La compañía 23andMe, especializada en el análisis de información genética a través de muestras de saliva, ha sido víctima de un ciberataque que ha dejado al descubierto millones de datos genéticos privados. Este incidente se mantuvo en secreto durante al menos dos meses antes de que los datos fueran puestos a la venta en la Dark Web, un espacio donde los piratas informáticos suelen comercializar información robada. Los ciberdelincuentes acusan al CEO de la compañía de haber ocultado el robo.
¿Qué tipo de información se ha comprometido en el ataque? Los atacantes han puesto a la venta más de un millón de datos de personas de ascendencia Ashkenazí, una de las principales etnias judías que reside en Europa Central y Oriental. Además, se ha ofrecido información confidencial de alrededor de 300,000 usuarios de origen chino. Cabe destacar que 23andMe es una empresa estadounidense de biotecnología que se dedica a realizar análisis genéticos en pruebas de salud y ascendencia y que cuenta con financiamiento de Google.
¿Cómo se llevó a cabo el ciberataque? Aunque la compañía no lo denomina como un «hackeo», se refiere a él como «scraping» o raspado. Esto significa que los atacantes recopilaron nombres y contraseñas que se utilizan en otros sitios web que habían sido previamente «hackeados», y utilizaron esos datos privados para atacar a la empresa de análisis genético. La empresa ha reconocido que se expuso la información de los perfiles de «DNA Relatives», es decir, los datos de clientes que se utilizan para conectarse con otros perfiles de parientes genéticos que también están registrados en el servicio.
Este incidente pone de manifiesto la importancia de la seguridad de los datos genéticos y destaca la necesidad de tomar medidas adicionales para proteger la información personal y genética de las personas en un mundo cada vez más digital y conectado.