¿Por Qué Yahoo Tomó Tanto Tiempo Para Revelar Una Violación De Seguridad?

{h1}

Linkedin, myspace, yahoo: ¿por qué demora tanto tiempo para que las empresas revelen que han sido hackeadas?

Este artículo fue publicado originalmente en The Conversation. La publicación contribuyó con el artículo a WordsSideKick.com's Expert Voices: Op-Ed & Insights.

A fines de septiembre, Yahoo anunció que al menos 500 millones de cuentas de usuarios habían sido comprometidas. Los datos robados incluían nombres de usuarios, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y contraseñas cifradas, pero no datos de tarjetas de crédito. Las grandes violaciones de datos se han vuelto cada vez más comunes: solo en 2016 nos enteramos de la violación de Yahoo y del hack de LinkedIn (que compromete a 167 millones de cuentas) y la violación de MySpace (360 millones de cuentas).

La brecha de Yahoo afectó a más usuarios que los otros dos, pero todos ellos comparten un elemento crucial: fueron anunciados al público años después del hecho. El hackeo de LinkedIn ocurrió en 2012, MySpace sufrió una infracción en 2013 y Yahoo fue pirateado en 2014. No fue hasta 2016 cuando los usuarios de los tres sitios descubrieron que su información había sido robada.

Cuando se roba información personal, la respuesta rápida es importante. Los clientes deben cambiar sus contraseñas y tomar otras medidas para proteger su identidad, incluida la protección de cuentas bancarias y registros de crédito. Si las personas no saben que se ha producido una infracción y que deben tomar estos pasos de protección, siguen siendo vulnerables.

Entonces, ¿por qué demora tanto tiempo para que las compañías revelen que han sido hackeadas? No es tan simple como podría pensar, o esperar.

El tiempo es un factor clave.

Aún no está claro cuando Yahoo se enteró de su ataque, aunque en este caso el momento es cuestionable. Un artículo publicado el 1 de agosto citó a un portavoz de la compañía que dijo que Yahoo estaba "al tanto" de que un pirata informático estaba vendiendo los datos de inicio de sesión de 200 millones de cuentas de Yahoo en un mercado negro en línea.

Pero más de un mes después, la compañía presentó un documento a los reguladores financieros de EE. UU. Diciendo que no sabía de ninguna reclamación de "acceso no autorizado" que pudiera afectar su venta pendiente a Verizon. Y Verizon dijo públicamente que se había enterado de la brecha solo dos días antes de que Yahoo lo anunciara al mundo.

Todos esos eventos, por supuesto, fueron años después de que la violación hubiera ocurrido. Este es un retraso extraordinariamente largo. Según un informe reciente de la firma de seguridad de red FireEye, en 2015, la cantidad media de tiempo en que la red de una organización estuvo comprometida antes de que se descubriera la violación fue de 146 días.

Eso incluye todos los tamaños de empresas en todo tipo de negocios. Como una importante empresa de Internet con una base de usuarios extremadamente grande, es razonable esperar que Yahoo detecte y divulgue las violaciones mucho antes que otras empresas.

Detectando, y confirmando, el hack.

La compañía ha dicho que cree que el ataque fue llevado a cabo por un gobierno nacional, aunque no ha dicho desde qué país. Eso puede sugerir que el ataque fue más sofisticado y, por lo tanto, más difícil de detectar, pero es imposible saber si eso es cierto, porque la compañía se ha negado a ofrecer detalles de cómo se logró la violación.

Además, cualquier persona en Internet puede reclamar lo que quiera: las empresas tienen que investigar sus sistemas para averiguar si alguien que está anunciando que tiene información de inicio de sesión para la venta realmente tomó algo, o simplemente lo inventó para causar problemas.

Razones no técnicas que Yahoo tardó tanto en descubrir que el ataque podría incluir cambios frecuentes en el liderazgo de su equipo de seguridad y el estrés de la empresa de encontrar un comprador.

