Filtración de Datos de Yahoo (2013-2014)

byNour Waazize 2 min read
0



La filtración de datos de Yahoo, ocurrida entre 2013 y 2014, es considerada una de las mayores brechas de seguridad en la historia, afectando a más de 3,000 millones de cuentas de usuario. Esta violación no solo puso en riesgo información personal crítica, sino que también resaltó la importancia de una infraestructura de ciberseguridad robusta, revelando debilidades significativas en los sistemas de Yahoo. A continuación, se detalla un informe exhaustivo que cubre los aspectos técnicos, tácticas empleadas, fallos en la infraestructura de seguridad, la respuesta de la empresa, y las lecciones aprendidas.



Cronología de los Incidentes


Primer Incidente (2013)

  • Fecha: El ataque ocurrió en agosto de 2013, aunque no fue revelado por Yahoo hasta diciembre de 2016.
  • Impacto: Se comprometieron más de 3,000 millones de cuentas.
  • Información robada: Nombres, correos electrónicos, números de teléfono, fechas de nacimiento, contraseñas con hash (principalmente MD5) y preguntas de seguridad cifradas. No se comprometieron contraseñas en texto plano ni información financiera.

Segundo Incidente (2014)

  • Fecha: En septiembre de 2014, Yahoo fue nuevamente atacada, revelando la brecha en 2016.
  • Impacto: Se vieron afectadas 500 millones de cuentas.
  • Información robada: Nombres, direcciones de correo electrónico, contraseñas cifradas, fechas de nacimiento, números de teléfono y preguntas/respuestas de seguridad. Como en el ataque de 2013, no se comprometió información financiera.


Detalles Técnicos del Ataque


Hashing Inseguro (MD5)

  • Yahoo utilizaba el algoritmo de hashing MD5 para proteger las contraseñas, que es conocido por ser vulnerable a ataques de colisión y fuerza bruta. MD5 es un algoritmo rápido, lo que facilita que los atacantes puedan generar y verificar millones de hashes por segundo, permitiéndoles descifrar contraseñas.
  • Ataques de colisión: Las colisiones permiten que diferentes entradas generen el mismo hash, debilitando aún más la seguridad de los datos.

Acceso Mediante Phishing y Movimiento Lateral

  • Los atacantes utilizaron técnicas avanzadas de spear phishing dirigidas a empleados de Yahoo para obtener credenciales de acceso a los sistemas internos.
  • Una vez dentro de la red, probablemente utilizaron técnicas de movimiento lateral para acceder a bases de datos con información de usuario sensible. La falta de segmentación de la red y controles internos permitió que se movieran fácilmente entre servidores.
  • Escalamiento de privilegios: Los atacantes explotaron vulnerabilidades para elevar sus permisos dentro del sistema y acceder a información más crítica.

Explotación de Vulnerabilidades Zero-Day

  • Los atacantes, posiblemente patrocinados por un estado-nación (Rusia en el caso del ataque de 2014), podrían haber utilizado vulnerabilidades zero-day no conocidas públicamente para comprometer los sistemas de Yahoo. Estos exploits suelen ser utilizados por actores altamente sofisticados que buscan infiltrarse en redes sin ser detectados.

Uso de Cookies Falsificadas (Session Hijacking)

  • En el ataque de 2014, se descubrió que los atacantes usaron cookies falsificadas para obtener acceso a cuentas sin necesidad de ingresar contraseñas. Esto implicaba la creación de cookies de sesión válidas mediante la falsificación de las claves internas de Yahoo. Esto permitió eludir el proceso de autenticación por completo.


Fallos en la Infraestructura de Seguridad de Yahoo


Fallas en el Almacenamiento de Contraseñas

  • Uso de MD5: Uno de los mayores errores fue continuar usando el algoritmo de hashing MD5 mucho después de que fuera considerado inseguro. Este algoritmo permitía a los atacantes realizar ataques de fuerza bruta con facilidad.
  • Salting: Aunque Yahoo utilizaba algún tipo de cifrado para las contraseñas, es probable que no implementara adecuadamente el salting (agregar un valor aleatorio a la contraseña antes de generar el hash). Esto hizo que los hashes fueran mucho más fáciles de descifrar.

Falta de Segmentación de la Red

  • La red de Yahoo no estaba segmentada adecuadamente, lo que permitió a los atacantes moverse lateralmente una vez que obtuvieron acceso inicial. La segmentación de red es una práctica fundamental que separa diferentes partes de la infraestructura para evitar que un atacante que comprometa un sistema pueda acceder a otros sistemas internos.

Controles de Acceso Deficientes (RBAC)

  • Los controles de acceso basados en roles (RBAC) no eran estrictos, permitiendo que los atacantes obtuvieran acceso a información crítica una vez dentro. Un sistema RBAC bien implementado habría limitado el acceso a datos sensibles solo a empleados autorizados.

