En noviembre de 2016, los organismos de seguridad entregaron a Yahoo archivos que, según un tercero, incluían datos de usuarios de Yahoo. Con la ayuda de expertos periciales externos, analizamos estos archivos y descubrimos que evidentemente se trataba de datos de usuarios de Yahoo. Conforme a los análisis adicionales que realizaron los expertos periciales, creemos que, en agosto de 2013, un tercero no autorizado robó datos asociados a más de mil millones de cuentas de usuario. Yahoo no ha podido identificar la intrusión asociada a este robo. Creemos que es probable que este incidente sea distinto al que dimos a conocer el 22 de septiembre de 2016. Notificamos a los usuarios que podrían haberse visto afectados y tomamos medidas para proteger sus cuentas, como exigirles que cambien sus contraseñas. Yahoo también invalidó las preguntas y respuestas de seguridad no cifradas, de modo que no puedan usarse para acceder a una cuenta.

Por su parte, los expertos periciales externos han investigado la creación de cookies falsificadas que podrían permitir que un intruso acceda a las cuentas de usuario sin una contraseña. En función de la investigación en curso, los expertos periciales externos identificaron cuentas de usuario para las que creen que se tomaron o usaron cookies falsificadas en 2015 o 2016. La empresa notifica a los titulares de las cuentas afectadas y ha invalidado las cookies falsificadas. Vinculamos parte de esta actividad al mismo atacante patrocinado por el Gobierno sospechado del robo de datos que dimos a conocer el 22 de septiembre de 2016.

Notificamos a los usuarios que podrían haberse visto afectados y publicamos información adicional en nuestro sitio web. Además, estamos tomando medidas para proteger las cuentas de los usuarios, como exigirles que cambien sus contraseñas. Yahoo también invalidó las preguntas y respuestas de seguridad no cifradas, de modo que no puedan usarse para acceder a una cuenta.

En función de la investigación en curso, los expertos periciales externos identificaron cuentas de usuario para las que creen que se tomaron o usaron cookies falsificadas en 2015 o 2016. La empresa notifica a los titulares de las cuentas afectadas y ha invalidado las cookies falsificadas.

En el caso de las cuentas potencialmente afectadas, es posible que la información robada de las cuentas de usuario incluya nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas codificadas con hash (que utilizan MD5) y, en algunos casos, preguntas y respuestas de seguridad cifradas y no cifradas. La investigación indica que la información robada no incluía contraseñas en texto no cifrado, datos de tarjetas de pago ni información bancaria. Los datos de las tarjetas de pago y la información bancaria no se almacenan en el sistema que la empresa cree que se vio afectado.

El hashing es una función matemática unidireccional que convierte una cadena de datos original en una cadena de caracteres aparentemente aleatoria. Como tal, las contraseñas codificadas con hash no se pueden volver a convertir en las contraseñas de texto sin formato originales. En el momento del incidente de agosto de 2013, utilizábamos MD5 para codificar las contraseñas con hash. Luego, durante el tercer trimestre de 2013, comenzamos a actualizar la protección de las contraseñas a bcrypt. Bcrypt es un mecanismo de hashing de contraseñas que incorpora funciones de seguridad, incluidas la aleatorización y varias rondas de computación, para brindar protección avanzada contra el descifrado de contraseñas.

Las cookies falsificadas podrían permitir que un intruso acceda a las cuentas de usuario sin una contraseña. Según una investigación en curso de Yahoo, creemos que un tercero no autorizado accedió a nuestro código privado para aprender a falsificar cookies. Los expertos periciales externos identificaron cuentas de usuario para las que creen que se tomaron o usaron cookies falsificadas. La empresa notifica a los titulares de las cuentas afectadas y ha invalidado las cookies falsificadas.

Una cookie es una pequeña cantidad de información que se almacena en una computadora con el objeto de identificar un navegador web durante las interacciones en sitios web. Los sitios web utilizan cookies para recordar y reconocer detalles sobre los visitantes, como las preferencias con respecto a esos sitios. Haz clic aquí para obtener más información sobre las prácticas que implementa Yahoo con respecto a las cookies y otras tecnologías similares.

Creemos que es probable que el incidente de agosto de 2013 sea distinto al que dimos a conocer el 22 de septiembre de 2016.

Vinculamos parte de la actividad de falsificación de cookies al mismo atacante patrocinado por el Gobierno sospechado del robo de datos que dimos a conocer el 22 de septiembre de 2016. Los usuarios afectados por el atacante patrocinado por el Gobierno recibieron una notificación adicional como la que puedes encontrar aquí.

Haz clic aquí para ver el contenido del aviso que les enviamos a los usuarios afectados. Ten en cuenta que los correos electrónicos que envía Yahoo sobre este problema muestran el ícono de Yahoo cuando se los lee desde el sitio web de Yahoo o en la aplicación de Yahoo Mail. Es importante destacar que los correos electrónicos no te piden que hagas clic en ningún enlace, no contienen archivos adjuntos y no solicitan tu información personal. Si algún correo electrónico que recibiste acerca de estos problemas te solicita información o te pide que hagas clic en un enlace o que descargues un archivo adjunto, significa que Yahoo no envió el mensaje y que es posible que alguien esté intentando robarte información personal. No hagas clic en enlaces ni descargues archivos adjuntos de esos correos electrónicos sospechosos.

