No sólo se trata de la pifia más llamativa de 2023: es uno de los errores de seguridad más graves en la historia de Silicon Valley.
El pasado mes de octubre, la compañía 23andMe admitió que había sufrido un ciberataque, pero no aportó muchos detalles al respecto. La información que ha ido publicando sobre el daño causado a sus clientes ha sido compartida a cuentagotas, para controlar su imagen.
Y lo ha logrado, porque el escándalo es mayúsculo para la escasa repercusión que el asunto ha tenido hasta el momento: casi siete millones de usuarios se han visto afectados por uno de los hackeos con consecuencias que están todavía por verse.
La compañía confesó recientemente que los hackers tuvieron acceso a los datos personales de más de 5,5 millones de clientes que contrataron la opción de “ADN de Familiares”. Este producto permite a los usuarios compartir automáticamente algunas referencias de su ADN con terceros para localizar a posibles familiares.
Los datos robados incluyen el nombre de la persona, el año de nacimiento, informes familiares, su ubicación e incluso un porcentaje del ADN compartido con contactos.
Mientras que 23andMe se dedicaba a “investigar el alcance del ciberataque”, las secuelas no tardaron en llegar. Los datos personales de estos clientes comenzaron a ser comercializados en el mercado negro de la dark web. Varios medios de comunicación pudieron confirmar que los datos pertenecían, efectivamente, a usuarios de la plataforma.
Desde 23andMe aseguraron que el motivo por el que los hackers pudieron acceder a estas cuentas es porque los detalles de usuario y contraseña de sus clientes habían sido expuestos en ciberataques a otras bases de datos. Los hackers tan sólo tuvieron que comprobar si los usuarios y sus contraseñas respectivas coincidían con los que los clientes habían empleado para registrarse en la web de 23andMe.
¿Moraleja de la historia? Escuchar lo que los expertos de ciberseguridad llevan años diciéndonos: que no reutilicemos nuestras contraseñas en internet y activar la autenticación de doble factor siempre y cuando sea posible.
No toda la presión debe caer sobre el usuario. Las grandes tecnológicas deben incentivarnos a redoblar la seguridad virtual y hallar nuevas formas para que las contraseñas sean cosa del pasado.
Afortunadamente, ya existen iniciativas para que las contraseñas sean relegadas a un segundo plano y que los usuarios se comiencen a usar la identificación biométrica. No obstante, el avance y la adopción en este campo está sufriendo demoras importantes.
¿Por qué debería preocuparnos?
Cuando compartimos nuestros datos de manera consciente e inconsciente con las grandes corporaciones, pasamos a estar a merced de factores totalmente desconocidos.
En la década anterior, momento en el que el sector tecnológico creció de manera desorbitada, los usuarios desconocían los riesgos de ceder y exponer su información. No éramos realmente conscientes de cómo las corporaciones vendían y empleaban toda esta información para convertirnos en su producto.
Pero entonces, se comenzó a cruzar una línea roja donde la invasión de la privacidad del usuario comenzó a ser tan personalizada y granular que llegaba a poner la carne de gallina.
¿Por qué Tesla comenzó a recopilar información sobre los hábitos de conducción de sus conductores? Su idea era analizarlos para que las compañías de seguros pudieran poner un precio personalizado a cada cliente dependiendo de su nivel de riesgo en la carretera. Lo más preocupante es que los vehículos cuenten con una cámara interior que puede grabar a los conductores en cualquier momento, a no ser que se desactive la opción de compartir grabaciones con Tesla.
Teníamos cámaras por todas partes y ahora también llegan, de manera absolutamente intrusiva, a nuestros coches. El espacio personal ya no existe.
Volviendo a la gravedad del asunto de 23andMe, ¿qué podría suceder con los datos expuestos de los clientes de la plataforma? La respuesta es más sencilla de lo que uno podría imaginar: tu información más personal, tu código genético, queda expuesto al público de manera indiscriminada.
Existen leyes que prohíben a los seguros médicos descartar a pacientes por sus datos genéticos. ¿Y si esto cambiara en algún momento? El lobby farmacéutico ejerce una gran influencia sobre los políticos estadounidenses. Sin embargo, en la actualidad, no hay ley que prohíba en EE.UU. que un seguro de vida pueda rechazarte por condiciones genéticas. ¿Y si emplearan esta información con este fin? Además, los datos de información personal como nombre completo y dirección puede ser empleados en casos de spam, que están a la orden del día.
La gran conclusión de este incidente es que debería importarnos lo que sucede con nuestros datos más íntimos.