¿Es segura Yandex.Mail en 2025? Análisis completo de su protección contra hackeos y vigilancia

¿Es segura Yandex.Mail en 2025? Análisis completo de su protección contra hackeos y vigilancia

«Acaban de hackear mi correo en Yandex. Ahora los estafadores están pidiendo dinero a todos mis contactos» — ese mensaje de un amigo recibí anoche en un mensajero. Extraño, pensé, si Yandex siempre presume de sus sistemas de seguridad. ¿Cómo pudo pasar? Al investigar, descubrí que mi amigo ignoraba la autenticación de dos factores y usaba la contraseña «Russia2025!» en todas sus cuentas. Vaya seguridad...

Esta historia me hizo preguntar: ¿qué tan protegido está realmente Yandex.Mail? Cada día confiamos en él documentos financieros, correspondencia personal y accesos a otros servicios a través de la función de recuperación de contraseñas. En esencia, el correo es la llave de toda nuestra vida digital. Y si esa llave cae en manos ajenas, las consecuencias pueden ser catastróficas.

Dejemos a un lado las promesas de marketing y veamos la situación real. ¿Qué puede oponer Yandex frente a hackers, estafadores y... agencias estatales? Spoiler: la situación es ambivalente.

Mecanismos integrados de protección de Yandex.Mail

Yandex no se queda quieto y mejora constantemente la protección de sus servicios. En los últimos años la compañía ha implantado todo un arsenal de herramientas que aumentan significativamente la seguridad de los usuarios. Veamos las más relevantes —muchas personas las usan sin sospecharlo.

Cifrado de la conexión y del almacenamiento de datos

Empecemos por el nivel básico de protección. Yandex.Mail utiliza el protocolo HTTPS para todas las conexiones, lo que asegura el cifrado de los datos en su tránsito entre su dispositivo y los servidores de Yandex. Eso significa que, incluso si alguien intercepta el tráfico (por ejemplo, al usar una Wi‑Fi pública), sólo obtendrá un conjunto de caracteres cifrados en lugar de sus correos y contraseñas.

En cuanto al almacenamiento en servidores, Yandex afirma que aplica métodos modernos de cifrado y control de acceso. Aunque la compañía no revela todos los detalles técnicos (lo cual es lógico desde el punto de vista de la seguridad), se sabe que los datos se guardan en un sistema distribuido con varios niveles de protección.

Autenticación de dos factores

Probablemente sea el arma más poderosa contra el acceso no autorizado a su cuenta. La autenticación de dos factores (2FA) exige no solo la introducción de la contraseña, sino también la confirmación mediante un segundo canal —normalmente un código por SMS o una notificación push en la aplicación Yandex.Key.

Imagine que su cuenta es una caja fuerte con dos cerraduras. Incluso si un atacante averigua la contraseña (la primera llave), sin el segundo factor (la segunda llave) no podrá entrar. Según las estadísticas de Yandex, activar la 2FA reduce la probabilidad de hackeo de una cuenta en más del 99%.

Puede configurar la autenticación de dos factores en la sección «Seguridad» de los ajustes de Yandex ID. Hay varios métodos disponibles:

  • Recibir un código por SMS (el más extendido, pero no el más seguro)
  • Usar la aplicación Yandex.Key (una opción más segura)
  • Notificaciones push en el dispositivo móvil
  • Llaves hardware U2F (la más segura, aunque requiere comprar un dispositivo específico)

Protección contra phishing y spam

Yandex combate activamente las dos principales plagas del correo electrónico: el spam y el phishing. El sistema de filtrado se entrena constantemente y, hay que reconocer, funciona con bastante eficacia. En mi bandeja, por ejemplo, durante el último año el filtro de spam interceptó más de 3000 correos, y solo un par fueron falsos positivos.

Se presta especial atención a identificar correos de phishing —aquellos que se hacen pasar por mensajes legítimos de bancos, plataformas de pago o tiendas en línea para extraer sus datos personales. Yandex.Mail marca los correos sospechosos con advertencias especiales y bloquea adjuntos potencialmente peligrosos.

Dato interesante: según estadísticas internas de Yandex, sus algoritmos detectan hasta el 94% de los correos de phishing antes de que lleguen a los usuarios. Impresionante, ¿no?

