Todos los días conocemos una nueva fuga de datos. Sin embargo, en esta ocasión, es interesante observar cómo MyHeritage ha manejado la situación ya que es la primera fuga de datos que conocemos tras la entrada en vigor del Reglamento Genenal de Ptrotección de Datos (RGPD).

Durante dos años, la especulación ha estado circulando sobre lo que podría pasar una vez la ley entrase en vigor. Y es que, aunque la mayoría de las grandes organizaciones están comprometidas con el cumplimiento, muchas esperaban a ver los resultados.

La situación de MyHeritage con reguladores y usuarios, así como la investigación en curso sobre la causa de este ataque, es una señal positiva, lo que coloca a la compañía por encima de cualquier sospecha por el momento. Sin embargo, si se descubre un único proceso no conforme, la empresa puede ser la primera en recibir una multa por incumplimiento del RGPD, lo que no sólo conlleva una sanción financiera, sino también la pérdida de la confianza del cliente.

El RGPD acaba de entrar en vigor y en MyHeritage lo saben. Por ello, han actuado de acuerdo con sus directrices de informes para violaciones de la protección de datos. Desde el primer momento hicieron público el problema ya que las direcciones de correo electrónico se pueden vincular directamente con las personas involucradas. Han establecido canales de comunicación donde los interesados ​​pueden obtener información sobre la fuga, y comenzaron la investigación dentro de las 72 horas.

Si bien aún se desconoce el origen de la violación, MyHeritage ha anunciado que, para aumentar el nivel de seguridad del cliente, implementarán medidas de autenticación fuerte / multifactorial. Esta medida consiste en pedirles a los usuarios que se conecten a través de al menos dos modos de autenticación complementarios en lugar de una sola contraseña inicialmente.

Estamos en 2018 y los datos se ven continuamente amenazados por lo que esta medida debería ser implementada por todos. Además, con el nuevo reglamento, es responsabilidad de los usuarios exigir la implementación de una autenticación fuerte y evitar sitios (bancos, etc.) que no la ofrecen.

No obstante, eso no nos protege al 100% de los ataques de los cibercriminales. MyHeritage mencionó en su blog que la única información que almacenan son las direcciones de correo electrónico y las contraseñas hash, mientras que el resto lo gestionan terceros.

Si es así, una autenticación fuerte puede no ser suficiente. El acceso a los datos personales ya requiere algún tipo de privilegios para un usuario y el RGPD insiste fuertemente en que cualquier persona expuesta a datos personales dentro de una organización debe ser administrarlos de acuerdo con el principio de minimización de datos, es decir, debería tener acceso solo a la cantidad de datos personales necesarios para llevar a cabo sus tareas diarias.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario