El 14 de diciembre de 2016, Yahoo anunció que, según su análisis de los archivos de datos proporcionados por las autoridades policiales, la compañía concluyó que un tercero no autorizado robó datos asociados con algunas cuentas de usuarios en agosto de 2013. Además de incluir un aviso público en su sitio web y publicar una nota de prensa, Yahoo notificó a los usuarios que identificó en ese momento como posibles afectados. Recientemente hemos obtenido información adicional y, después de analizarla con ayuda de expertos forenses externos, hemos identificado más cuentas de usuarios que se vieron afectadas. En este momento estamos notificando a los usuarios de estas cuentas adicionales.

Según un análisis de la información realizado con ayuda de expertos forenses externos, Yahoo ha determinado que es probable que se vieran afectadas todas las cuentas que existían en el momento del robo en agosto de 2013.

Es importante subrayar que, en relación con el anuncio de diciembre de 2016 de Yahoo sobre el robo de agosto de 2013, Yahoo tomó medidas para proteger todas las cuentas. La compañía solicitó a todos los usuarios que no habían cambiado sus contraseñas desde el momento del robo que lo hicieran. Asimismo, Yahoo invalidó las preguntas y respuestas de seguridad desencriptadas para que no pudieran utilizarse para acceder a las cuentas.

En cuanto a las cuentas afectadas, la información de la cuenta de usuario robada podía incluir nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas cifradas con hash (mediante MD5) y, en algunos casos, preguntas y respuestas de seguridad encriptadas o desencriptadas. Según la investigación, la información robada no incluía ni contraseñas en texto sin cifrar, ni datos de tarjetas de pago ni información de cuentas bancarias. Los datos de tarjetas de pago y la información de cuentas bancarias no se almacenan en el sistema que la compañía cree que se vio afectado.

Sí, no se trata de un problema nuevo. Esta notificación de octubre de 2017 hace referencia al mismo robo de datos que Yahoo anunció el 14 de diciembre de 2016.

Yahoo notificó anteriormente a los usuarios de las cuentas que cree que se vieron afectadas por actividades de falsificación de cookies. No se enviarán más notificaciones en cuanto a la falsificación de cookies con motivo de esta actualización. Es posible que algunos usuarios de cuentas adicionales a los que estamos notificando ahora acerca del robo de datos de agosto de 2013 hayan recibido una notificación anterior sobre la actividad de falsificación de cookies si Yahoo creyó que se utilizó o guardó una cookie falsificada en relación con su cuenta.

El cifrado con hash es una función matemática unidireccional que convierte una cadena de datos original en una cadena de caracteres aparentemente aleatorios. Como tal, las contraseñas que se han cifrado con hash no se pueden revertir a la contraseña en texto sin cifrar original. Cuando ocurrió el incidente de agosto de 2013, Yahoo utilizaba MD5 para cifrar con hash las contraseñas. Yahoo empezó a actualizar nuestra protección de contraseñas a bcrypt el verano de 2013. Bcrypt es un mecanismo para el cifrado con hash de contraseñas que incorpora funciones de seguridad, como salt y múltiples fases de computación, para ofrecer una protección avanzada contra el craking de contraseñas.

Haz clic aquí para ver el contenido de nuestro aviso a los usuarios potencialmente afectados. Ten en cuenta que en el mensaje de correo electrónico de Yahoo sobre este problema, aparecerá el icono de Yahoo cuando se visualice a través del sitio web de Yahoo o la aplicación de Yahoo Mail. Es importante destacar que, en el mensaje de correo electrónico, no se te pide que hagas clic en ningún enlace, no contiene archivos adjuntos ni tampoco se te solicita información personal. Si algún mensaje de correo electrónico recibido en relación con este problema te solicita que hagas clic en un enlace, que descargues un archivo adjunto o te pide información, significa que no ha sido enviado por Yahoo y puede ser un intento de robo de tus datos personales. Evita hacer clic en enlaces y no descargues archivos adjuntos de estos mensajes de correo sospechosos.

En cuanto al anuncio de diciembre de 2016, Yahoo tomó medidas para proteger a los usuarios más allá de los que se identificaron en el momento como posibles afectados. En particular:

• Yahoo solicitó a los posibles usuarios afectados que cambiaran sus contraseñas.
• Yahoo también solicitó a todos los demás usuarios que no habían cambiado sus contraseñas desde el momento del robo que lo hicieran.
• Yahoo invalidó las preguntas y respuestas de seguridad desencriptadas para que no pudieran utilizarse para acceder a las cuentas.

Seguimos colaborando estrechamente con las autoridades policiales y mejorando nuestros sistemas y defensas para detectar y evitar accesos no autorizados a las cuentas de los usuarios.

Puedes cambiar tu contraseña de Yahoo o desactivar tus preguntas y respuestas de seguridad haciendo clic aquí. En relación con el anuncio de diciembre de 2016, solicitamos a todos los usuarios que no habían cambiado sus contraseñas desde el momento del robo que lo hicieran. También invalidamos las preguntas y respuestas de seguridad desencriptadas para que no pudieran utilizarse para acceder a una cuenta.

Si bien Yahoo ya ha tomado medidas para ayudar a proteger las cuentas de los usuarios, es conveniente que nuestros usuarios apliquen las siguientes recomendaciones de seguridad:

• Cambia tus contraseñas y preguntas y respuestas de seguridad de todas aquellas cuentas en las que hayas usado la misma información que en Cuenta de Yahoo o similar.
• Revisa tus cuentas para detectar cualquier actividad sospechosa.
• Ten cuidado con aquellas notificaciones no solicitadas en que te pidan información personal o que te redirijan a una página web en la que se te pida información personal.
• Evita hacer clic en enlaces y no descargues archivos adjuntos de mensajes de correo sospechosos.

Además, te sugerimos que utilices Clave de cuenta de Yahoo , una herramienta de autenticación sencilla que elimina por completo la necesidad de utilizar contraseñas en Yahoo.

Aunque la información de las cuentas de usuarios robada no incluía contraseñas en texto sin cifrar, detalles de tarjetas de pago ni datos de cuentas bancarias desprotegidos, te recomendamos que estés alerta y que revises tus extractos de cuenta y tus informes de crédito.

Para obtener más información sobre la protección de tu información personal, puedes ponerte en contacto con la oficina de la Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés), que es la autoridad reguladora de Yahoo! EMEA Limited, tu proveedor del servicio Yahoo Mail. Encontrarás la información de contacto de la DPC a continuación:

Data Protection Commissioner
Canal House
Station Road
Portarlington
R32 AP23 Co. Laois
Irlanda
https://www.dataprotection.ie/docs/Contact-us/b/11.htm

También puedes ponerte en contacto con tu autoridad local de protección de datos para obtener más información sobre la protección de tu información personal en http://www.agpd.es/portalwebAGPD/index-iden-idphp.php.

Para obtener más información, o si necesitas ayuda con tu cuenta, consulta es.ayuda.yahoo.com , donde encontrarás la información más reciente y tendrás la opción de contactar directamente con el servicio de atención al cliente. NO CONTACTES con ningún otro servicio de atención aparte de los ofrecidos por Yahoo, en especial con proveedores de servicios de atención que te cobren una comisión por sus servicios. Yahoo no cobra por el servicio de atención de sus cuentas. Ten en cuenta que todos los canales de Yahoo atienden mediante es.ayuda.yahoo.com.