Exploración Masiva de Correos Yahoo

Autor: Susana B. García para CIBERPRISMA

A principios de octubre de 2016, cuando estaba en marcha la firma de un acuerdo, tras casi un año de negociaciones, por el cual la empresa VERIZON adquiriría YAHOO Inc. por valor de 4800 millones de dólares, Reuters publicó que YAHOO había efectuado en secreto una exploración masiva de los correos electrónicos de sus clientes para un organismo de inteligencia de EEUU. 

Esta información provocó que VERIZON exigiera una reducción del 20% del precio acordado para la adquisición de YAHOO alegando que, como consecuencia de la información difundida, la cartera de clientes cercana a los 1.000 millones de usuarios con perspectivas de duplicarse para el año 2020, sería afectada. Hasta el cierre de esta edición, el acuerdo entre YAHOO y VERIZON aún no se habría homologado. Los planes iniciales de VERIZON, uno de los dos gigantes norteamericanos de las telecomunicaciones, era integrarla a su empresa VERIZON AOL. 

PRINCIPALES EMPRESAS PROVEEDORAS DE SERVICIOS EN INTERNET EN EEUU 
(en millones de visitas en AGOSTO 2016) 

YAHOO es la segunda empresa proveedora de Internet en Estados Unidos, que brinda servicio de correo electrónico, después de GOOGLE. Su popularidad es aún mayor América Latina. 

RANGO ACTIVO DE USUARIOS YAHOO EN 2014 

A principios de 2016 la situación financiera de YAHOO se encontraba bastante comprometida, lo que la llevó a cerrar sus oficinas en México y Argentina. Según la opinión de analistas financieros, el negocio principal de la empresa, centrado en su motor de búsqueda, noticias, correo electrónico, y entretenimiento, no habría superado los 3.900 millones de dólares en el primer trimestre del 2016. En julio de 2016 el motor de búsqueda de YAHOO compartía con BING sólo el 4,2% del mercado global de los principales proveedores de motores de búsqueda en Internet, dominado prácticamente por GOOGLE. 

GANANCIAS NETAS Y TASA DE CRECIMIENTO
DE YAHOO  MERCADO GLOBAL DE MOTORES DE BÚSQUEDA

YAHOO Y LA EXPLORACIÓN MASIVA DE CORREOS ELECTRÓNICOS 

La noticia publicada por Reuters el 4 de octubre 2016 en su Sección Tecnología y replicada por casi todas las agencias de noticias internacionales, en líneas generales daba cuenta de los siguientes eventos: 

• En 2015 YAHOO Inc. habría desarrollado en secreto un programa informático para efectuar búsquedas masivas en los correos electrónicos de sus clientes. 
• El desarrollo del mismo habría surgido como respuesta a una solicitud específica de información de un organismo de inteligencia norteamericano, probablemente el FBI o la NSA. 
• Tres ex empleados de la empresa, que se negaron a hacer pública su identidad, habrían sido la fuente de Reuters. 
• Esta sería la primera vez que se hace público que una empresa norteamericana proveedora de servicios de Internet efectúa búsquedas masivas en los correos electrónicos de sus clientes en tiempo real. La práctica habitual sería la de efectuar búsquedas en los correos almacenados o vigilancia en determinados correos electrónicos de los clientes y ambas situaciones sólo se darían en respuesta a solicitudes oficiales. 
• Se desconoce si Yahoo efectivamente entregó la información solicitada o si se envió la misma solicitud a otras empresas proveedoras de servicios de Internet. A Yahoo la solicitud habría llegado a la asesoría jurídica de la empresa bajo la forma de edicto judicial. 
• Marisa Meyer, CEO de YAHOO, y Ron Bell, Asesor Principal de YAHOO, instruyeron a los ingenieros responsables del servicio de correo electrónico que desarrollaran el programa que fue descubierto en mayo 2015. La decisión de Meyer generó la salida de algunos ejecutivos senior de la empresa. Entre ellos, en junio 2015, la del Principal Ejecutivo de Seguridad de la Información, Alex Stamos, que ocupa en la actualidad el mismo cargo en la empresa FACEBOOK. Stamos habría comunicado a sus subordinados que abandonaba la firma por haber sido dejado fuera de una decisión que afectaba la seguridad de los usuarios. Reuters por su parte informó que Stamos y otros miembros del grupo de seguridad de la empresa creyeron inicialmente que la seguridad del servicio había sido comprometida por la acción de hackers. 
• Si bien no hubo aclaraciones de ningún organismo oficial, más allá de las declaraciones del vocero de Yahoo, otros funcionarios oficiales consultados por Reuters sostuvieron que no recordaban que una solicitud de información o edicto judicial emitido hubiera incluido la solicitud de una exploración masiva en tiempo real o demandado el desarrollo de un programa especial a tal efecto. No se descarta el hecho de que, si hubiera existido tal solicitud, la misma se hubiera extendido a otros proveedores de Internet si la agencia solicitante desconocía cuál era el proveedor del o los blancos seleccionados. Tanto GOOGLE como MICROSOFT, APPLE y FACEBOOK informaron no efectuar exploraciones masivas como la referida pero no informaron si habían recibido solicitudes similares. 
• Resulta difícil identificar a la agencia solicitante ya que, por ejemplo, algunas veces la NSA efectúa la solicitud a través del FBI. 

