El fiscal general de California, Rob Bonta, acusa a una empresa tecnológica de no haber protegido los datos genéticos y personales de 855.541 residentes del estado. En total, los afectados sumarían unos siete millones. Según la demanda, la empresa promocionaba su compromiso con la privacidad y la transparencia.

En un comunicado, el fiscal general Bonta explica que “23andMe (ahora Chrome Holding) recopiló datos genéticos de millones de personas e incumplió su obligación de proteger dicha información y, luego, mintió a los consumidores sobre la gravedad de la filtración de datos ocurrida en 2023”.

Agrega: “Nuestra investigación reveló que la empresa no tomó las medidas básicas para proteger los datos de los usuarios, incluyendo información personal confidencial, historiales familiares y datos de salud”.

Advierte luego que “la venta de estos datos en la web oscura (Dark Web) se produjo en un contexto de creciente odio y violencia antisemita contra personas de origen asiático y las islas del Pacífico, y puso de manifiesto la naturaleza profundamente personal e identificativa de dicha información”.

¿Cómo ocurrió la filtración de datos?

Fundada en San Francisco, 23andMe fue una de las mayores empresas de análisis genéticos directos en el mundo. Los clientes enviaban muestras de saliva para un análisis de ADN. La empresa almacenaba los datos de la secuencia de ADN y utilizaba esa información para proporcionarles informes sobre su ascendencia, etnia y predisposiciones genéticas a la salud.

El fiscal federal de California, Rob Bonta, toma la iniciativa contra una empresa tecnológica que no protegió datos de los consumidores. Foto: AP. Noah Berger.

Según la información del fiscal general, el 6 de octubre de 2023, la empresa confirmó haber sufrido una importante filtración de datos. Durante cinco meses, un ciberdelincuente logró infiltrarse en los sistemas de 23andMe sin ser detectado, accediendo a las cuentas de aproximadamente 14.000 clientes. El atacante aprovechó este acceso para obtener los datos de casi siete millones de clientes.

El ciberdelincuente recurrió al llamado relleno de credenciales, contra el cual las empresas, especialmente aquellas que recopilan y mantienen datos personales y genéticos sensibles, pueden y deben protegerse.

El ataque explota la tendencia de los consumidores a usar contraseñas débiles o comunes, o a reutilizar sus credenciales de inicio de sesión, utilizando el mismo nombre de usuario y contraseña en varias cuentas.

En este caso, el atacante utilizó credenciales de cuenta robadas en filtraciones de datos anteriores, incluida la muy publicitada filtración de MyHeritage, un sitio web de genealogía independiente que estaba asociado con 23andMe.

El equipo de seguridad de datos de 23andMe estaba al tanto de la filtración de MyHeritage, pero la empresa animaba a sus clientes a crear una cuenta en el sitio que había sufrido la filtración.

El fiscal Bonta sostiene que “23andMe nunca verificó ni impidió la reutilización de credenciales, ni siquiera después de la filtración de datos de MyHeritage. Una vez dentro de los sistemas de 23andMe, el atacante aprovechó una vulnerabilidad relacionada con un error crítico de codificación en DNA Relatives para robar información de identificación adicional e informes que indicaban el porcentaje de ADN compartido con posibles parientes de casi siete millones de consumidores”.

Todo salió a la luz después de que los datos de un millón de personas fueran puestos a la venta en la web oscura, detallando que pertenecían a usuarios asiático-americanos e isleños del Pacífico (AAPI) y judíos.

Una investigación realizada en 2023 por el Departamento de Justicia y una coalición interestatal reveló que los procedimientos y prácticas de seguridad de datos de 23andMe previos a la filtración no cumplían con los estándares de seguridad y del sector en varios aspectos.

De hecho, las medidas de seguridad de 23andMe eran tan laxas que el atacante pudo operar sin ser detectado dentro de sus sistemas durante más de cinco meses. La empresa solo comenzó a investigar después de que el atacante ofreciera los datos de usuario robados a la venta en la web oscura y contactara a 23andMe para exigir un rescate (ransomware).