Si creías que los ciberdelincuentes se limitaban a robar información bancaria, estás en un error. Cualquier información en forma de bits, en unos y ceros, tiene un valor. Todo tipo de datos, desde los financieros, pasando por información personal, inclusive la genética, pueden ser objeto de robo y venta ilegal.
Una reciente noticia sacudió el mundo de la genética: la empresa 23andMe, con sede en California, ha confirmado un incidente de seguridad que ha puesto en peligro la información personal de sus clientes.
23andMe, fundada en 2006 con respaldo de Google, se dedica a un campo especializado: el análisis genético. ¿En qué consiste esto? En pocas palabras, la empresa permite a las personas enviar muestras de su ADN, generalmente recopiladas a través de una simple muestra de saliva, para obtener información valiosa sobre su ascendencia y su predisposición a ciertas enfermedades.
El proceso es sencillo y accesible para cualquier persona interesada en desentrañar los secretos ocultos en su ADN. Los usuarios pueden adquirir un kit de prueba directamente de la empresa, que incluye las instrucciones y materiales necesarios para recoger una muestra de saliva en la comodidad de su hogar. Una vez que la muestra se envía de vuelta a 23andMe, la empresa lleva a cabo un análisis genético completo y pone a disposición del cliente los resultados a través de una plataforma en línea.
Estos resultados pueden revelar detalles sobre la ascendencia de una persona, pero también proporcionar información sobre la probabilidad de desarrollar ciertas afecciones médicas.
Predecir enfermedades
En primer lugar, se examina el ADN del cliente en busca de variantes genéticas relacionadas con enfermedades. Luego les envía informes detallados sobre su riesgo de desarrollar ciertas afecciones médicas e información sobre dicha afección, factores de riesgo y medidas preventivas, incluyendo sugerencias de cambios en el estilo de vida y exámenes médicos.
A medida que avanza la ciencia, 23andMe actualiza sus informes y recomendaciones en función de la información más nueva. Esto garantiza que sus clientes tengan acceso al conocimiento más reciente sobre su perfil genético.
Ataque cibernético
El ataque cibernético puso en riesgo la información de los perfiles de «DNA Relatives» de los clientes. Esto significa que si dos personas tienen ADN similar o compartido, el sistema de 23andMe puede identificar la relación genética entre ellas. Esta característica permite a los usuarios conectarse con parientes genéticos que también utilizan el servicio. Aunque la empresa asegura que ofrece opciones de privacidad para los usuarios, al utilizar esta función, algunos datos personales pueden estar disponibles para los familiares genéticos, como el nombre, la foto, el sexo y la relación prevista.
La información robada, que incluye datos personales y resultados de pruebas genéticas, se ha ofrecido en la Dark Web a precios que oscilan entre 1 y 10 dólares por cuenta. Esto plantea preocupaciones sobre el mal uso de estos datos.
Podría ser utilizada por ejemplo por compañías de seguros para ajustar los precios de las pólizas o incluso rechazar a clientes con predisposición genética a enfermedades específicas. Un análisis genético podría indicar que un individuo tiene un mayor riesgo de desarrollar enfermedades como diabetes tipo 2 o ciertos tipos de cáncer, por citar. Esto podría resultar en valores más altos o incluso en la negación de cobertura para personas con predisposiciones a ciertas enfermedades.
Otros malos usos podrían ser: – que las empresas tomen decisiones de empleo, como la selección o la promoción de empleados basados en la genética, dando lugar a discriminación laboral. – La extorsión y el chantaje, con amenazas de hacer pública la información genética de una persona a menos que pague un rescate o cumpla con determinadas demandas, especialmente si la información genética revela información personal sensible o potencialmente vergonzosa. – También la investigación no ética, como la experimentación o la creación de perfiles genéticos sin consentimiento.
Acceso “no autorizado”
La empresa ha reconocido que se produjo un acceso no autorizado a la información de perfil de algunos clientes, pero lo atribuye a una técnica conocida como ‘scraping’ o raspado, en lugar de un hackeo a sus sistemas. La empresa sugiere que los actores de amenazas pudieron acceder a las cuentas de los usuarios cuando utilizaron los mismos nombres de usuario y contraseñas en 23andMe.com que habrían utilizado en otros sitios web que previamente habían sido hackeados. Teniendo en cuenta que se menciona que la cantidad de información filtrada contiene un millón de líneas de datos, no parece una explicación convincente.
La empresa señala que no tienen indicios de que haya habido un incidente de seguridad de datos dentro de sus sistemas, según los primeros resultados de la investigación que han iniciado.