LA RELACIÓN DE YAHOO Y OTROS PROVEEDORES DE INTERNET CON LOS ORGANISMOS DE INTELIGENCIA DE ESTADOS UNIDOS 

Las empresas norteamericanas de telecomunicaciones y de servicios de Internet reciben periódicamente solicitudes de información de organismos vinculados a la seguridad e inteligencia, según informa GOOGLE en su Informe de Transparencia, mediante tres modalidades: 

1. Las solicitudes emitidas en virtud de la Ley de Vigilancia de Inteligencia Extranjera (Foreign Intelligence Surveillance Act, FISA) son órdenes judiciales que permiten solicitarles a las empresas de EE. UU. que aporten información personal en investigaciones de seguridad nacional. 
2. Las Notificaciones de Seguridad nacional (NSL por su sigla en inglés) son solicitudes autorizadas por el FBI que pueden requerir que las empresas estadounidenses proporcionen «el nombre, la dirección, la duración del servicio y los registros de facturación por llamadas locales y de larga distancia» de un suscriptor para su uso en investigaciones de seguridad nacional. Estos pedidos no requieren una orden judicial y no se pueden utilizar para obtener ninguna otra cosa de GOOGLE, como contenido de Gmail, consultas de búsqueda, videos de YOUTUBE o direcciones IP de usuarios. 
3. Las solicitudes penales incluyen las órdenes de allanamiento, las órdenes judiciales y las citaciones dictadas para buscar información acerca de los productos y las cuentas de Google que forman parte de las investigaciones penales. 

Empresas como GOOGLE, YAHOO, TWITTER y FACEBOOK publican periódicamente información vinculada al volumen de solicitudes de información que reciben de entes gubernamentales, en los denominados Informes de Transparencia. En el corriente año, casi todos ellos, salvo MICROSOFT, coinciden en que se experimentó un incremento en las solicitudes en las solicitudes generadas en Estados Unidos. 

En septiembre de 2016 TWITTER, en su informe relativo al Primer Semestre 2016, comunica que registra un incremento del 2,1% en solicitudes recibidas en relación al último período analizado y del 8% para la cantidad de cuentas identificadas. Por primera vez identifica a los principales organismos norteamericanos que emiten esas solicitudes: el FBI, la CIA y la Oficina del Fiscal del Distrito de Nueva York. 
A fines de ese mismo mes 2016, la empresa MICROSOFT presentó su Informe donde destaca que se produjo una reducción en la cantidad de solicitudes de información recibidas durante el primer semestre 2016, que totalizaron 35.572, en relación al mismo período del año anterior, que alcanzaron las 39.083 solicitudes. De las mismas, sólo el 2,5% de las solicitudes tuvieron como resultado la liberación del contenido creado, compartido o almacenado por usuarios. Por otra parte las solicitudes FISA se mantuvieron en el mismo rango que el período anterior pero involucraron un mayor número de cuentas de usuario. 
En octubre 2016 la empresa GOOGLE hizo público su Informe de Transparencia correspondiente al Primer Semestre 2016, en el cual consta que recibió en el período un total de 44.493 solicitudes de información procedentes de entes gubernamentales a nivel global, vinculadas a 76.713 cuentas de usuario, manteniendo la tendencia del segundo semestre del 2015. Destaca que por primera vez recibió solicitudes de países como Argelia, Bielorrusia, Islas Caimán, El Salvador, Fiji y Arabia Saudi y que en EEUU se refleja un aumento en la cantidad de solicitudes relacionadas con cuentas de usuario identificadas que fueron enviadas conforme a la Ley de Vigilancia e Inteligencia Extranjera (FISA por su sigla en inglés). En 2016 recibió entre 21.000 y 21.500 solicitudes, mientras que el rango correspondiente al mismo período en 2015 fue de 16.000 – 16.500. 

SOLICITUDES DE DATOS DE USUARIOS 

PORCENTAJES DE SOLICITUDES CONTESTADAS POR GOOGLE 

CANTIDAD DE PEDIDOS DE INFORMACIÓN (SUPERIORES A 400) A LA EMPRESA GOOGLE GENERADOS POR ENTES GUBERNAMENTALES DE ESTADOS UNIDOS Y OTROS PAÍSES EN EL PRIMER SEMESTRE 2016 

CANTIDAD DE PEDIDOS DE INFORMACIÓN CURSADOS A LA EMPRESA GOOGLE GENERADOS POR ENTES GUBERNAMENTALES DE AMÉRICA LATINA EN EL PRIMER SEMESTRE 2016

Si bien algunas de las cifras mencionadas pudieran despertar cierta inquietud en los usuarios de servicios de correo electrónico en Internet, es menester señalar que todas las solicitudes de información a las empresas proveedoras de Internet con base en Estados Unidos se efectúan conforme a la legislación vigente en ese país. En este punto resulta menester también recordar las declaraciones de John Brennan, Director de la CIA, en una conferencia en el Centro de Estudios Estratégicos Internacionales en Washington:

