Incidente de Ciberseguridad: Actualización del 10 de Junio

Comentarios6

Esta es una actualización con respecto a la filtración de datos que afectó a MyHeritage, de la que informamos por primera vez el 4 de junio, y que se actualizó aquí. En la brecha, un investigador de seguridad encontró un archivo con direcciones de correo electrónico y contraseñas hash (que en realidad no son contraseñas) de 92,3 millones de usuarios de MyHeritage en un servidor privado de Internet, quien lo denunció al CISO (Chief Information Security Officer) de MyHeritage. MyHeritage denunció inmediatamente la infracción y tomó medidas para hacer frente a la situación, que se describen en los enlaces del blog de arriba y se explican con más detalle en esta actualización.

A partir del 7 de junio, empezamos a enviar correos electrónicos individuales a nuestros usuarios para informarles sobre el incidente y pedirles que cambiaran su contraseña en MyHeritage, con el fin de estar protegidos. También recomendamos que cualquiera que utilice la misma contraseña en varios sitios web (esta es una práctica inadecuada), debe cambiar su contraseña en esos sitios también. Esta es una precaución de seguridad común; es más seguro tener una contraseña única en cada cuenta de servicio que utilice.

Recomendamos también activar la autenticación de dos factores en el correo electrónico dirigido a nuestros usuarios. Esta es una función importante para asegurar las cuentas en MyHeritage, que se publicó el 6 de junio. Cuando se activa, puede proteger su cuenta contra el acceso no autorizado, incluso en el caso de que otra persona conozca ya su contraseña. Con la autenticación de dos factores, puede designar un teléfono móvil y vincularlo a su cuenta proporcionando su número de teléfono a MyHeritage. Cada vez que se conecta a MyHeritage desde un nuevo ordenador, un tablet o un teléfono, en caso de que haya transcurrido un mes desde el último inicio de sesión, MyHeritage envía un código de verificación de seis dígitos como mensaje de texto (SMS) a su teléfono móvil y debe introducirlo en MyHeritage para completar el inicio de sesión correctamente. Para más detalles, y si necesita instrucciones para habilitarlo, consulte nuestro comunicado. Miles de nuestros usuarios ya han habilitado la autenticación de dos factores y están disfrutando de protección para sus cuentas, y esperamos que muy pronto se incorporen más.

Dado que estamos enviando una gran cantidad de emails sobre el incidente a millones de usuarios, esto llevará algún tiempo. Si eres usuario de MyHeritage y aún no has recibido el email, por favor ten paciencia, lo recibirás pronto.

El 5 de junio, iniciamos la expiración de todas las contraseñas en MyHeritage y ahora hemos completado este proceso. Cualquier persona que inicie sesión en MyHeritage con una contraseña caducada deberá establecer una nueva contraseña, un proceso que incluye el envío de un mensaje de correo electrónico a la dirección de correo electrónico del usuario que figura en el archivo, para garantizar que, incluso si la contraseña anterior se ha visto comprometida, nadie, excepto el usuario, podrá establecer una nueva contraseña y recuperar el acceso a la cuenta.

Estamos tomando medidas adicionales para reforzar aún más la seguridad de las cuentas de MyHeritage. Estos pasos pueden causar algunos inconvenientes a nuestros usuarios. Por ejemplo, los usuarios que han estado conectados al sitio web durante un largo período de tiempo, y que nunca han salido y vuelto a entrar, encontrarán que tienen que establecer una nueva contraseña y conectarse con más frecuencia. La seguridad adicional justifica las molestias.

