La compañía de pruebas genéticas 23andMe está investigando una violación de datos que expuso información de clientes, incluyendo fotos de perfil, años de nacimiento y detalles de ascendencia de millones de sus usuarios.
Los datos comprometidos se obtuvieron a través de un acceso no autorizado a cuentas individuales de 23andMe, dijo la compañía en un comunicado recogido por Ars Technica. Los resultados preliminares sugieren que las credenciales de inicio de sesión utilizadas para acceder a las cuentas «pueden haber sido recopiladas por un actor de amenazas a partir de datos filtrados durante incidentes relacionados con otras plataformas en línea donde los usuarios han reciclado credenciales de inicio de sesión», dijo 23andMe.
La técnica, conocida como «credential stuffing», consiste en utilizar nombres de usuario y contraseñas expuestos en ataques anteriores para acceder a otras cuentas en línea.
A raíz de una denuncia de que alguien había accedido a determinados datos de clientes de 23andMe y los estaba vendiendo, llevamos a cabo una investigación. No hemos identificado ningún acceso no autorizado a nuestros sistemas. Seguiremos vigilando la situación.
– 23andMeSupport (@23andMeSupport) 4 de octubre de 2023
23andMe dijo en una entrada de blog que no tiene pruebas de una violación real de sus sistemas. «No tenemos ningún indicio en este momento de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas», escribió la compañía.
Según Wired, el ataque iba dirigido específicamente a usuarios de origen judío asquenazí. Los piratas informáticos publicaron una muestra inicial de datos en la plataforma BreachForums a principios de esta semana, afirmando que contenía un millón de puntos de datos exclusivamente sobre judíos asquenazíes.
Los datos se obtuvieron extrayendo información de perfiles de familiares conectados a través de la función «DNA Relatives» de 23andMe, que permite a los clientes conectarse con coincidencias genéticas en la plataforma. Al acceder a cuentas comprometidas, el hacker pudo acumular perfiles de usuarios relacionados que habían optado por compartir su información.
«Creemos que el autor de la amenaza, violando nuestras condiciones de servicio, pudo acceder a las cuentas de 23andme.com sin autorización y obtener información de esas cuentas», explica 23andMe en su blog.
La semana pasada, en foros de piratería informática, un usuario desconocido anunció la venta de datos de usuarios de 23andMe, afirmando haber obtenido información sobre más de 7 millones de clientes. Los datos filtrados incluían «nombres completos, nombres de usuario, fotos de perfil, sexo, fecha de nacimiento, resultados de ascendencia genética y ubicación geográfica», según BleepingComputer.
Al parecer, otro usuario del foro ofrecía acceso a perfiles de 23andMe al por mayor, con precios que oscilaban entre 1 y 10 dólares por cuenta.
23andMe no reveló detalles sobre el número de usuarios afectados o el alcance de la filtración de datos. Pero, según Ars Technica, una base de datos contenía un millón de clientes de ascendencia judía asquenazí, mientras que una segunda contenía 300.000 perfiles de usuarios de ascendencia china.
Los expertos en seguridad han citado repetidamente los riesgos de que los datos genéticos se vean comprometidos. «Tu ADN es lo más valioso que posees», advirtió el Centro Nacional de Contrainteligencia y Seguridad de Estados Unidos en febrero de 2021. «Contiene los detalles más íntimos de tu pasado, presente y futuro potencial: si eres propenso a las adicciones o tienes alto riesgo de cáncer».
«Perder tu ADN no es como perder una tarjeta de crédito», continúa el centro. «Puedes pedir una nueva tarjeta de crédito, pero no puedes sustituir tu ADN. La pérdida de tu ADN no sólo te afecta a ti, sino a tus familiares y, potencialmente, a las generaciones venideras».
23andMe dijo que informó de la brecha a las fuerzas de seguridad y animó a los clientes a restablecer las contraseñas y activar la autenticación de dos factores.
«Monitoreamos y auditamos nuestros sistemas de forma activa y rutinaria para garantizar que sus datos estén protegidos», dijo 23andMe. «Cuando recibimos información a través de esos procesos o de otras fuentes que afirman que los datos de los clientes han sido accedidos por personas no autorizadas, investigamos inmediatamente para validar si esta información es exacta.»
La empresa de pruebas genéticas, que ofrece información sobre ascendencia y riesgos para la salud basada en análisis de ADN, ha acumulado datos genéticos de más de 14 millones de clientes desde su fundación en 2006.
23andMe dijo que los datos filtrados no contenían ningún detalle genómico. Pero los defensores de la privacidad llevan tiempo expresando su preocupación por la sensibilidad de los resultados de los análisis de ADN y los datos étnicos que pueden verse comprometidos en una filtración.
La filtración de 23andMe se produce en medio de una oleada de grandes ciberataques que han puesto al descubierto información confidencial de los usuarios. El año pasado, se filtraron 10,9 millones de cuentas en total, con 10 cuentas filtradas cada segundo, según la empresa de privacidad digital Surfshark.
