Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Venta en la Dark Web: ADN de Millones de 23andMe

Escrito por Zoilijee Quero | Nov 7, 2023 3:00:00 PM

Hoy en día, donde los datos se han convertido en uno de los activos más valiosos, la información que podría considerarse más personal y única, nuestro ADN, está bajo amenaza constante. Las empresas que ofrecen servicios de pruebas genéticas han ganado popularidad, prometiendo revelar no solo tu ascendencia, sino también posibles riesgos de salud y enfermedades hereditarias. Sin embargo, lo que muchos no consideran es la seguridad de esta información extremadamente sensible. En teste artículo profundizaremos en cómo operan estas empresas, como 23andMe, y la realidad oscura y a menudo ignorada de la vulnerabilidad de los datos de ADN.

 

La Seducción de los Secretos Genéticos

 

Empresas como 23andMe han construido su modelo de negocio ofreciendo a los consumidores la llave a los secretos almacenados en su código genético. Por una tarifa, envías una muestra de tu saliva a su laboratorio y semanas después, recibes un informe detallado de tus orígenes étnicos, parentesco con poblaciones antiguas e incluso predisposiciones a ciertas condiciones de salud.

Sin embargo, detrás de esta emocionante revelación de misterios ancestrales y predicciones de salud, existe un vasto repositorio de datos. Cada persona que envía su muestra contribuye al crecimiento de una base de datos genética que es tan rica y única como potencialmente peligrosa.

Los datos biométricos poseen una sensibilidad extrema. En este contexto, las empresas de análisis genético, como 23andMe, se convierten en blancos atractivos para los cibercriminales. Las preocupaciones latentes se han materializado, con la empresa confirmando que los datos personales de sus clientes han sido expuestos en foros clandestinos de la Dark Web, la causa raíz: un ciberataque ejecutado a través de una técnica conocida como relleno de credenciales.

 

Te podría interesar leer:  Ataques de Relleno de Credenciales: El Punto Débil



Aunque 23andMe enfatiza que su base de datos central no fue directamente infiltrada, reconocen que se ha comprometido una cantidad significativa de información interna. Este acceso no autorizado se logró utilizando una estrategia engañosamente simple: el relleno de credenciales. Este método implica el uso malintencionado de nombres de usuario y contraseñas recopilados de otros incidentes de ciberseguridad para intentar acceder a cuentas en diferentes plataformas.

Según se ha divulgado en los foros clandestinos de la Dark Web, las cuentas afectadas ascienden a aproximadamente 7 millones. Estos son clientes cuyas credenciales eran idénticas a las utilizadas en otros servicios que han sufrido brechas de seguridad. Los datos comprometidos incluyen nombres, fotografías, ubicaciones geográficas e información relacionada con los 'DNA Relatives', un servicio adicional que proporciona 23andMe para ayudar a los usuarios a descubrir posibles relaciones genéticas con otras personas.

La vulnerabilidad de las credenciales en línea, especialmente aquellas que se reutilizan en múltiples plataformas, pone de relieve la importancia de prácticas de seguridad digital robustas. Esto incluye el uso de contraseñas únicas para cada servicio y la implementación de medidas de autenticación de múltiples factores siempre que sea posible. Los usuarios de servicios de análisis genético y otras plataformas digitales deben estar conscientes de estos riesgos y actuar proactivamente para proteger sus datos personales y biométricos.

 

Podría interesarte leer:  Monitoreo Darkweb: Protección Esencial para Empresas

 

 

El Mercado Negro de los Datos Genéticos

 

La dark web ha sido durante mucho tiempo un refugio para el comercio de información ilícita. Aquí, en este rincón sombrío de Internet, los datos no son simplemente datos; son una moneda de cambio. Y los datos genéticos, con su promesa de exclusividad y aplicaciones amplias, pueden ser considerados de alto valor.

La exposición inicial de datos de 23andMe, revela que se ofreció en venta una base de datos conteniendo "1 millón de registros de individuos Ashkenazí", referente a uno de los grupos étnicos judíos más numerosos. Además, otra base de datos que incluye detalles de 300,000 usuarios de ascendencia china también ha sido listada en el mercado. Los precios de estas bases de datos fluctúan entre un dólar y diez dólares por perfil individual.

Los vendedores de estos registros detallan que, entre los datos comprometidos, se encuentra el genotipo de los individuos. Esta información es crítica ya que permite predecir la predisposición de una persona a diversas enfermedades, un aspecto de gran valor, especialmente para las compañías de seguros debido a su naturaleza delicada.

No obstante, 23andMe aclara que, aunque la información genética general de los perfiles está involucrada, los detalles genéticos directos del ADN de los usuarios no se han divulgado en esta brecha.

La empresa continúa evaluando la gravedad del incidente y deliberando los pasos a seguir. Subrayan su compromiso con los más altos niveles de confidencialidad y mencionan que poseen tres distintas certificaciones ISO que validan sus protocolos de seguridad. Como medida preventiva, instan a todos los usuarios a cambiar sus contraseñas, asegurándose de que la nueva contraseña sea exclusiva para este servicio.

 

Te podrá interesar leer:  Explorando las Profundidades de Internet: Deepweb vs Darkweb

 

Fallas en la Fortaleza: Realidades de la Ciberseguridad

 

Si bien empresas como 23andMe aseguran que la privacidad y seguridad de los datos de sus clientes son una prioridad, la realidad es que ningún sistema es infalible. Los ataques de ransomware, donde la información se secuestra a cambio de un rescate y otras formas de brechas de datos son tristemente comunes. Estas empresas están en una carrera constante contra actores malintencionados que están siempre evolucionando en sus tácticas.

Además, existe la cuestión de la consentimiento y la transparencia. Aunque podrías haber dado permiso para el uso de tus datos en la investigación, las políticas de privacidad a menudo densas y confusas pueden ocultar la extensión de este uso. ¿Está tu ADN siendo compartido con terceros? ¿Tienes la opción de eliminar tus datos completamente si cambias de opinión?

 

Te podría interesar leer: Ransomware as a Service: Una Amenaza Alarmante

 

Protegiendo Tu Código de Vida

 

Dado el paisaje riesgoso, es esencial tomar medidas para proteger tu información genética. Antes de enviar ese tubo de saliva, considera los siguientes pasos:

 

  1. Lee la letra pequeña: Asegúrate de entender completamente cómo se utilizará tu información y si la empresa comparte datos con terceros.

  2. Pregunta y decide: Ve si puedes optar por no participar en ciertas comparticiones de datos, especialmente con entidades externas.

  3. Mantente informado: Sigue las noticias sobre brechas de datos y actualizaciones de políticas de la empresa.

  4. Habla con un profesional: Si tienes preocupaciones sobre la privacidad de tus datos genéticos, puede ser útil discutir estas cuestiones con un profesional legal o de ciberseguridad.

 

La promesa de desbloquear los secretos almacenados en nuestro ADN es sin duda seductora. Sin embargo, en esta era digital, donde los datos son oro y la ciberseguridad es una batalla constante, es vital proceder con precaución. Las empresas que almacenan nuestra información genética tienen la responsabilidad de protegerla y nosotros como consumidores y proveedores de esa información, tenemos el derecho de exigir transparencia y seguridad en cada paso del proceso.

En este delicado equilibrio entre la curiosidad humana y la prudencia digital, la comprensión educada y la toma de decisiones informada son nuestras herramientas más poderosas. Asegurémonos de usarlas sabiamente.