…debe comprenderse que si nuestra tarea es proteger la privacidad y las libertades civiles, valores sobre los cuales se fundó nuestro país, necesitamos comprender, acordar y consensuar con el sector privado …ya que la única solución posible es una asociación sin precedentes entre el sector gubernamental y el privado”

Por otra parte para medir la afectación real de estas modalidades a los usuarios, también deben considerarse las siguientes cifras: 

En el período comprendido entre enero y junio de 2015, cuando YAHOO habría implementado el programa de exploración masiva, la empresa informó que recibió un rango de 21.000 – 21.5000 solicitudes de información en el marco de FISA y entre 0 y 500 notificaciones de seguridad nacional (NSL). 
La disparidad entre las cifras presentadas por YAHOO y las incluidas en el artículo de Reuters disparó especulaciones en torno a la “falta de transparencia” de uno de los dos actores involucrados. Desde el primer Informe de Transparencia de YAHOO hecho público en 2013, la mayor cantidad de cuentas de usuarios afectadas por pedidos de información oficiales no supera las 51.500, una cifra muy inferior a la señalada por Reuters con la implementación del programa de exploración masiva.
Las primeras dudas sobre Yahoo surgieron con la información liberada por Snowden en el periódico británico The Guardian en 2013, donde se mencionaba que los esfuerzos de colección de la NSA incluían el acceso a la red privada de Yahoo a través del programa PRISMA desde 2008. Ron Bell, asesor de Yahoo, en ese momento declaró que Yahoo intentó resistirse a esa demanda pero fue amenazada con multas de 250.000 dólares diarios. 
En 2013 también el Washington Post informaba que la NSA interceptaba cerca de 15 gigabytes de datos diarios en los servidores de Yahoo a través de un proyecto denominado “Muscular” que, según Snowden, operaba en conjunto con la agencia británica “Government Communications Headquarters (GCHQ por su sigla en inglés). En ese momento Keith Alexander, Director de la NSA, declaraba que su agencia no accedía en forma directa a los servidores de proveedores de Internet norteamericanos, sino a través de órdenes oficiales en el marco de FISA. 
En junio de 2016 YAHOO fue la primera empresa tecnológica en hacer pública la recepción de tres notificaciones de seguridad nacional (NSL) emitidas por el FBI en 2013 y 2015, en virtud de los derechos que le otorga la Ley de Libertad (USA Freedom Act) de Estados Unidos. Esas notificaciones exigían a YAHOO brindar los nombres, direcciones y alcance del servicio provisto a esos usuarios, así como cuentas de banco asociadas, direcciones de IP y correos electrónicos vinculados a esas cuentas. 

El informe de Reuters es también oportuno a la luz de los permanentes problemas de seguridad que han afectado a la empresa norteamericana, particularmente en relación con su producto de correo electrónico. En 2014 YAHOO tuvo que agregar protecciones HTTP a su servicio de correo en red, algo que también tuvieron que hacer los demás proveedores de Internet pero varios años antes. GOOGLE ya había incorporado esa protección en 2010 para su servicio de correo electrónico Gmail. Sin esa protección no habría impedimento alguno para que una agencia como la NSA pudiera efectuar exploraciones similares a los correos electrónicos de YAHOO. 

La incorporación de mayor seguridad para sus usuarios en 2014 tuvo lugar casi inmediatamente antes que un artículo del Washington Post publicara que la NSA había accedido a millones de libretas de direcciones de correo electrónico, afectando a cerca de 700.000 usuarios de YAHOO – prácticamente el doble en comparación a la cantidad de usuarios afectados de FACEBOOK y GOOGLE. El motivo pudo haber sido la vulnerabilidad de seguridad del servicio de correo, sobre todo si se tiene en cuenta que sólo un mes antes una filtración había indicado que la NSA podía evitar las protecciones de encriptado SSL. 

Uno de los eventos más recientes, en septiembre 2016, fue el robo de datos personales de cerca de 500 millones de usuarios que confirmara YAHOO, que califica en el ranking como el más importante. La demora en comunicar esta situación a los usuarios y en iniciar los procesos de cambio de contraseñas despertó rumores en torno a que MAYER, CEO de YAHOO, habría ocultado esta información para evitar un éxodo de usuarios de un servicio de correo electrónico que ya tenía problemas financieros de cara al acuerdo que preveía firmar con VERIZON. 

En relación con este último evento, YAHOO informó que los datos de casi 500 millones de usuarios fueron extraídos de su red en 2014, por quien “creen que se trataría de un actor con patrocinio estatal”. Posteriormente informó a sus clientes que acababa de desarrollar una nueva herramienta de autenticación.. 
A pesar de haberse hecho público recientemente, ya existían rumores desde hace un par de meses relativos a un ataque a gran escala contra la empresa norteamericana, sobre todo después que apareciera un hacker llamado “Peace” que estaría vendiendo cerca de 200 millones de credenciales de cuentas de YAHOO en las Webs Dark o Deep.