tomado acciones con mayor prontitud, como avisar a sus usuarios para que modificaran sus contraseñas, y en su lugar preferir guardar silencio. Al parecer, el hackeo fue descubierto durante el pasado mes de agosto.

Referencias: Yahoo!, Fortune, The Guardian