Anne Wojcicki, cofundadora y CEO of 23andMe, en Sunnyvale, California en 2019
El gigante de los análisis genéticos 23andMe quiebra y las autoridades piden a sus clientes que borren sus datos
La empresa sufrió un robo masivo de datos personales hace dos años, y millones de nuevos datos correrían ahora peligro.
Más información: El oscuro negocio de la venta de datos genéticos: "Si algo se puede hackear, acabarán haciéndolo"
La Oficina del Fiscal General de California ha instado a los clientes del gigante de los 'tests' genéticos 23andMe que soliciten de inmediato la eliminación de sus datos personales, la destrucción de las muestras de prueba que conservan y que revoquen el permiso para que sus datos se utilicen en investigaciones. La alerta al consumidor se produce después que la empresa se haya declarado en quiebra, comprometiendo millones de activos en información genética.
El laboratorio fundado en 2006 con apoyo de Google para especializarse en el desarrollo de análisis genéticos rápidos para pruebas de salud y de ascendencia, así como para la publicación de los resultados para uso en la investigación. Con la declaración de bancarrota este domingo y la dimisión de su directora ejecutiva, Anne Wojcicki, se encuentra en proceso de venta "de prácticamente todos sus activos".
Varias consultoras especializadas en la privacidad de datos en la red han hecho pública su preocupación por la posible venta indiscriminada de información de los 14 millones de clientes ahora que los activos están a disposición del mejor postor. Podrían acabar en manos de ciberdelincuentes que los utilicen con fines de extorsión, suplantación o los comercialicen con fines poco éticos, tal y como advierte BleepingComputer.
En 2023, unos 6,9 millones de clientes de 23andMe vieron comprometida su información personal después de que un pirata informático accediera a los perfiles de usuarios y los pusiera a la venta en Internet. Entre los datos comprometidos se incluían información sobre la ascendencia de los usuarios. En otros casos, también había datos relacionados con la salud basada en sus perfiles genéticos.
En el caso de esta filtración, la empresa se defendió afirmando que el ciberdelincuente sólo accedió directamente a unos 14.000 perfiles de los 14 millones de clientes, es decir, únicamente al 0,1%. Sin embargo, dado que los usuarios de la plataforma construían sus propios árboles genealógicos entrelazando sus datos con los de otros clientes compatibles, la filtración pudo acceder a millones de personas más.
La propia BleepingComputer hizo público que estos datos estaban siendo vendidos en la Deep Web, con ofertas en foros de entre 2 y 10 dólares por la ingente base de datos con información privada y médica de millones de personas. Esta información incluía un millón de datos de personas de ascendencia ashkenazí, una de las principales etnias judías. También estuvo a la venta otra base de datos con información personal de 300.000 usuarios de origen chino.
El caso de 23andMe no es el primero de filtración de datos en una empresa de tests genéticos. En julio de 2020, GEDmatch, otra empresa de tests genéticos directos al consumidor, reconoció que los datos de 1,3 millones de usuarios habían quedado expuestos tras un fallo de ciberseguridad. Casi al mismo tiempo, otra compañía del sector, MyHeritage, había sido objetivo de un ataque de phising (suplantación de la web para obtener nombres de usuario y contraseñas).
En su libro Por qué mi hijo tiene una enfermedad rara, el genetista Lluís Montoliu advierte que empresas como 23andMe analizan unos 690.000 polimorfismos. Es decir, nuestra información genética al completo va a estar disponible durante décadas, susceptible a cambios en la política de privacidad y en las regulaciones. Durante este tiempo, no solo está en riesgo de filtraciones sino que las propias empresas pueden utilizar los datos para ciertos fines.