Hemos tomado medidas para proteger a nuestros usuarios, incluidas las siguientes:

• Les solicitamos a los usuarios potencialmente afectados que cambien sus contraseñas.
• Invalidamos las preguntas y respuestas de seguridad no cifradas, de modo que no puedan usarse para acceder a una cuenta.
• Invalidamos las cookies falsificadas y reforzamos nuestros sistemas para protegerlos de ataques similares.
• Mejoramos constantemente nuestras medidas de seguridad y los sistemas que detectan e impiden el acceso no autorizado a las cuentas de usuario.

Puedes cambiar la contraseña o las preguntas y respuestas de seguridad de Yahoo haciendo clic aquí. Les exigimos a los usuarios que podrían haberse visto afectados que cambien las contraseñas e invalidamos las preguntas y respuestas de seguridad sin cifrar, de modo que no se puedan usar para acceder a una cuenta.

Alentamos a todos nuestros usuarios a que sigan estas recomendaciones de seguridad:

• Cambia la contraseña y las preguntas y respuestas de seguridad de todas las demás cuentas en las que uses la misma información o similar a la que usas en Cuenta de Yahoo.
• Corrobora que no haya actividad sospechosa en tus cuentas.
• Ten cuidado de las comunicaciones no solicitadas en las que se pide información personal o se te redirecciona a una página web en la que se pide información personal.
• No hagas clic en enlaces ni descargues archivos adjuntos de correos electrónicos sospechosos.

Asimismo, evalúa cambiar a la verificación en dos pasos, una herramienta de autenticación sencilla que es más segura y te solicitará un código de verificación, además de la contraseña.

Si bien la información de la cuenta afectada no incluía contraseñas en texto claro, datos de tarjetas de pago o información de cuentas bancarias, te recomendamos que revises los estados de cuenta y que controles los informes de crédito para estar atento. Aquí tienes la información de contacto de las tres agencias de informes para consumidores a nivel nacional de las que puedes obtener un informe de crédito.

Para protegerte de un posible robo de identidad, evalúa aplicar una alerta de fraude a tu archivo de crédito. Además, puedes aplicar un "congelamiento de seguridad" (también conocido como "congelamiento de crédito") a tu archivo de crédito. El congelamiento de seguridad está diseñado para evitar que posibles acreedores accedan a tu archivo de crédito sin tu consentimiento por medio de las agencias de informes para consumidores. Es posible que haya cargos por aplicar, levantar o eliminar un congelamiento de seguridad, que generalmente oscilan entre USD 5 y USD 20 por acción. A diferencia de las alertas de fraude, debes aplicar un congelamiento de seguridad a tu archivo de crédito de forma individual en cada una de las agencias de informes para consumidores. Para obtener más información sobre los congelamientos de seguridad, puedes comunicarte con las tres agencias de informes para consumidores a nivel nacional o con la FTC, tal como se describió anteriormente. Dado que las instrucciones para establecer un congelamiento de seguridad difieren de un estado a otro, comunícate con las tres agencias de informes para consumidores para obtener más información.

Las agencias de informes para consumidores pueden exigir un documento de identificación apropiado antes de responder a tu solicitud. Por ejemplo, se te puede pedir que proporciones:

• Tu nombre completo con la inicial del segundo nombre y la generación (como Jr., Sr., II, III)
• Tu número de seguro social
• Tu fecha de nacimiento
• Las direcciones en las que hayas vivido en los últimos cinco años
• Una copia legible de una tarjeta de identificación emitida por el Gobierno (como una licencia de conducir estatal o una tarjeta de identificación militar)
• Una prueba de tu dirección de residencia actual (como una factura de servicios públicos o un estado de cuenta actual)

Tienes derecho a obtener una denuncia policial y solicitar un congelamiento de seguridad, tal como se describió anteriormente. Las agencias de informes para consumidores pueden cobrarte una tarifa de hasta USD 10 para aplicar un congelamiento de seguridad a tu cuenta y pueden solicitarte que brindes cierta información personal (como tu nombre, número de seguro social, fecha de nacimiento y dirección) y un documento de identificación apropiado (como una copia de una tarjeta de identificación emitida por el Gobierno y una factura o un estado de cuenta) antes de responder a la solicitud del congelamiento de seguridad. Sin embargo, no se te cobra ningún cargo por aplicar, levantar o eliminar un congelamiento de seguridad si has sido víctima de robo de identidad y les proporcionas a las agencias de informes para consumidores una denuncia policial válida.

No. Los sistemas de los que se robaron los datos en agosto de 2013 no contenían datos de usuarios de Tumblr en el momento del robo. Además, Yahoo no tiene indicios de que las cookies falsificadas se hayan utilizado para acceder a cuentas de Tumblr.

Si necesitas más información o asistencia con la cuenta, visita es-us.ayuda.yahoo.com, donde encontrarás los datos más recientes y podrás acceder directamente al servicio de atención al cliente. NO INTERACTÚES con ningún servicio de asistencia que no sea el proporcionado por Yahoo, en particular con proveedores que cobren una tarifa por el servicio de asistencia. Yahoo no cobra por el servicio de asistencia para sus cuentas. Ten en cuenta que Yahoo presta la totalidad del servicio de asistencia a través de es-us.ayuda.yahoo.com.