Notificando al publico

Una vez que una empresa se entera de que ha sido pirateada, es importante informar a los clientes, y al público, para que las personas puedan tomar las medidas adecuadas para proteger su información, privacidad e identidades.

Actualmente, no existe una ley federal sobre cuándo las compañías deben informar al público sobre las violaciones de seguridad de la información. En 2015, los demócratas propusieron otorgar a las empresas 30 días desde el descubrimiento de un truco hasta anunciar que había ocurrido. Ese esfuerzo fracasó porque muchos estados, que tienen requisitos variables, tienen estándares más estrictos que la ley federal habría invalidado.

Recuperando una reputación corporativa

Las empresas tecnológicas generalmente pueden recuperarse rápidamente de las violaciones de datos, si responden rápidamente y toman las medidas necesarias para notificar a sus usuarios. Esto es cierto incluso para las corporaciones cuyas violaciones de datos resultaron en el compromiso de la información de la tarjeta de crédito de los clientes, como Target en 2013 y Home Depot en 2014.

Las demandas presentadas después de las violaciones han costado a las empresas millones en costos de liquidación, sin mencionar los honorarios legales y la pérdida de negocios. La lección es clara: la divulgación temprana de una violación de datos es mejor. Si Yahoo supo de su piratería en agosto, o incluso hace años, y tardó tanto tiempo en anunciarlo al público, la compañía ha traicionado la confianza de sus usuarios.

Aunque Yahoo instó a los usuarios a cambiar sus contraseñas y preguntas de seguridad después de la divulgación pública de la brecha de seguridad, miles de usuarios acudieron a las redes sociales para expresar su enojo por el hecho de que la compañía tardó dos años en descubrir la brecha de datos. Las demandas presentadas contra Yahoo van en aumento.

Puede ser extremadamente difícil para las empresas, incluso las centradas en la tecnología como Yahoo, protegerse de hackers hábiles y determinados. Pero no informar sobre el ataque tan pronto como se sospecha puede ser casi tan dañino como el propio ataque.

Yanfang Ye, profesor asistente de ciencias de la computación e ingeniería eléctrica, Universidad de Virginia Occidental

Este artículo fue publicado originalmente en The Conversation.Lea el artículo original.


Suplemento De Vídeo: Citizenfour - Edward Snowden - Metadatos extraidos por los gobiernos para controlar el planeta!.




Investigación


El Software Crea Un Montaje Tuyo A Lo Largo Del Tiempo
El Software Crea Un Montaje Tuyo A Lo Largo Del Tiempo

Ver Al Ceo De Amazon, Jeff Bezos, Controlar Un Robot Gigante Mech
Ver Al Ceo De Amazon, Jeff Bezos, Controlar Un Robot Gigante Mech

Noticias De Ciencia


Según Un Análisis De Adn, Las Momias De 4.000 Años Son Mitad Hermanas
Según Un Análisis De Adn, Las Momias De 4.000 Años Son Mitad Hermanas

Se Ha Encontrado La Opinión De Key To Swaying Mass
Se Ha Encontrado La Opinión De Key To Swaying Mass

Living River Lab Apunta Al Futuro De Un Agua Más Inteligente
Living River Lab Apunta Al Futuro De Un Agua Más Inteligente

Objetivos De La Presión Arterial: Los Tratamientos Agresivos Pueden Ser Los Mejores, Según Un Estudio
Objetivos De La Presión Arterial: Los Tratamientos Agresivos Pueden Ser Los Mejores, Según Un Estudio

Hierba Falsa, Droga Real: K2 Que Causa Alucinaciones En Adolescentes
Hierba Falsa, Droga Real: K2 Que Causa Alucinaciones En Adolescentes


ES.WordsSideKick.com
Reservados Todos Los Derechos!
La Reproducción De Cualquier Permitió Sólo Prostanovkoy Enlace Activo Al Sitio ES.WordsSideKick.com

© 2005–2019 ES.WordsSideKick.com