Verificación de la autenticidad del remitente

Yandex.Mail soporta los protocolos SPF, DKIM y DMARC, que ayudan a comprobar si un correo proviene realmente del remitente indicado. Esto es especialmente importante en mensajes de bancos, organismos oficiales y otras instituciones. Si el sistema detecta incongruencias, el correo puede marcarse como sospechoso o enviarse directamente a spam.

Cuando ve el icono verde con una marca junto a la dirección del remitente, significa que Yandex confirmó la autenticidad del mensaje. Eso no garantiza que el contenido sea seguro, pero al menos puede confiar en que fue enviado desde el dominio indicado.

Amenazas potenciales y vulnerabilidades

A pesar de todos los esfuerzos de Yandex, el servicio de correo, como cualquier otra plataforma en línea, no está exento de vulnerabilidades. Analicemos los riesgos principales y cuán reales son.

Recolección de datos y privacidad

Quizá el aspecto más controvertido del uso de Yandex.Mail es la cuestión de la privacidad. Al igual que la mayoría de los servicios de correo gratuitos, Yandex analiza el contenido de los correos para publicidad dirigida y para mejorar sus servicios. Esto está indicado de forma explícita en la política de privacidad.

Por un lado, es una práctica común —Google hace lo mismo con Gmail. Por otro lado, el hecho de que alguien (aunque sea un algoritmo) «lea» sus correos puede generar incomodidad, sobre todo si en ellos se tratan asuntos personales o comerciales confidenciales.

Curiosamente, en 2020 Yandex declaró que dejaría de usar el contenido de los correos para publicidad, limitándose al análisis de metadatos (direcciones, asuntos, fechas). Sin embargo, el análisis del contenido para mejorar servicios y para seguridad aún se realiza.

Vigilancia estatal y acceso a datos

Ahora hablemos del elefante en la habitación que muchos prefieren no ver: la vigilancia estatal. La seguridad del correo no es solo protección contra hackers y estafadores, sino también la privacidad frente a fuerzas del orden y agencias especiales.

Realidades legislativas en Rusia

Aquí todo es bastante claro: como empresa rusa, Yandex está obligado a cumplir la legislación local, incluida la tristemente famosa Ley Yarovaya y el sistema SORM-3 (Sistema de medios técnicos para asegurar funciones de investigación operativa).

¿Qué significa eso en la práctica? Por ley, Yandex debe:

  • Conservar los correos de los usuarios al menos 6 meses
  • Proporcionar acceso a la correspondencia por solicitud de las autoridades (con una orden judicial, aunque la práctica real puede variar)
  • Entregar claves de cifrado al FSB para descifrado de datos, si se usa cifrado
  • Almacenar los datos de usuarios rusos en servidores ubicados físicamente en Rusia

A diferencia de servicios como ProtonMail, que pueden decir a las autoridades «nos gustaría ayudar, pero no tenemos la capacidad técnica para leer los correos de nuestros usuarios», Yandex no disfruta de ese lujo. La compañía no usa cifrado de extremo a extremo, por lo que teóricamente puede acceder al contenido de cualquier mensaje.

Comparación con la situación en otros países

No sería justo pensar que solo las autoridades rusas se interesan por la correspondencia de los ciudadanos. El programa PRISM en Estados Unidos, revelado por Edward Snowden, mostró que las agencias estadounidenses tenían acceso a datos de usuarios de Gmail, Outlook y otros servicios populares.

La diferencia, sin embargo, está en los procedimientos legales y en las capacidades técnicas. En EE. UU. para acceder a los correos suele requerirse una orden judicial, y muchos servicios emplean sistemas de cifrado complejos que dificultan la recolección masiva. En Rusia, especialmente tras una serie de cambios legislativos de la última década, las barreras para acceder a la correspondencia personal son considerablemente más bajas.

Qué significa esto para el usuario medio

Si no planea un golpe de Estado ni otra actividad ilícita, no hay motivos directos para la paranoia. Es poco probable que alguien se ponga a leer su correspondencia con la suegra sobre una receta de borscht.

Sin embargo, si usted es:

  • Un periodista, especialmente de investigación sobre temas sensibles
  • Un activista político u opositor
  • Un empresario que maneja información comercial importante
  • Simplemente una persona que valora su privacidad por principio, entonces conviene considerar alternativas o medidas adicionales de protección.

