Aviso de seguridad de Yahoo del 14 de diciembre de 2016

Yahoo ha identificado problemas de seguridad de los datos relacionados con ciertas cuentas de usuario de Yahoo. Yahoo ha tomado medidas para proteger las cuentas de usuario y está trabajando estrechamente con la policía.

A continuación, indicamos algunas preguntas frecuentes que proporcionan información acerca de estos problemas, así como las medidas que pueden tomar los usuarios para ayudar a proteger sus cuentas.

Para obtener información sobre el problema de seguridad de los datos del que informó la compañía el 22 de septiembre de 2016, haz clic aquí.

¿Qué ha ocurrido?

En noviembre de 2016 la policía facilitó a Yahoo archivos de datos que, según afirmó un tercero, eran datos de usuarios de Yahoo. Analizamos estos datos con la ayuda de expertos forenses externos y llegamos a la conclusión de que parece tratarse de datos de usuarios de Yahoo. Basándonos en un análisis más pormenorizado de esos datos por parte de los expertos forenses, creemos que, en agosto de 2013, un tercero no autorizado robó datos relacionados con más de mil millones de cuentas de usuario. Yahoo no ha logrado identificar la intrusión relacionada con este robo. Creemos que dicho incidente podría ser diferente del que informamos el 22 de septiembre de 2016. Estamos avisando a los usuarios que hayan podido verse afectados y hemos tomado medidas para proteger sus cuentas. Entre otras medidas, hemos solicitado a los usuarios que cambiaran sus contraseñas. Asimismo, Yahoo ha invalidado las preguntas y respuestas de seguridad desencriptadas para que no puedan utilizarse para acceder a las cuentas.

Por otro lado, nuestros expertos forenses externos han estado investigando la creación de cookies falsificadas que podrían permitir a un intruso acceder a cuentas de usuario sin necesidad de introducir la contraseña. Basándose en la investigación en curso, los expertos forenses externos han identificado cuentas de usuario en las pudieron haberse utilizado o de las que pudieron haberse extraído cookies falsificadas en 2015 o 2016. La compañía está avisando a las personas titulares de las cuentas afectadas y ha invalidado las cookies falsificadas. Hemos vinculado una parte de dicha actividad al mismo actor autorizado por el Estado sospechoso de ser el responsable del robo de datos del que informamos el 22 de septiembre de 2016.

¿Se ha visto mi cuenta afectada por el incidente de agosto de 2013?

Estamos avisando a los usuarios que hayan podido verse afectados y publicando más información en nuestra página web. Además, estamos tomando medidas para proteger las cuentas de usuario. Entre otras medidas, hemos solicitado a los usuarios que cambiaran sus contraseñas. Asimismo, Yahoo ha invalidado las preguntas y respuestas de seguridad desencriptadas para que no puedan utilizarse para acceder a las cuentas.

¿Se ha visto mi cuenta afectada por la falsificación de cookies?

Basándose en la investigación en curso, los expertos forenses externos han identificado cuentas de usuario en las pudieron haberse utilizado o de las que pudieron haberse extraído cookies falsificadas en 2015 o 2016. La compañía está avisando a las personas titulares de las cuentas afectadas y ha invalidado las cookies falsificadas.

¿Qué información se sustrajo en el incidente de agosto de 2013?

En cuanto a las cuentas que hayan podido verse afectadas, la información de la cuenta de usuario robada puede incluir nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas cifradas (mediante MD5) y, en algunos casos, preguntas y respuestas de seguridad encriptadas o desencriptadas. Según la investigación, la información robada no incluía ni contraseñas en texto claro, ni datos de tarjetas de pago ni información de cuentas bancarias. Los datos de tarjetas de pago y la información de cuentas bancarias no se almacenan en el sistema que la compañía cree que se vio afectado.

¿Qué es una contraseña "cifrada"?

El cifrado es una función matemática unidireccional que convierte una cadena de datos original en una cadena de caracteres aparentemente aleatorios. Como consecuencia, las contraseñas que han sido cifradas no se pueden reconvertir en la contraseña original de texto sencillo. Cuando ocurrió el incidente de agosto de 2013, utilizábamos MD5 para cifrar las contraseñas. Empezamos a actualizar nuestra protección de contraseñas a bcrypt el verano de 2013. Bcrypt es un mecanismo para el cifrado de contraseñas que incorpora funciones de seguridad, como salt y múltiples fases de computación, para ofrecer una protección avanzada contra el crackeo de contraseñas.

¿Qué tipo de información se ha visto afectada por la falsificación de cookies?

Las cookies falsificadas podrían permitir a un intruso acceder a cuentas de usuario sin necesidad de introducir la contraseña. Según una investigación en curso de Yahoo, creemos que un tercero no autorizado accedió a nuestro código patentado para averiguar cómo falsificar cookies. Los expertos forenses externos han identificado cuentas de usuario en pudieron haberse empleado o de las que pudieron haberse extraído cookies falsificadas. La compañía está avisando a las personas titulares de las cuentas afectadas y ha invalidado las cookies falsificadas.

¿Qué es una “cookie”?

