Aviso de seguridad de Yahoo del 14 de diciembre de 2016

Yahoo ha identificado problemas de seguridad de los datos relacionados con ciertas cuentas de usuario de Yahoo. Yahoo ha tomado medidas para proteger las cuentas de usuario y está trabajando estrechamente con la policía.

A continuación, indicamos algunas preguntas frecuentes que proporcionan información acerca de estos problemas, así como las medidas que pueden tomar los usuarios para ayudar a proteger sus cuentas.

Para obtener información sobre el problema de seguridad de los datos del que informó la compañía el 22 de septiembre de 2016, haz clic aquí.

¿Qué ha ocurrido?

En noviembre de 2016 la policía facilitó a Yahoo archivos de datos que, según afirmó un tercero, eran datos de usuarios de Yahoo. Analizamos estos datos con la ayuda de expertos forenses externos y llegamos a la conclusión de que parece tratarse de datos de usuarios de Yahoo. Basándonos en un análisis más pormenorizado de esos datos por parte de los expertos forenses, creemos que, en agosto de 2013, un tercero no autorizado robó datos relacionados con más de mil millones de cuentas de usuario. Yahoo no ha logrado identificar la intrusión relacionada con este robo. Creemos que dicho incidente podría ser diferente del que informamos el 22 de septiembre de 2016. Estamos avisando a los usuarios que hayan podido verse afectados y hemos tomado medidas para proteger sus cuentas. Entre otras medidas, hemos solicitado a los usuarios que cambiaran sus contraseñas. Asimismo, Yahoo ha invalidado las preguntas y respuestas de seguridad desencriptadas para que no puedan utilizarse para acceder a las cuentas.

Por otro lado, nuestros expertos forenses externos han estado investigando la creación de cookies falsificadas que podrían permitir a un intruso acceder a cuentas de usuario sin necesidad de introducir la contraseña. Basándose en la investigación en curso, los expertos forenses externos han identificado cuentas de usuario en las pudieron haberse utilizado o de las que pudieron haberse extraído cookies falsificadas en 2015 o 2016. La compañía está avisando a las personas titulares de las cuentas afectadas y ha invalidado las cookies falsificadas. Hemos vinculado una parte de dicha actividad al mismo actor autorizado por el Estado sospechoso de ser el responsable del robo de datos del que informamos el 22 de septiembre de 2016.

¿Se ha visto mi cuenta afectada por el incidente de agosto de 2013?

Estamos avisando a los usuarios que hayan podido verse afectados y publicando más información en nuestra página web. Además, estamos tomando medidas para proteger las cuentas de usuario. Entre otras medidas, hemos solicitado a los usuarios que cambiaran sus contraseñas. Asimismo, Yahoo ha invalidado las preguntas y respuestas de seguridad desencriptadas para que no puedan utilizarse para acceder a las cuentas.

¿Se ha visto mi cuenta afectada por la falsificación de cookies?

Basándose en la investigación en curso, los expertos forenses externos han identificado cuentas de usuario en las pudieron haberse utilizado o de las que pudieron haberse extraído cookies falsificadas en 2015 o 2016. La compañía está avisando a las personas titulares de las cuentas afectadas y ha invalidado las cookies falsificadas.

¿Qué información se sustrajo en el incidente de agosto de 2013?

En cuanto a las cuentas que hayan podido verse afectadas, la información de la cuenta de usuario robada puede incluir nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas cifradas (mediante MD5) y, en algunos casos, preguntas y respuestas de seguridad encriptadas o desencriptadas. Según la investigación, la información robada no incluía ni contraseñas en texto claro, ni datos de tarjetas de pago ni información de cuentas bancarias. Los datos de tarjetas de pago y la información de cuentas bancarias no se almacenan en el sistema que la compañía cree que se vio afectado.

¿Qué es una contraseña "cifrada"?

El cifrado es una función matemática unidireccional que convierte una cadena de datos original en una cadena de caracteres aparentemente aleatorios. Como consecuencia, las contraseñas que han sido cifradas no se pueden reconvertir en la contraseña original de texto sencillo. Cuando ocurrió el incidente de agosto de 2013, utilizábamos MD5 para cifrar las contraseñas. Empezamos a actualizar nuestra protección de contraseñas a bcrypt el verano de 2013. Bcrypt es un mecanismo para el cifrado de contraseñas que incorpora funciones de seguridad, como salt y múltiples fases de computación, para ofrecer una protección avanzada contra el crackeo de contraseñas.

¿Qué tipo de información se ha visto afectada por la falsificación de cookies?

