La seguridad de los datos personales es una preocupación creciente, y esto es aún más crítico cuando se trata de información genética. Recientemente, 23andMe, una empresa líder en pruebas genéticas y análisis de ADN, sufrió una violación de datos significativa, exponiendo información sensible de los usuarios.
El servicio de análisis genético 23andMe confirmó que hackers sustrajeron reportes de salud y datos genéticos sin procesar de clientes durante un ataque de relleno de credenciales, el cual no fue detectado por cinco meses, desde el 29 de abril hasta el 27 de septiembre. Las credenciales empleadas por los intrusos para acceder a las cuentas fueron obtenidas en otras brechas de datos o en plataformas online previamente comprometidas.
Según las cartas de notificación de violación de datos enviadas por la empresa de genómica y biotecnología a los afectados, algunos de los datos sustraídos se publicaron en el foro de piratería BreachForums y en un subreddit no oficial de 23andMe.
Te podrá interesar leer: Ataques de Relleno de Credenciales: El Punto Débil
La información expuesta abarca datos de 1 millón de judíos asquenazíes y 4,1 millones de personas del Reino Unido. 23andMe reveló que el autor del ataque pudo haber descargado o accedido a sus datos genéticos sin procesar y posiblemente a otra información confidencial, como ciertos informes de salud basados en su información genética, incluyendo informes de predisposición a la salud, informes de bienestar y estado del portador.
Además, si la cuenta contenía dicha información, el atacante pudo haber accedido a detalles sobre condiciones de salud autoinformadas y ajustes de cuenta. Para aquellos que usaron la función DNA Relatives de 23andMe, los atacantes podrían haber extraído información de sus perfiles de DNA Relatives y Family Tree.
Entre la información potencialmente visible para los atacantes se encuentra:
- Informes de ascendencia y segmentos de ADN coincidentes,
- Ubicación autoinformada,
- Lugares de nacimiento de antepasados y apellidos,
- Foto de perfil, año de nacimiento y otros detalles de la sección "Preséntate" del perfil.
Una firma de seguridad fue informada por 23andMe en diciembre que los hackers descargaron datos de 6,9 millones de personas de los 14 millones de clientes, tras acceder a unas 14.000 cuentas de usuario. Los datos de 5,5 millones de personas se obtuvieron a través de la función DNA Relatives y 1,4 millones mediante la función Árbol genealógico.
El 10 de octubre, una semana después de detectar el ataque, 23andMe empezó a solicitar a los clientes el cambio de sus contraseñas. Desde el 6 de noviembre, la autenticación de dos factores es obligatoria para todos los clientes nuevos y existentes, como medida contra futuros ataques de relleno de credenciales.
El incidente del año pasado también desencadenó varias demandas contra 23andMe, llevando a la compañía a actualizar sus Términos de uso el 30 de noviembre, con cláusulas que dificultan la participación de los clientes en demandas colectivas. Los nuevos términos establecen que, según la ley aplicable, las disputas deben presentarse individualmente y no como demandas colectivas o arbitrajes colectivos.
23andMe afirmó que estos cambios buscan hacer el proceso de arbitraje más eficiente y comprensible para los clientes.
Conoce más sobre: 23andMe: ADN de millones en venta en la Dark Web
Si eres usuario de 23andMe o de cualquier otro servicio de análisis de ADN, hay algunas acciones que puedes tomar para proteger tu información genética y reducir el riesgo de que sea robada o mal utilizada. Estas acciones son las siguientes:
Podría interesarte leer: Protección de Phishing: No Muerdas el Anzuelo
En conclusión, el robo de datos de 23andMe es un hecho grave que pone en evidencia la vulnerabilidad de los datos genéticos y la necesidad de protegerlos adecuadamente. Los usuarios de 23andMe deben estar informados y alertas sobre este incidente y seguir las recomendaciones de la empresa para salvaguardar su información genética. Asimismo, los usuarios deben ser conscientes de los beneficios y los riesgos de utilizar los servicios de análisis de ADN y de compartir sus datos genéticos con otras personas o entidades.