Yahoo ha detectado una cookie falsa (no desarrollada por la propia compañía) que habría permitido a intrusos acceder a cuentas de usuario sin necesidad de introducir la contraseña. Se cree que los hechos ocurrieron entre 2015 y 2016. Así se expone un correo que la compañía tecnológica ha enviado recientemente a los usuarios afectados.
Hopefully the cookie was forged by a state known for such delicacies. #yahoo #security #bakingpic.twitter.com/7gCeEd3Y51
— Joshua B. Plotkin (@jplotkin) 15 de febrero de 2017
¿Qué es una cookie falsa?
¿Te has percatado que a veces no es necesario introducir nuestras credenciales de acceso para acceder a un sitio web que hemos visitado anteriormente? Esto ocurre porque, de manera consciente o no, le hemos dado permiso a nuestro navegador para recordar nuestro usuario y contraseña. Esta acción es posible gracias al uso de cookies, unos pequeños archivos enviados por el sitio web y que se almacenan en el navegador. No vamos a entrar en el debate en torno a la privacidad que genera el uso de esta tecnología, pues ese tema daría para escribir un nuevo blog.
De entre todos los tipos de cookies que existen, una de las clasificaciones más comunes es entre propias y de terceros. Las primeras pertenecen y son gestionadas por el sitio web (como la que permite almacenar la contraseña) mientras que las otras recogen datos de los usuarios que el sitio web pero ni pertenecen ni son gestionadas por los responsables del mismo. Por ejemplo, en cualquier sitio que tenga instalada la herramienta Google Analytics funciona una cookie desarrollada por Google que recoge datos de las páginas que visitan los usuarios, el tiempo que pasan en cada una de ellas…
Pues la cookie que ha detectado el equipo de Yahoo no pertenece ni a una ni a otra categoría pero se hace pasar por una cookie propia. Los atacantes han falsificado una cookie que “engaña” al navegador para que este entienda que se trata de la cookie de Yahoo que almacena la contraseña. De este modo, la cookie falsa consigue almacenarse en el navegador y acceder a los datos personales del usuario.
Laura J. Vindel
Departamento de Marketing y Comunicación