Las cookies falsificadas podrían permitir a un intruso acceder a cuentas de usuario sin necesidad de introducir la contraseña. Según una investigación en curso de Yahoo, creemos que un tercero no autorizado accedió a nuestro código patentado para averiguar cómo falsificar cookies. Los expertos forenses externos han identificado cuentas de usuario en pudieron haberse empleado o de las que pudieron haberse extraído cookies falsificadas. La compañía está avisando a las personas titulares de las cuentas afectadas y ha invalidado las cookies falsificadas.

¿Qué es una “cookie”?

Una cookie es un pequeño fragmento de información que se almacena en un ordenador con el fin de identificar un navegador web durante sus interacciones en sitios web. Los sitios web utilizan cookies para recordar y reconocer detalles de los visitantes como, por ejemplo, las preferencias de sitios web. Para obtener más información sobre las prácticas de Yahoo relacionadas con cookies y tecnologías similares, haz clic aquí.

¿Están relacionados estos incidentes con el robo de datos anunciado por Yahoo el 22 de septiembre de 2016?

Creemos que el incidente de agosto de 2013 podría ser diferente del que anunciamos el 22 de septiembre de 2016.

Hemos vinculado una parte de la actividad de falsificación de cookies al mismo actor autorizado por el Estado sospechoso de ser el responsable del robo de datos del que informamos el 22 de septiembre de 2016. Se ha enviado a los usuarios a los que se dirigió el actor autorizado por el Estado otro aviso como este aquí.

Creo que he recibido uno o más correos electrónicos relacionados con este tema. ¿Cómo saber si provienen realmente de Yahoo?

Para obtener Ayuda relativa al aviso de seguridad. Ten en cuenta que en los mensajes de correo electrónico de Yahoo sobre este tema, aparecerá el icono de Yahoo Purple icono Y cuando se consulten a través del sitio web de Yahoo o la aplicación de Yahoo Mail. Importante: En los mensajes de correo electrónico  no se te pide que hagas clic en ningún enlace, ni contienen archivos adjuntos, y tampoco se te solicita información personal. Si algún mensaje de correo electrónico recibido en relación con estos problemas te solicita que hagas clic en un enlace, que descargues un archivo adjunto o te pide información, significa que no ha sido enviado por Yahoo y puede ser un intento de robo de tus datos personales. Evita hacer clic en enlaces y no descargues archivos adjuntos de estos mensajes de correo sospechosos.

¿Qué está haciendo Yahoo para proteger mi cuenta?

Hemos tomado las siguientes medidas para proteger a nuestros usuarios:

  • Estamos solicitando a los usuarios que hayan podido verse afectados que cambien sus contraseñas.
  • Hemos invalidado las preguntas y respuestas de seguridad desencriptadas para que no puedan utilizarse para acceder a una cuenta.
  • Hemos invalidado las cookies falsificadas y hemos reforzado nuestros sistemas para protegerlos de ataques similares.
  • Mejoramos continuamente nuestros dispositivos de seguridad, así como los sistemas que detectan y previenen el acceso no autorizado a cuentas de usuario.

¿Cómo puedo cambiar la contraseña o desactivar las preguntas y respuestas de seguridad?

Para cambiar la contraseña o las preguntas y respuestas de seguridad de Yahoo, haz clic aquí. Estamos solicitando a los usuarios que hayan podido verse afectados que cambien sus contraseñas, y hemos invalidado las preguntas y respuestas de seguridad desencriptadas para que no puedan utilizarse para acceder a una cuenta.

¿Hay algo que pueda hacer para protegerme?

Recomendamos a todos nuestros usuarios que sigan los siguientes consejos de seguridad:

  • Cambia la contraseña y las preguntas y respuestas de seguridad de todas aquellas cuentas en las que uses la misma información que en Cuenta de Yahoo o similar.
  • Comprueba que no existe actividad sospechosa en ninguna de tus cuentas.
  • Ten cuidado con aquellas notificaciones no solicitadas en que te pidan información personal o que te redirijan a una página web en la que se te pida información personal.
  • Evita hacer clic en enlaces y no descargues archivos adjuntos de mensajes de correo sospechosos.

Además, te sugerimos que utilices la Clave de cuenta de Yahoo, , una herramienta de autenticación sencilla que te evita el tener que utilizar una contraseña en Yahoo.

¿Qué pasos adicionales puedo tomar para proteger mi información?