Una cookie es un pequeño fragmento de información que se almacena en un ordenador con el fin de identificar un navegador web durante sus interacciones en sitios web. Los sitios web utilizan cookies para recordar y reconocer detalles de los visitantes como, por ejemplo, las preferencias de sitios web. Para obtener más información sobre las prácticas de Yahoo relacionadas con cookies y tecnologías similares, haz clic aquí.

¿Están relacionados estos incidentes con el robo de datos anunciado por Yahoo el 22 de septiembre de 2016?

Creemos que el incidente de agosto de 2013 podría ser diferente del que anunciamos el 22 de septiembre de 2016.

Hemos vinculado una parte de la actividad de falsificación de cookies al mismo actor autorizado por el Estado sospechoso de ser el responsable del robo de datos del que informamos el 22 de septiembre de 2016. Se ha enviado a los usuarios a los que se dirigió el actor autorizado por el Estado otro aviso como este aquí.

Creo que he recibido uno o más correos electrónicos relacionados con este tema. ¿Cómo saber si provienen realmente de Yahoo?

Para obtener Ayuda relativa al aviso de seguridad. Ten en cuenta que en los mensajes de correo electrónico de Yahoo sobre este tema, aparecerá el icono de Yahoo Purple icono Y cuando se consulten a través del sitio web de Yahoo o la aplicación de Yahoo Mail. Importante: En los mensajes de correo electrónico  no se te pide que hagas clic en ningún enlace, ni contienen archivos adjuntos, y tampoco se te solicita información personal. Si algún mensaje de correo electrónico recibido en relación con estos problemas te solicita que hagas clic en un enlace, que descargues un archivo adjunto o te pide información, significa que no ha sido enviado por Yahoo y puede ser un intento de robo de tus datos personales. Evita hacer clic en enlaces y no descargues archivos adjuntos de estos mensajes de correo sospechosos.

¿Qué está haciendo Yahoo para proteger mi cuenta?

Hemos tomado las siguientes medidas para proteger a nuestros usuarios:

  • Estamos solicitando a los usuarios que hayan podido verse afectados que cambien sus contraseñas.
  • Hemos invalidado las preguntas y respuestas de seguridad desencriptadas para que no puedan utilizarse para acceder a una cuenta.
  • Hemos invalidado las cookies falsificadas y hemos reforzado nuestros sistemas para protegerlos de ataques similares.
  • Mejoramos continuamente nuestros dispositivos de seguridad, así como los sistemas que detectan y previenen el acceso no autorizado a cuentas de usuario.

¿Cómo puedo cambiar la contraseña o desactivar las preguntas y respuestas de seguridad?

Para cambiar la contraseña o las preguntas y respuestas de seguridad de Yahoo, haz clic aquí. Estamos solicitando a los usuarios que hayan podido verse afectados que cambien sus contraseñas, y hemos invalidado las preguntas y respuestas de seguridad desencriptadas para que no puedan utilizarse para acceder a una cuenta.

¿Hay algo que pueda hacer para protegerme?

Recomendamos a todos nuestros usuarios que sigan los siguientes consejos de seguridad:

  • Cambia la contraseña y las preguntas y respuestas de seguridad de todas aquellas cuentas en las que uses la misma información que en Cuenta de Yahoo o similar.
  • Comprueba que no existe actividad sospechosa en ninguna de tus cuentas.
  • Ten cuidado con aquellas notificaciones no solicitadas en que te pidan información personal o que te redirijan a una página web en la que se te pida información personal.
  • Evita hacer clic en enlaces y no descargues archivos adjuntos de mensajes de correo sospechosos.

Además, te sugerimos que utilices la Clave de cuenta de Yahoo , una herramienta de autenticación sencilla que te evita el tener que utilizar una contraseña en Yahoo.

¿Qué pasos adicionales puedo seguir para proteger mi información?

Aunque la información de las cuentas afectadas no incluía contraseñas en texto claro, detalles de tarjetas de pago ni datos de cuentas bancarias desprotegidos, te recomendamos que estés alerta y que revises tus extractos de cuenta y tus informes de crédito.

Puedes ponerte en contacto con la Comisión Irlandesa de Protección de Datos (DPC, por sus siglas en inglés) para obtener más información sobre cómo proteger tu información personal. Encontrarás la información de contacto de la DPC a continuación:

Data Protection Commissioner
Canal House
Station Road
Portarlington
R32 AP23 Co. Laois
Irlanda

https://www.dataprotection.ie/docs/Contact-us/b/11.htm

¿Se han visto afectadas las cuentas de Tumblr?

No. Los sistemas cuyos datos se robaron en agosto de 2013 no contenían información de usuarios de Tumblr en el momento del robo. Además, Yahoo no tiene indicios de que las cookies falsificadas se utilizaran para acceder a cuentas de Tumblr.

¿Cómo pueden ayudarme con mi cuenta?

Para obtener más información, o si necesitas ayuda con tu cuenta, consulta https://es.ayuda.yahoo.com. Allí encontrarás la información más reciente y tendrás la opción de contactar directamente con el servicio de atención al cliente. NO CONTACTES con ningún otro servicio de atención aparte de los ofrecidos por Yahoo, en especial con proveedores de servicios de atención que le cobren comisión por sus servicios. Yahoo no cobra por el servicio de atención de sus cuentas. Ten en cuenta que todos los canales de Yahoo atienden mediante https://es.ayuda.yahoo.com.