La seguridad de Yahoo queda de nuevo en entredicho

Yahoo ha detectado una cookie falsa (no desarrollada por la propia compañía) que habría permitido a intrusos acceder a cuentas de usuario sin necesidad de introducir la contraseña. Se cree que los hechos ocurrieron entre 2015 y 2016. Así se expone un correo que la compañía tecnológica ha enviado recientemente a los usuarios afectados.

¿Qué es una cookie falsa?

¿Te has percatado que a veces no es necesario introducir nuestras credenciales de acceso para acceder a un sitio web que hemos visitado anteriormente? Esto ocurre porque, de manera consciente o no, le hemos dado permiso a nuestro navegador para recordar nuestro usuario y contraseña. Esta acción es posible gracias al uso de cookies, unos pequeños archivos enviados por el sitio web y que se almacenan en el navegador. No vamos a entrar en el debate en torno a la privacidad que genera el uso de esta tecnología, pues ese tema daría para escribir un nuevo blog.

De entre todos los tipos de cookies que existen, una de las clasificaciones más comunes es entre propias y de terceros. Las primeras pertenecen y son gestionadas por el sitio web (como la que permite almacenar la contraseña) mientras que las otras recogen datos de los usuarios que el sitio web pero ni pertenecen ni son gestionadas por los responsables del mismo. Por ejemplo, en cualquier sitio que tenga instalada la herramienta Google Analytics funciona una cookie desarrollada por Google que recoge datos de las páginas que visitan los usuarios, el tiempo que pasan en cada una de ellas…

Pues la cookie que ha detectado el equipo de Yahoo no pertenece ni a una ni a otra categoría pero se hace pasar por una cookie propia. Los atacantes han falsificado una cookie que “engaña” al navegador para que este entienda que se trata de la cookie de Yahoo que almacena la contraseña. De este modo, la cookie falsa consigue almacenarse en el navegador y acceder a los datos personales del usuario.

La seguridad de Yahoo, de nuevo en entredicho

No es la primera vez que el devenir de los acontecimientos hace cuestionarse la seguridad de Yahoo. Y es que en septiembre de 2016 la propia compañía anunció en 2014 habían sido robados datos de alrededor de 500 millones de usuarios. Poco después confirmó que había sido víctima de un hackeo a gran escala en el que los atacantes habrían conseguido robar información de más de mil millones de cuentas de usuario; direcciones de correo electrónico, contraseñas, preguntas y respuestas de seguridad, entre otros datos personales.

Laura J. Vindel

Departamento de Marketing y Comunicación