El Departamento de Justicia de los Estados Unidos acusó a cuatro hombres, incluyendo a dos oficiales del servicio de inteligencia ruso FSB, en relación con el ataque a Yahoo que derivó en el robo de datos de 500 millones de usuarios y el uso de cookies falsificadas para acceder sin autorización a cuentas.
En septiembre del año pasado, Yahoo reveló que a fines de 2014 un "actor patrocinado por un estado" no identificado había accedido a la información de las cuentas de aproximadamente 500 millones de usuarios; los datos incluían nombre, dirección de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas con hash y, en alguno casos, preguntas de seguridad y sus respuestas, que podían estar cifradas.
Yahoo cree que los atacantes lograron irrumpir en sus sistemas internos, accediendo a software propietario que les permitió falsificar cookies, las cuales hicieron posible acceder a las cuentas sin necesidad de contraseñas.
En ese momento se denominó la "brecha más grande de la historia", aunque luego fue superada por la revelación de otra brecha que había ocurrido en 2014, la cual alcanzó a un billón de usuarios.
La acusación del Departamento de Justicia afirma que Igor Anatolyevich Sushchin, de 43 años, y Dmitry Aleksandrovich Dokuchaev, de 33 años, ambos oficiales del FSB de Rusia, dieron órdenes y les pagaron a cibercriminales para que recolectaran información de miles de individuos accediendo a sus cuentas de correo.
Las autoridades de los Estados Unidos nombraron en el documento a otros acusados: Alexsey Alexseyevich Belan, más conocido como "Magg", nativo y residente de Rusia de 29 años; y Karim Baratov, más conocido como "Kay", "Karim Taloverov" o "Karim Akehmet Tokbergenov", ciudadano de Canadá y Kazajstán, residente en Canadá, de 22 años.
Belan no es un desconocido para las autoridades que se dedican a luchar contra el cibercrimen, ya que había aparecido en la lista de cibercriminales más buscados de FBI, y había sido detenido en un país europeo en 2013; luego, escapó a Rusia antes de ser extraditado.
El Departamento de Justicia asegura que Belan obtuvo acceso a al menos una parte de la base de datos de usuarios de Yahoo y a detalles sobre cómo crear una cookie para autenticar 500 millones de cuentas vía navegadores web.
Además, se alega que Belan accedió sin autorización a la herramienta de administración de cuentas de Yahoo, lo que le permitió a la banda localizar y acceder a 6500 cuentas de email de su interés.
Se dice que las que figuraban en su lista de objetivos incluían aquellas pertenecientes a "periodistas rusos, oficiales gubernamentales rusos y estadounidenses, empleados de una prominente compañía de ciberseguridad rusa, y numerosos empleados de otros proveedores cuyas redes los conspiradores buscaron explotar".
Sumado a eso, se cree que lograron acceder a cuentas personales de empleados de bancos rusos, una firma de transporte francesa, firmas estadounidenses de servicios financieros y de capital privado.
Si las acusaciones de las autoridades de Estados Unidos son exactas, uno de los atacantes también explotó su acceso a cuentas de Yahoo con fines de ganancia personal, buscando comunicaciones que incluyeran datos de tarjetas de crédito, redirigiendo tráfico de motores de búsqueda para ganar comisiones, y robando libretas de contactos de al menos 30 millones de cuentas para facilitar una campaña de spam.
Baratov fue arrestado en Canadá esta semana. Todavía no se sabe si sus supuestos cómplices serán detenidos en forma similar y si las autoridades rusas cooperarán con los Estados Unidos en la investigación.
Mientras tanto, es importante señalar que el Kremlin negó que el FSB haya tenido algún tipo de relación con el ataque a Yahoo.
En tanto, la compañía recibió de buena gana el anuncio de la acusación del Departamento de Justicia:
Apreciamos el diligente trabajo de investigación del FBI y la acción decisiva del DOJ para llevar ante la justicia a los responsables de los crímenes contra Yahoo y sus usuarios. Nos comprometemos a mantener a nuestros usuarios y nuestras plataformas seguras y continuaremos colaborando con la policía para combatir el delito cibernético.
No debería hacer falta decir, después de una serie de graves brechas de seguridad, que todos los usuarios de Yahoo deberían verificar sus cuentas en busca de actividad sospechosa, mantenerse alertas a correos no solicitados que contengan adjuntos extraños, pidan información personal o contengan enlaces engañosos.
La compañía puso a disposición un artículo en su base de conocimiento que contiene recomendaciones para proteger cuentas.