Los datos biométricos son muy sensibles. Y una empresa de análisis genético como 23andMe es un objetivo muy suculento. Lo que se temía que pasara ha ocurrido: la compañía ha confirmado que algunos datos personales de sus clientes están circulando en foros de la Dark Web, debido a un ciberataque mediante relleno de credenciales.
23andMe remarca que su base de datos no ha sido hackeada propiamente dicho, pero sí que han accedido a una gran cantidad de datos internos. ¿Cómo? Según describe Bleeping Computer, mediante esta técnica tan aparentemente básica como el relleno de credenciales. Es decir, colarse en la base de datos colocando el nombre y la contraseña obtenida en otros ciberataques.
Las cuentas de unas 7 millones de personas, según aseguran en los foros de la Dark Web, han sido comprometidas. Millones de usuarios cuyos datos de acceso eran similares a los de otros servicios que sí han sido hackeados. Entre los datos obtenidos están nombres, fotos, geolocalización e información sobre los 'DNA Relatives', un servicio opcional que ofrece la compañía para conocer con qué otras personas se tiene algún tipo de enlace genético.
La filtración inicial apunta que se puso a la venta una base con "1 millón de líneas de datos de personas Ashkenazí". Se trata de una de las principales etnias judías. Adicionalmente, se ha puesto a la ventas una base de datos con información de 300.000 usuarios de origen chino.
Estas bases de datos se han puesto a la venta con precios que van desde un dólar, hasta los 10 dólares por perfil. Según explican quienes han puesto a la venta los datos, entre la información obtenida se ha robado el genotipo de los pacientes y con ello se podría determinar la probabilidad de los usuarios para sufrir diferentes enfermedades. Una información muy sensible y potencialmente interesante para las aseguradoras.
Sin embargo, según expone 23andMe, aunque sí hay información genética de los perfiles de ADN, en ningún momento se han filtrado los datos genéticos directos del ADN de los usuarios.
La compañía todavía se encuentra analizando la situación y estudiando cómo proceder. Defienden que cumplen con los mayores estándares de privacidad y disponen de tres certificaciones ISO diferentes. A todos los usuarios, recomiendan encarecidamente modificar su contraseña, vigilando que sea única para este servicio.
Fuente: Xataka