Falta de Monitorización y Detección de Intrusiones

  • Yahoo no contaba con un sistema adecuado de detección de intrusiones (IDS) o prevención de intrusiones (IPS) que pudiera haber alertado sobre comportamientos sospechosos o anómalos en la red. Los atacantes pudieron extraer información durante años sin ser detectados.
  • Insuficiente análisis de logs: Yahoo carecía de análisis proactivo de logs de acceso, lo que permitió a los atacantes llevar a cabo actividades maliciosas sin ser detectados.


Impacto del Ataque


Usuarios Afectados

  • 3,000 millones de cuentas comprometidas en 2013 y 500 millones en 2014, lo que afectó prácticamente a todos los usuarios de Yahoo. Los datos robados incluyeron correos electrónicos, contraseñas con hash, fechas de nacimiento y preguntas de seguridad, información que los atacantes pudieron utilizar para cometer fraudes, phishing y robo de identidad.

Acceso a Otros Servicios

  • Muchas personas reutilizan las mismas contraseñas en diferentes servicios, lo que permitió que los atacantes pudieran acceder a otras cuentas en plataformas externas usando las credenciales obtenidas de Yahoo.

Impacto en la Reputación

  • La reputación de Yahoo quedó gravemente dañada, ya que los usuarios perdieron la confianza en la capacidad de la empresa para proteger su información personal. La falta de una respuesta rápida y adecuada incrementó las críticas hacia la empresa.

Impacto Financiero

  • Yahoo estaba en proceso de ser adquirida por Verizon por 4,830 millones de dólares. Tras la revelación de la magnitud de los ataques, Verizon renegoció el precio y redujo la oferta en 350 millones de dólares.
  • Yahoo enfrentó varias demandas colectivas, y en 2018 acordó pagar 85 millones de dólares para resolver litigios relacionados con la filtración de datos.


Respuesta y Gestión del Incidente


Retraso en la Notificación

  • Una de las críticas más serias fue el retraso en la divulgación del incidente. Yahoo no reveló públicamente la filtración de 2013 hasta 2016, tres años después del ataque. De manera similar, la brecha de 2014 no fue revelada hasta dos años después. Este retraso generó una fuerte condena pública y socavó aún más la confianza en la empresa.

Acciones Posteriores

  • Yahoo instó a sus usuarios a cambiar sus contraseñas y revisar sus preguntas de seguridad.
  • Se implementaron medidas adicionales de seguridad, incluyendo la autenticación de dos factores (2FA), que anteriormente no estaba disponible para la mayoría de los usuarios.


Lecciones Técnicas y Medidas de Corrección


Mejora en la Protección de Contraseñas

  • Tras el incidente, Yahoo adoptó bcrypt para el almacenamiento de contraseñas, un algoritmo de hashing mucho más seguro y resistente a ataques de fuerza bruta. Bcrypt es un algoritmo de hashing adaptativo que requiere más tiempo y recursos computacionales para generar y verificar un hash, lo que hace que los ataques de fuerza bruta sean menos viables.

Segmentación de la Red

  • Yahoo revisó su arquitectura de red para garantizar una segmentación adecuada. La segmentación de red limita el acceso entre diferentes partes de la infraestructura, lo que hubiera dificultado a los atacantes moverse lateralmente entre servidores y bases de datos.

Autenticación de Dos Factores (2FA)

  • La implementación de 2FA agregó una capa adicional de seguridad, exigiendo que los usuarios proporcionen un segundo factor de autenticación (como un código enviado a su dispositivo móvil) para iniciar sesión. Esto protege las cuentas incluso si las contraseñas se ven comprometidas.

Controles de Acceso y Monitoreo Proactivo

  • Yahoo fortaleció sus controles de acceso mediante la implementación de RBAC más estrictos. Además, implementaron sistemas de detección de intrusiones y monitoreo proactivo, asegurando que cualquier actividad anómala o intento de acceso no autorizado sea detectado de inmediato.


Conclusiones


La filtración de datos de Yahoo fue un evento catastrófico en la historia de la ciberseguridad, que puso en evidencia fallos críticos en la protección de la información de los usuarios. A través de una combinación de errores técnicos, falta de medidas de seguridad adecuadas y una gestión ineficaz del incidente, Yahoo comprometió la seguridad de miles de millones de cuentas. Este caso subraya la importancia de una arquitectura de red segura, la implementación de algoritmos de cifrado robustos y la detección y respuesta rápida a incidentes.

Las lecciones derivadas de este incidente han tenido un impacto duradero en la industria de la ciberseguridad, destacando la importancia de adoptar prácticas más seguras, como la autenticación multifactor, la segmentación de redes, y el monitoreo continuo de actividades sospechosas.



Etiquetas:

Publicar un comentario

Artículo Anterior Artículo Siguiente