El perfil genético de una persona es una información muy valiosa para conocer la predisposición de alguien a contraer diferentes enfermedades. La compañía 23andMe está especializada en analizar este tipo de información a través de una muestra de saliva.
Sin embargo la empresa de biotecnología y genómica, con sede en California, (EEUU) enfrenta una crisis sin precedentes luego que su sitio web resultara vulnerado por un piratas informáticos, que lograron hurtar información genética privada de millones de personas, que ahora están a la venta en la llamada Dark Web, la “web oscura «.
Los atacantes extrajeron sus datos y pasaron unos días hasta que apareció el primer ciberdelincuente en un foro online dedicado a los cibercrímenes anunciando la venta de datos privados de millones de clientes de 23andMe, incluyendo a famosos.
Según este anunciante, posee datos de la mitad de los clientes de la compañía (7 millones), y los registros sustraídos incluyen estimación de origen, fenotipo, información sanitaria, así como fotos que los identifican.
Además, destacó que el CEO de 23andMe era consciente de que su empresa había sido hackeada hacía dos meses y nunca desveló el incidente.
En un comunicado publicado después de la aparición de este anuncio, la empresa asegura que nada de lo que han publicado los atacantes indica que tengan en su poder ningún tipo de información sanitaria, y que lo que aseguran no tiene fundamento. No obstante, confirmó que hay datos privados de algunos de sus clientes a la venta.
Desde la compañía americana no hablan de “hackeo”, sino de “scraping o raspado”, es decir, que reciclaron los nombres y contraseñas que se utilizan en otros sitios web que fueron previamente “hackeados” y reutilizaron esos datos privados para atacarlos.
Para poder realizar esta tarea, los piratas informáticos deben contar con una cuenta de usuario del servicio. Por eso, los atacantes consiguieron acceso no autorizado a cuentas de usuario particulares que habían sido configuradas por sus propietarios para apuntarse a una función para localizar potenciales parientes a través del ADN, a la que en la empresa han llamado ADN pariente.
Según la compañía, que inició una investigación tras conocerse que los datos de sus clientes estaban a la venta, hasta ahora no tienen indicios «de que haya habido un incidente relacionado con la seguridad de los datos en nuestros sistemas».
«En vez de eso, los resultados preliminares de la investigación sugieren que las credenciales de acceso utilizadas en los intentos para entrar en las cuentas pueden haber sido recopilados por un actor atacante de datos filtrados durante incidentes que implican a otras plataformas online, en las que los usuarios han reutilizado credenciales de acceso. Creemos que el atacante puede entonces, violando nuestros términos de servicio, haber accedido a cuentas de 23andme.com sin autorización, y obtenido información de dichas cuentas. Estamos tomando este asunto en serio y seguiremos nuestra investigación para confirmar estos resultados preliminares», señalaron.
“Creemos que los actores de amenazas pudieron acceder a ciertas cuentas en casos en los que los usuarios reciclaron las credenciales de inicio de sesión, es decir, los nombres de usuario y contraseña que se usaron en 23andME eran los mismos que los usados en otros sitios web que han sido previamente hackeados”, plantea el comunicado de la empresa publicado en sus redes sociales.
¿Qué datos genéticos están en venta?
Aparentemente, los atacantes han puesto a la venta más de un millón de datos de personas Ashkenazí, una de las principales etnias judías asentadas en el centro y en el este europeo,
Según el medio Bleeping Computer, también se habría ofrecido información confidencial de 300.000 usuarios de origen chino.
Estos datos habrían sido vendidos por precios que oscilan entre uno (01) y diez (10) dólares por perfil.
Sin embargo, los paquetes empezaron a ser vendidos en mayor número de cuentas. El precio ahora comenzaba en los 1000 dólares por 100 perfiles o hasta 100 mil dólares por 100 mil perfiles.
Cabe destacar que la etnia o raza no es único detalle sensible que puede trascender de las víctimas de este ciberataque, de la filtración también se puede extraer las probabilidades de cada persona de sufrir diferentes enfermedades, lo que podrían aprovechar las aseguradoras para denegar contratos de seguros a esos clientes.
Por el momento, 23andMe ha pedido a los usuarios usar la ofrece autenticación de dos factores como medida adicional de protección de la cuenta para evitar mayores intentos de ataques. También se exhorta a cambiar la contraseña y que esta sea única para este portal.