Es poco probable que la compra de Yahoo por Verizon – todavía en due dilligence – se deshaga, pero la investigación en marcha sobre el robo masivo de datos personales de usuarios podría implicar una revisión a la baja del precio acordado de 4.800 millones de dólares. El ´incidente` se produjo a finales de 2014 pero sólo fue conocido en agosto – una semana después de firmado el acuerdo – porque un tal ´Peace` se jactó de haber vendido a través de la Dark Web millones de credenciales de usuarios (contraseñas, fechas de nacimiento y direcciones de correo).
El desenlace último de la operación entre Yahoo y Verizon podría depender de que el comprador decida argumentar judicialmente que la otra parte a) no fue capaz de detectar por sí misma el robo de datos o b) conociéndolo, lo ocultó bajo la alfombra durante un año y medio. En la segunda hipótesis, se trataría no sólo de un engaño, sino de una violación de la ley.
Realmente cuesta aceptar ese extremo por parte de directivos con tanta experiencia, y lo previsiblemente es que se echen los trastos a la cabeza. También cuesta admitir que un ataque «presuntamente patrocinado por un estado» se lleve por las buenas datos de 500 millones de cuentas y nadie se diera cuenta hasta que un bocazas presumió de ello en Internet.
El asunto es la comidilla de los especialistas: Hernan Bhargava, profesor de la Universidad de California Davis, ha sido muy rápido en sacar conclusiones: sin siquiera haberse hecho cargo de los activos de Yahoo, Verizon puede resignarse a la desafección de un gran número de usuarios. La dificultad está en calcular el valor de cada desertor para detraerlo de la factura: Bhargava lo calcula en una horquilla de 25 a 200 dólares cada uno.
Sobre alguien caerán las responsabilidades, digo yo. El papel de Marissa Mayer como CEO de Yahoo desde julio de 2012 ha sido destrozado por una fata grave de gobernanza, y puede que tenga complicado cobrar el finiquito de 44 millones de dólares. Portavoces de Verizon han susurrado a los medios que el acuerdo firmado contempla la compra de activos operativos, excluyendo cualquier pasivo u obligaciones pendientes. Por no hablar de una crisis de reputación que nadie pudo prever.
La fase forense está abierta. Aparte de la vaga atribución inicial, no está demostrado que un estado extranjero estuviera involucrado, ni para qué querría ese patrocinador gubernamental los datos de medio medio billón de internautas. Según Yahoo, con la poca credibilidad que le queda, no hay rastros de intrusiones posteriores y «las vulnerabilidad aprovechadas por los hackers han sido mitigadas o corregidas para que el problema no vuelva a ocurrir».
El problema de Verizon no es sólo medir el riesgo de reputación que asume, sino empezar por determinar «si la política de protección de datos de Yahoo ha sido razonable» y si hay indicios de «grave negligencia». En particular, se quiere averiguar si alguien descubrió la brecha y no informó o, si informó, qué hicieron sus superiores. De la respuesta a estas preguntas podría depender, como poco, una rebaja de varios cientos de millones de dólares.
La complejidad jurídica del caso – posiblemente sin precedentes – obedece a que la fechoría se descubrió en medio de una transacción aún no cerrada. Podría ocurrir que cierto número de usuarios se organizaran para presentar una demanda colectiva, a la que Yahoo – bajo presión de Verizon – probablemente respondería con un arreglo extrajudicial. Pero en todo caso, Yahoo está expuesta a una sanción por parte del gobierno federal. La legislación vigente obliga a las compañías a comunicar cualquier robo de datos y, llegado el caso, a responder pecuniariamente ante los titulares de las cuentas por no haberles informado a su debido tiempo.
Con independencia de esas cuestiones, Yahoo está expuesta a una sanción gubernamental. La legislación obligaría a la compañía (y a sus accionistas, en última instancia) a responder pecuniariamente ante los titulares de las cuentas por no haber contactado con ellos en su debido momento. Los expertos vaticinan que el episodio hará que otras empresas tomen medidas para reforzar sus sistemas de autentificación, etcétera. Pero lo mismo se dice después de cada ataque voluminoso y al tiempo ocurre otro que lo supera.