Posibles soluciones para mayor privacidad

Si le preocupa la vigilancia estatal, existen varias estrategias posibles:

  1. Usar servicios extranjeros con cifrado de extremo a extremo — ProtonMail, Tutanota u otras soluciones especializadas para comunicaciones confidenciales.
  2. Cifrado PGP — incluso usando Yandex.Mail, puede cifrar el contenido de correos concretos con PGP para que solo los destinatarios con la clave correspondiente puedan leerlos.
  3. Usar una VPN — dificulta el rastreo de su actividad, aunque no protege el contenido del buzón.
  4. Segregar las comunicaciones — usar canales distintos para diferentes tipos de información: correo normal para asuntos cotidianos, mensajeros seguros o servicios especializados para temas sensibles.

Hay que entender que la protección absoluta no existe y que cualquier método tiene sus limitaciones. A menudo, una estrategia sencilla pero fiable es más efectiva que intentar montar un sistema complejo que no podrá mantener en el tiempo.

Posibilidad de que la cuenta sea hackeada

A pesar de todas las medidas, las cuentas de Yandex.Mail todavía se hackean. En la gran mayoría de los casos no se debe a fallos técnicos del servicio, sino a errores de los propios usuarios:

  • Usar contraseñas débiles que son fáciles de adivinar
  • Reutilizar la misma contraseña en sitios distintos
  • Caer en páginas de phishing e introducir voluntariamente las credenciales
  • Infectar el dispositivo con malware, incluidos keyloggers que registran las pulsaciones
  • No activar la autenticación de dos factores

Según el soporte técnico de Yandex, más del 80% de los hackeos se deben a alguna de estas causas. Es decir, en términos generales, los usuarios entregan las llaves de sus cuentas a los atacantes.

Recomendaciones prácticas para un uso seguro

En lugar de divagar sobre seguridad, pasemos a pasos concretos que puede tomar hoy mismo para proteger su buzón en Yandex.

Fortalecer la protección de la cuenta

Empecemos por lo más importante: la protección básica de su cuenta:

  1. Active la autenticación de dos factores. Es la medida más eficaz. Vaya a ajustes de Yandex ID → Seguridad → Autenticación de dos factores y siga las instrucciones. Es preferible usar la aplicación Yandex.Key en lugar de SMS.
  2. Cree una contraseña única y compleja. La contraseña ideal debe ser larga (desde 12 caracteres), incluir mayúsculas y minúsculas, números y símbolos. Y lo más importante: debe ser única para Yandex; no la use en otros sitios.
  3. Configure la verificación de acceso desde nuevos dispositivos. Yandex puede notificarle sobre intentos de acceso desde dispositivos desconocidos o lugares inusuales. Active esta función en seguridad.
  4. Revise regularmente el historial de accesos. En los ajustes de seguridad de Yandex ID hay una sección «Historial de accesos» donde puede ver todos los dispositivos que han iniciado sesión. Si detecta algo sospechoso, cambie la contraseña inmediatamente.

Protección frente a phishing e ingeniería social

Las medidas técnicas son importantes, pero su atención lo es tanto o más:

  1. Compruebe la dirección del remitente. Los estafadores suelen usar direcciones parecidas a las oficiales con pequeños cambios. Por ejemplo, en lugar de support@sberbank.ru puede aparecer support@sberbnk.ru u otra variante similar.
  2. No haga clic en enlaces sospechosos. Si recibe un correo inesperado que le insta a «ir urgentemente e introducir datos», casi seguro es phishing. En lugar de hacer clic, abra el sitio oficial de la empresa manualmente y verifique la información allí.
  3. Tenga cuidado con los adjuntos. No abra archivos de remitentes desconocidos, sobre todo ejecutables (.exe, .bat) o documentos con macros.
  4. Sea escéptico ante solicitudes «urgentes». Crear sensación de urgencia es una táctica habitual de los estafadores. «Su cuenta será bloqueada en 24 horas», «Confirme el pago de inmediato» — todo eso debe levantar sospechas.

Un truco sencillo: si duda de la autenticidad de un correo de un banco u otra organización, llame al número oficial de atención al cliente (búscalo en la web oficial, no en el propio correo) y confirme la información.

