0

Dentro del ataque a Yahoo: así se gestó

malware_webEl FBI ha culpado del robo a los servicios de inteligencia rusos y ha descubierto qué métodos y prácticas utilizaron para comprometer más de 500 millones de cuentas de usuario.

Las brechas de seguridad de Yahoo siguen dando que hablar varios meses después de que salieran a la luz pública. Incluso, una vez que la compañía ha sido vendida a Verizon y ha pasado a llamarse Altaba, y que la que fuese su CEO durante cinco años, Marissa Mayer, haya decidido abandonar el cargo. Pero, lo que no se sabía es que detrás de todo esta fuga de datos (la mayor de la historia) están involucradas cuatro personas rusas, según el FBI, dos de las cuales son espías alineados con el servicio de seguridad estatal del país.

Y, además, se han desvelado los métodos y prácticas que llevaron a estos hackers a conseguir tal cantidad de datos de la empresa del gigante de Silicon Valley. Y todo parece apuntar a un click erróneo.

La trama comenzó a principios de 2014 cuando un empleado recibió un correo electrónico de phising. No está claro cuantos más recibieron el email, pero con un solo click bastaba; y sucedió. Una vez dentro, uno de los atacantes, identificado como Aleksey Belan, y de origen letón, consiguió dos grandes premios: la base de datos de usuarios y la herramienta de gestión de cuentas.

Para no perder el acceso, instaló una puerta trasera en un servidor y robó una copia de seguridad de datos de clientes para transferirlos a su propio ordenador. Ésta contenía nombres, números de teléfono, preguntas y respuestas de desbloqueo de contraseñas y valores criptográficos para cada cuenta. Estos dos últimos elementos fueron los que habrían valido al grupo para acceder a la información requerida por agentes rusos sobre la privacidad de ciertos usuarios.

La herramienta de administración de cuentas no permitía búsquedas sencillas de nombres de usuario, por lo que los atacantes recurrieron a las direcciones de correo electrónico de recuperación. Una vez identificados a estos usuarios, pudieron usar valores criptográficos llamados “nonces” para generar cookies de acceso a través de un script que se había instalado en un servidor de Yahoo. Esas cookies, que se generaron muchas veces a lo largo de 2015 y 2016, permitieron a los hackers acceso gratuito a una cuenta de correo electrónico de usuario sin necesidad de introducir contraseñas.

Durante este proceso, los atacantes fueron muy meticulosos en su enfoque. De las cerca de 500 millones de cuentas solo generaron cookies para 6.500.

Entre los usuarios afectados se encuentran personalidades rusas como un asistente del vicepresidente, un funcionario del Ministerio de Asuntos Internos o un entrenador que trabajaba para la federación de deportes.

IDG.es

Ordenado por: Seguridad Tags: 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 8442 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB