La empresa de pruebas genéticas 23andMe reconoció que sus sistemas sufrieron un robo de datos de identidad y ADN de casi siete millones de sus clientes. La información, que hoy se encuentran a la venta en la dark web, incluye nombres, domicilios, fecha de nacimiento, estimación de orígenes, marcadores genéticos de rama paterna y de rama materna, datos de salud y fotos, entre otros elementos. El hecho planteó serias preocupaciones sobre la seguridad y privacidad de los datos genéticos de los usuarios, así como los riesgos potenciales asociados a su acceso por terceros.
El tipo de ciberdelito fue un scrapping de información, y no un hackeo de la base de datos. Según el medio Bleeping Computer, la seguridad de 23andMe se vulneró mediante el relleno de credenciales, es decir el acceso a cuentas legítimas reutilizando contraseñas robadas en otras filtraciones de datos. Si bien la compañía de Anne Wojcicki —esposa de Sergey Brin, uno de los creadores de Google— negó inicialmente el suceso, lo reconoció en un comunicado en el que aseguró que, al menos hasta el momento, no hay indicios de un incidente de seguridad mayor.
Sin embargo, la cuenta de X Dark Web Informer reveló que el robo alcanzó a casi siete millones de personas; según Axios, las cuentas afectadas pertenecen a usuarios que se habían suscripto a la herramienta DNA Relatives (Familiares de ADN), que encuentra vínculos genéticos entre las personas que mandaron su muestra de saliva a 23andMe y les permite ver la información básica de los perfiles de potenciales familiares.
A comienzos de octubre, los hackers expusieron en BreachForums una muestra de los datos sobre casi un millón de personas unidas por su ascendencia judía askenazí y otras 300.000 de ascendencia asiática. El día 4 comenzaron a venderlos por entre USD 1 y USD 10 por perfil.
Según el equipo de seguridad de 23andMe, el ciberrobo no alcanzó a la base de datos donde se guarda la información genética completa de los suscriptores del servicio. A partir de ella los usuarios de 23andMe pueden explorar su ascendencia étnica, conocer posibles predisposiciones a enfermedades y participar en investigaciones científicas.
Si bien la compañía de Wojcicki insistió en que la filtración no alcanzó a datos de secuenciación genómica, la preocupación de los usuarios se agravó al conocerse la venta de información en la dark web, ya que sigue siendo información privada y personal. La plataforma de análisis genéticos directos al consumidor recomendó a sus clientes que cambien sus contraseñas de forma inmediata y que no reusen las que tienen para acceder a otros sitios.