Medidas adicionales de protección

Para quienes buscan la máxima seguridad:

  1. Use un gestor de contraseñas. Programas como 1Password, LastPass o KeePass ayudan a crear y almacenar contraseñas largas y únicas para cada servicio.
  2. Abra una cuenta separada para servicios importantes. Es buena práctica tener distintos buzones para diferentes propósitos: uno para bancos y finanzas, otro para registros en sitios, y otro para la correspondencia personal.
  3. Actualice dispositivos y software con regularidad. Muchos ataques aprovechan vulnerabilidades conocidas en software obsoleto. Instalar las últimas actualizaciones reduce significativamente ese riesgo.
  4. Use VPN al conectarse en redes Wi‑Fi públicas. Es una capa adicional de protección, especialmente importante al usar redes públicas.

Qué hacer si su cuenta ha sido comprometida

Incluso siguiendo todas las precauciones no existe garantía del 100%. Si nota signos de compromiso (correos extraños enviados desde su cuenta, accesos desconocidos en el historial, cambios en la configuración), actúe con rapidez:

  1. Recupere el acceso. Use el formulario de recuperación en la página de inicio de sesión de Yandex. El proceso puede incluir respuestas a preguntas de control, confirmación por correo alternativo o por teléfono.
  2. Cambie la contraseña de inmediato. Tras recuperar el acceso, establezca una contraseña nueva y compleja.
  3. Revise reglas de reenvío y filtros. Los atacantes pueden configurar reenvío automático de sus correos a otra dirección o crear reglas para ocultar ciertos mensajes.
  4. Avisar a sus contactos. Si desde su dirección se enviaron spam o correos de phishing, informe a quienes puedan haberlos recibido.
  5. Cierre todas las sesiones activas. En ajustes de seguridad existe la opción «Cerrar sesión en todos los dispositivos» — úsela.
  6. Contacte al servicio de soporte. Si no puede recuperar el acceso por su cuenta, contacte al soporte de Yandex.

No olvide revisar otras cuentas, sobre todo si usaba contraseñas similares. El hackeo del correo puede ser solo la punta del iceberg.

Conclusión: ¿debería confiar en Yandex.Mail en 2025?

En lugar de generalidades aburridas, pongamos los puntos sobre las íes. Tras varias semanas investigando el tema y conversando con expertos en ciberseguridad, aquí mi veredicto honesto:

Yandex.Mail es como un apartamento en un bloque de pisos estándar. Hay cerraduras en las puertas, e incluso son buenas. El conserje (en forma del equipo de seguridad de Yandex) también está presente. Pero al mismo tiempo, el comisario local tiene una llave maestra, y las paredes son tan delgadas que los vecinos (los algoritmos publicitarios) oyen sus conversaciones.

Para el uso cotidiano —pagar facturas, escribir a amigos y hacer pedidos en AliExpress— Yandex.Mail es adecuado. Siempre que, claro, active la autenticación de dos factores y no use la contraseña «123456». Desde el punto de vista técnico, el servicio está bien protegido contra hackers y phishers comunes.

Pero si guarda en su correo planes de negocio que no deben ver competidores, mantiene correspondencia sobre temas políticamente sensibles o simplemente no quiere que terceros —empleados de Yandex o representantes del Estado— puedan leer sus mensajes, debería buscar otras soluciones.

Y otra cosa: la protección más sofisticada es inútil frente a la imprudencia humana. Los hackeos más sonados de correos en Rusia en los últimos años no se debieron a fallos de Yandex, sino a que la gente:

  • Introdujo sus contraseñas en sitios de phishing
  • Instaló aplicaciones sospechosas en sus dispositivos
  • Usó la misma contraseña en todas partes
  • Ignoró las advertencias sobre accesos sospechosos

Ninguna medida técnica lo salvará de esos errores. La seguridad digital es, más que tecnología avanzada, sentido común y precauciones básicas.

Me gusta la analogía con conducir: puede comprarse un Volvo muy seguro con decenas de airbags, pero si conduce en sentido contrario sobre hielo, ninguna tecnología lo salvará.

Así que mi veredicto es: Yandex.Mail es lo bastante seguro... si usted no crea agujeros en su propia defensa. Y si no le preocupa el posible interés por su correspondencia por parte de ciertas estructuras. Al fin y al cabo, la mayoría de nosotros no tenemos nada que ocultar, ¿no?

Y usted, por cierto, ¿cuándo fue la última vez que cambió la contraseña de su correo?

Alt text
article-title

Hacker