Aunque la información de la cuenta afectada no incluye contraseñas en texto claro, contenido de correos electrónicos, datos de tarjetas de pago, o información de cuentas bancarias, te sugerimos que revises el estado de tus cuentas y los informes de solicitudes de crédito. A continuación te indicamos los datos de contacto de tres agencias que realizan informes para el consumidor mediante las cuales se puede obtener un informe de solicitudes de crédito.

Equifax Equifax Credit Information Services, Inc.
PO Box 740241
Atlanta, GA 30374
1-800-525-6285 www.equifax.com
Experian Experian Inc.
PO Box 9554
Allen, TX 75013
1-888-397-3742 www.experian.com
TransUnion TransUnion LLC
PO Box 2000
Chester, PA 19022-2000
1-800-680-7289 www.transunion.com

También es posible que desees realizar un "security freeze" o "bloqueo de seguridad" (también llamado "Credit freeze" o "congelación del crédito"). Un bloqueo de seguridad está diseñado para evitar que potenciales acreedores puedan solicitar un crédito sin tu consentimiento. Pueden existir cargos para establecer, levantar, y/o eliminar un bloqueo de seguridad, que generalmente van desde 5$ a 20$ dólares por acción. A diferencia de las alertas de fraude, los bloqueos de seguridad se deben solicitar en tu expediente de crédito en cada agencia de informes individualmente. Para obtener más información sobre la congelación del crédito, ponte en contacto con las tres agencias mencionadas anteriormente o con el FTC mencionado más abajo. Como las instrucciones para establecer un bloqueo de seguridad varían en los diferentes Estados, por favor, contacta con las tres agencias para obtener más información.

Las agencias pueden requerir cierta información de identificación para poder aceptar tu solicitud. Por ejemplo, se te puede pedir que proporciones:

  • Tu nombre completo incluyendo cualquier inicial de segundo nombre e inicial de generación (como Jr., Sr., II, III)
  • Tu número de la Seguridad Social
  • Tu fecha de nacimiento
  • Direcciones donde has vivido durante los últimos cinco años
  • Una copia legible de una tarjeta de identificación emitida por el gobierno (como una licencia de conducir o tarjeta de identificación militar)
  • Una prueba de dirección de residencia actual (como una factura de servicios públicos o un informe de cuenta bancaria)

Tienes el derecho a obtener un informe de la policía y solicitar un bloqueo de seguridad como se describe anteriormente. Las agencias de crédito te pueden cobrar una tarifa de hasta 10$ por colocar un bloqueo de seguridad en tu cuenta, y pueden requerir que proporciones cierta información personal (como tu nombre, número de la Seguridad Social, fecha de nacimiento y dirección) y la identificación adecuada (por ejemplo, una copia de una tarjeta de identificación emitida por el gobierno y una factura o copia del estado de cuentas bancarias) para poder aceptar tu solicitud de bloqueo de seguridad. No hay ningún cargo, sin embargo, para colocar, levantar o quitar un bloqueo de seguridad en el caso de que hayas sido víctima de un robo de identidad y proporciones un informe policial válido a las agencias.

Los residentes en los Estados Unidos se pueden poner también en contacto con la FTC para obtener más información sobre cómo proteger su información personal. La información de contacto de la FTC es la siguiente:
 
Comisión Federal de Comercio
Centro de Respuesta al Consumidor
600 Pennsylvania Avenue, NW
Washington, DC 20580
1-877-IDTHEFT (438-4338)
 
Para los residentes en Rhode Island, es posible obtener información adicional sobre cómo proteger su información personal en la Oficina del Procurador General de Rhode Island en la siguiente dirección:
 
Oficina del Procurador General de Rhode Island 
Unidad de Protección al Consumidor
150 South Main Street
Providence, RI 02903
(401) -274-4400

¿Se han visto afectadas las cuentas de Tumblr?

No. Los sistemas cuyos datos se robaron en agosto de 2013 no contenían información de usuarios de Tumblr en el momento del robo. Además, Yahoo no tiene indicios de que las cookies falsificadas se utilizaran para acceder a cuentas de Tumblr.

¿Cómo pueden ayudarme con mi cuenta?

Para obtener más información, o si necesitas ayuda con tu cuenta, consulta https://es-us.ayuda.yahoo.com. Allí encontrarás la información más reciente y tendrás la opción de contactar directamente con el servicio de atención al cliente. NO CONTACTES con ningún otro servicio de atención aparte de los ofrecidos por Yahoo, en especial con proveedores de servicios de atención que le cobren comisión por sus servicios. Yahoo no cobra por el servicio de atención de sus cuentas. Ten en cuenta que todos los canales de Yahoo atienden mediante https://es-us.ayuda.yahoo.com.