Le recordamos que los usuarios de MyHeritage que tengan preguntas o inquietudes sobre este incidente pueden ponerse en contacto con nuestro equipo de asistencia al cliente en materia de seguridad por correo electrónico en privacy@myheritage.com o por teléfono a través del número gratuito (EE.UU.) +1 888 672 2875, disponible las 24 horas del día, los 7 días de la semana. Hemos reclutado 40 miembros adicionales de soporte a tiempo completo que se unirán a nuestro equipo de soporte las 24 horas del día, los 7 días de la semana, para ayudarnos a hacer frente a las crecientes necesidades de soporte al cliente de este incidente. Anticipamos que habrá tiempos de espera más largos en las líneas telefónicas. Si usted llama y se encuentra en una larga cola, por favor déjenos un mensaje de voz y le devolveremos la llamada tan pronto como sea posible. La mayoría de los usuarios que se han puesto en contacto con el servicio de asistencia han sido muy comprensivos con las medidas que hemos tomado para solucionar el problema y, en general, han solicitado ayuda con el proceso de establecer una nueva contraseña o de añadir la autenticación de dos factores, una ayuda que estamos encantados de ofrecer.

Resumen

Lamentamos lo que pasó. No son buenas noticias. Pero no ha habido evidencia que se haya filtrado algo más allá de las direcciones de correo electrónico y las contraseñas hash, que que no son contraseñas reales, y tampoco hay ninguna evidencia de acceso no autorizado a las cuentas de usuario y datos en MyHeritage. Los datos de ADN están protegidos por niveles adicionales de seguridad y no se almacenan en el mismo sistema que guarda las identidades de usuario. Un usuario puede descargar sus propios datos de ADN, pero el procedimiento para ello requiere no sólo la introducción de la contraseña, sino también la autorización a través del correo electrónico del usuario, por lo que no puede hacerlo ni siquiera alguien que conozca su contraseña. En nuestras estadísticas internas no se ha registrado ningún aumento de las descargas de datos de ADN durante el último año. Las anteriores contraseñas han caducado y ya no se pueden utilizar para acceder a las cuentas. La Autenticación de Doble Factor está ahora disponible para proteger aún más su cuenta. Esto no está disponible en ninguno de los otros sitios principales de ADN y genealogía.

En definitiva, esperamos que estas medidas demuestren aún más a nuestros usuarios nuestro compromiso con la privacidad y seguridad de sus datos, y confiamos en que este incidente llevará a MyHeritage a ser más seguro que nunca.

Agradecemos a nuestros usuarios su confianza y continuaremos manteniéndoles informados de la situación.

El equipo de MyHeritage

Deje un comentario

Su dirección de email no será publicada

  • Josep maria gallinat


    junio 19, 2018

    Mi dirección es gallibar@gmail.com donde no puedo entrar. En su día abril otra cuenta que no utilizo con dirección gallibar67@

  • Beatriz Posada de Cobo


    junio 19, 2018

    Gracias por toda la información recibida a raíz del incidente de ciberseguridad ocurrido en los primeros días de Junio del 2018. Me imagino el trabajo tan dispendioso que les ha ocasionado este problema, pero veo que afortunadamente ustedes han obrado con prontitud y el asunto no ha pasado a mayores.
    He cambiado mi contrasena pero no veo la necesidad de utilizar una clave más como es el número telefónico. Considero mi árbol muy pequeno como para que alguien tenga curiosidad de invadirlo, hacer cambios o qué se yo. Aún me pregunto cuál era el interés de la gente en robarse los 92 millones y pico de direcciones a no ser para vender las direcciones a diferentes negocios. Muchas gracias por toda la información recibida y confiemos que el problema quedó solucionado debido a la oportunidad con la que obraron los directivos de MyHeritage. Felicitaciones de mi parte.

    • Sonia Meza


      julio 4, 2018

      Gracias Beatriz 😉

  • Fabian Bernard


    julio 4, 2018

    La contraseña de mi sesion expiro y ya no poseo mas la cuenta de correo con la que me registre al sitio, por lo que no puedo recibir las instrucciones para actualizar los datos de ingreso y poder sincronizar mi sitio. Que otras alternativas tengo para recuperar la sesion?
    Muchas gracias por su respuesta