El robo de información genética a millones de personas te puede enseñar algo: el enorme peligro de compartir datos sensibles sin pensártelo bien

El pasado viernes se confirmó un robo masivo de información personal de las bases de datos de 23andMe, una empresa especializada en biotecnología y genómica. En definitiva, una compañía como otras tantas que ofrecen servicios de análisis del ADN para que los usuarios conozcan algo más sobre su origen y el de sus ancestros, por ejemplo.

Las primeras informaciones señalan que no fue un ataque a los servidores de la compañía lo que ha permitido la extracción ilícita de información: los asaltantes lograron acceso a la plataforma tecnológica a través de contraseñas de usuarios comprometidas. Desde sus cuentas, pudieron extraer información personal así como la de sus parientes cercanos.

La noticia saltó en las últimas horas después de que un usuario pusiese a la venta toda la información extraída de la empresa en un conocido foro de hacking. La base de datos es extensísima, y el precio de la información de cada cuenta oscila entre uno y diez dólares en función de la cantidad de datos que se decidan comprar.

Por ejemplo, por la información de 100 cuentas hay que pagar 1.000 dólares. Por la de 10.000 cuentas, 20.000 dólares; y por la de 100.000, 100.000 dólares.

Este fin de semana 23andMe reaccionó con un comunicado en el que reconocían que la información personal de clientes de la plataforma había sido recopilada "a través de accesos a cuentas individuales de 23andMe". "Creemos que los actores ilícitos pueden haber accedido a cuentas de 23andme.com y, violando nuestros términos del servicio, haber extraído información personal".

Entre la información comprometida se encuentran nombre de pila, género, fecha de nacimiento, y vaguedades sobre los resultados genéticos de los usuarios: descendientes "mayoritariamente europeos" o "mayoritariamente árabes", por ejemplo. En ningún caso se ha recopilado información genómica en bruto.

La información extraída sería de hasta 13 millones de cuentas, y por si la historia no era lo suficientemente sórdida al menos un millón de esas cuentas corresponden a usuarios de ascendencia judía asquenazí.

No eres sólo tú: los ciberdelincuentes también están usando ChatGPT para simplificar su trabajo

En ciberseguridad, la amenaza no está solo en el robo de información: está en quién la compra después

Un caso como el del robo de información a 23andMe pone negro sobre blanco uno de los mayores desafíos en el ámbito de la seguridad digital. El peligro no está solo en que se produzca la extracción ilícita de información personal. Está en que los compradores puedan tener intenciones todavía más espurias al manejar esa información.

23andMe ha alegado que no han sufrido ninguna brecha en sus servidores. Sin embargo, que los atacantes, para acceder a la ingente información robada, solo hayan necesitado vulnerar cuentas de usuarios y empezar a scrapear —raspar, recopilar, extraer— la información de otros usuarios revela la preocupante situación de bases de datos con información tan sensible como esta.

A expensas de confirmar la autenticidad de toda la base de datos extraída, los vendedores de la información en el foro de hacking han dejado extractos que atañerían a celebridades: entre la información robada habría información sobre uno de los fundadores de Google, Sergey Brin, o sobre el multimillonario Elon Musk, propietario de Tesla, SpaceX o X, antes Twitter.

El peligro de quién pueda comprar este tipo de información levanta todo tipo de teorías. Desde compañías de seguros que quieran acceder a información genética de sus potenciales clientes para detectar, antes de ofrecer una póliza, si su organismo puede ser propenso a algunas enfermedades, hasta todo tipo de criminales que deseen extorsionar y chantajear a sus víctimas.

En Europa, el Reglamento General de Protección de Datos (RGPD) contempla que la información genética es un tipo de dato especialmente sensible, puesto que es información que puede identificar inequívocamente a un usuario.

Sin embargo, el robo a 23andMe revela que este tipo de plataformas no son imbatibles para ciberdelincuentes que quieran reunir todo tipo de información de sus potenciales víctímas. Información que recopilan, incluso cuando se trata de simplemente un correo eleectrónico —o, en el mejor de los casos, una tarjeta de crédito— para que otros actores maliciosos los aprovechen.

Así acceden empresas y Gobiernos a tus datos y a tu intimidad (ninguna manera es enviando una alerta por emergencias)

No es la primera vez que una compañía de este estilo sufre un incidente parecido. En 2018 MyHeritage, una firma israelí, reconoció en un comunicado que en 2017 habían detectado la presencia de información de unos 92 millones de cuentas de su plataforma en un servidor privado.

En aquel caso, por suerte, no se filtró información relacionada con el ADN de sus clientes, puesto que este se almacenaba en servidores diferentes. Solo se exfiltró información relacionada con las cuentas de los usuarios, como correos electrónicos. Por eso el incidente de 23andMe supone un punto de inflexión en este sector.

Pero lo cierto es que ceder una información tan sensible como tu información genética a una compañía privada conlleva graves riesgos en sí mismos. La CNBC recogía en un artículo algunas de esas amenazas y, por supuesto, en primer lugar aparecía la posibilidad de que se produjera un ciberataque sobre estas plataformas que acabaran extrayendo esos datos.

Otras amenazas, si optas por hacer uso de los servicios de estas empresas, son menos evidentes. Por ejemplo, el hecho de que las Administraciones Públicas se interesen por la información que contengan esas bases de datos, o el acabar desconociendo en manos de quién acaba tu información genética, por anonimizada que se comparta con terceros.

Plataformas como la propia 23andMe ofrece a los usuarios la posibilidad de, marcando una casilla, compartir su información genética con investigadores y organizaciones sin ánimo de lucro.

Por esta razón es importante tener claro que al compartir información personal de cualquier tipo con terceros se deja de tener el control absoluto de qué sucede con esa información. Sobre todo, si esta acaba procesándose y alojándose en servidores con conexión a la red. Aunque sea un me gusta, una foto, un comentario o una muestra de saliva.