La empresa 23andMe, especializada en análisis genético, ha sufrido un ciberataque que ha causado el robo de millones de datos de ADN.

En los últimos años, este tipo de análisis se ha generalizado. Son muchas las personas que buscan conocer su ascendencia o su predisposición a padecer diferentes enfermedades con un alto componente genético. El método utilizado por este tipo de empresas, como 23andMe, es a través de una muestra de saliva de la que extraen y analizan parte del ADN. Con esos datos, ofrecen a sus clientes un informe completo que recoge las probabilidades, en función de la mutación de genes, de enfermedades que pueden desarrollar (aunque no es seguro que se vayan a manifestar, simplemente indican a sus clientes que tienen más predisposición).

Además, con la muestra obtenida se puede conocer la procedencia y origen, ya que en el ADN hay una serie de mutaciones que son características de ciertas regiones.

Ciberataque

Los hackers han robado millones de datos (nombre, ubicación, fotos de perfil, sexo, fecha nacimiento, datos médicos y de herencia genética) de cerca de un millón y medio de personas. Los atacantes han utilizado la técnica “scraping”. Este método consiste en extraer datos de una página web, de forma manual o a través de programas o aplicaciones y, posteriormente, utilizarlos en otros sitios web para poder acceder a sus datos internos. De hecho, 23andMe ha publicado un comunicado en el que aseguró que “no tenemos ningún indicio, en este momento, de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas”.  Según la compañía, los resultados preliminares de la investigación sugieren que las credenciales de inicio de sesión, utilizadas en estos intentos de acceso, “pueden haber sido recopiladas por un actor de amenazas a partir de datos filtrados durante incidentes que involucran otras plataformas en línea, donde los usuarios han reciclado el inicio de sesión”.

Comunicado de la empresa 23andMe

Debido a esta situación, 23andMe recomienda a sus clientes:

  • Reforzar las contraseñas de sus cuentas. Estas contraseñas deberán ser robustas y recomiendan que sea única.
  • Aplicar medidas de autentificación de factor múltiple
  • Revisar la sección de privacidad y seguridad de 23andME. En ella se establece información adicional para que los usuarios mantengan sus cuentas seguras.

Los datos extraídos están en la dark web y se han puesto a la venta con un precio de entre 1 y 10 dólares, en función de las cuentas que se compren a la vez.

Consecuencias

Pero, ¿qué uso podrían tener estos datos? La información robada puede ser muy valiosa para las compañías aseguradoras o empresas de sanidad privada, que podrían negar su cobertura a personas con predisposición a sufrir una enfermedad. Por ello, las empresas del sector salud deben tener especial cuidado con la protección y custodia de los datos personales que tratan para no sufrir vulneraciones de este tipo.