La empresa Yahoo ha anunciado que avanzará con una serie de implementaciones de encriptación para los diferentes servicios que ofrece, con el fin de mantener la información de sus usuarios a salvo de terceros. En noviembre del año pasado, luego del escándalo ocasionado por las revelaciones de Edward Snowden sobre las prácticas de la NSA, Yahoo anunció que planeaba encriptar toda la información que circulaba dentro de sus centros de datos, y en enero de este año habilitaron las conexiones HTTPS por defecto, lo cual lleva a que las conexiones entre los usuarios y el servicio de correo electrónico se vean encriptadas de forma automática. En esta ocasión fueron un paso más allá, afirmando que planean encriptar toda su información en el corto plazo mediante las siguientes medidas:
- Encriptar el tráfico entre sus centros de datos para proteger a los usuarios de vigilancia masiva
- Habilitar la encriptación para el envío de correos electrónicos entre Yahoo Mail y otros servicios de correo que soporten este tipo medidas, tales como Gmail. Además también fue habilitado el estándar SMTP TLS.
- La homepage de Yahoo y todas las solicitudes de búsqueda tendrán habilitado por defecto el protocolo https de encriptación.
Con respecto a estas medidas, Alex Stamos, Chief Information Security Officer de Yahoo dijo: "Hemos implementado las más nuevas y mejores prácticas de seguridad disponibles, incluyendo el soporte de TLS 1.2 y una llave RSA de 2048-bit para muchos de los servicios que ofrecemos".
Asimismo, también se anunció que pronto habrá disponible una versión totalmente encriptada de Yahoo Messenger, ya que el pasado febrero Snowden reveló que existía un supuesto proyecto por parte de la NSA (en cooperación con su par británica) para capturar imagenes de usuarios de Yahoo desnudos a partir de millones de chats a través de webcams.
Finalmente Alex Stamos dijo en un post que escribió: "Nuestro objetivo es encriptar por defecto toda nuestra plataforma para todos nuestros usuarios y en todo momento. Nuestra pelea para proteger a nuestros usuarios y su información es un esfuerzo constante y crítico para nosotros. Continuaremos trabajando duro para implementar la mejor tecnología posible para combatir ataques y vigilancia que violen la privacidad de nuestros usuarios".
Algunas medidas adicionales que Yahoo implementará es la inclusión de HSTS (HTTP Strict Transport Security) para asegurar que los navegadores web utilicen únicamente comunicaciones HTTPS; además de implementar Perfect Forward Secrecy para generar claves únicas para cada sesión de usuario, previniéndolos de ataques.