Cuando los laboratorios de análisis genético por Internet empezaron a popularizarse hace un lustro, muchos especialistas en ciberseguridad avisaron de que era una mala idea. No existe el sistema digital 100% seguro, lo que unido a los datos extremadamente sensibles que estas empresas iban a manejar, convertía la situación en una mecha encendida. La bomba ha explotado este fin de semana: la firma 23andMe.com ha reconocido que alguien ha accedido ilícitamente a sus bases de datos y se ha hecho con información genética de sus clientes.
El laboratorio no ha informado de cuántos usuarios han sido afectados por la brecha. Sin embargo, su comunicado llega apenas días después de que un hacker afirmara estar en posesión de millones de registros genéticos y los pusiera a la venta en uno de los foros más utilizados por los ciberdelincuentes para hacer este tipo de anuncios. Este individuo ha ofrecido diferentes packs de datos que van desde los 10 dólares por perfil cuando se compran 1.000 de ellos hasta un dólar por perfil si se adquieren 100.000 o más.
Según su explicación, la base de datos que tiene en su poder incluye millones de datos individualizados que reflejan nombres completos, sexo, fotos de perfil, fecha de nacimiento, fenotipo, ascendencia genética, origen étnico, enlaces a “cientos” de posibles parientes, ubicación geográfica actual y datos de contacto. El primer paquete de datos que ha puesto a la venta contiene datos sobre “un millón de judíos asquenazíes” a los que califica de “celebrities”: “Desde los principales magnates del mundo de los negocios hasta dinastías de las que a menudo se habla en las teorías de la conspiración”.
Los asquenazíes son los descendientes de las comunidades judías que se asentaron en Centroeuropa en la Edad Media y terminaron estableciéndose en Alemania, Austria, Polonia y Rusia. El Holocausto provocó su éxodo hacia Estados Unidos y hacia Israel, donde constituyeron la comunidad fundacional comunitaria y aún hoy constituyen buena parte de la élite social. elDiario.es ha preguntado a 23andMe si tiene indicios de una posible relación entre el ciberataque y el conflicto entre Israel y Palestina reavivado este fin de semana. Fuentes de la empresa expresan que “en este momento no tienen evidencia de ello”, pero recuerdan que su “investigación sigue abierta”.
Creemos que los autores pudieron acceder a ciertas cuentas en casos en los que los usuarios reciclaron las contraseñas de inicio de sesión de otros sitios web que fueron pirateados anteriormente
El comunicado oficial de 23andMe asegura que no tienen constancia de que sus sistemas hayan fallado y achacan la filtración a otros hackeos y la falta de higiene digital de sus usuarios. “Creemos que los autores pudieron acceder a ciertas cuentas en casos en los que los usuarios reciclaron las credenciales de inicio de sesión, es decir, los nombres de usuario y las contraseñas que se utilizaron en 23andMe.com eran los mismos que se utilizaron en otros sitios web que habían sido pirateados anteriormente”, afirman.
Esta explicación no convence a los especialistas, dado el enorme alcance de la filtración. “Haría falta una gran investigación de fondo. Necesitarías tener acceso a brechas enormes para poder llegar a correlacionar las contraseñas y nombres de usuario de millones de personas. Además, estamos hablando de que en esta ocasión no ha sido un grupo de ciberdelincuentes el que ha ofrecido los datos, sino una sola persona. No, esto parece menos probable que otros tipos de ataque, como accesos no autorizados a su sistemas internos”, argumenta Daute Delgado, instructor de la escuela Ironhack y analista del centro de ciberseguridad de Naciones Unidas.
Desde aseguradoras a la guerra biológica
Las empresas como 23andMe ofrecen diferentes tipos de análisis genéticos realizados a través de un raspado del interior de la boca enviado por el propio usuario. Uno de los más populares son los informes de ascendencia, con árboles genealógicos detallados, y rastros de origen geográfico de los ancestros más antiguos. Este tipo de test vale 112 euros en 23andMe.
Estas compañías realizan también informes de salud que incluyen la predisposición genética a sufrir determinadas enfermedades, posibilidades de transmitir rasgos a la descendencia o incluso la conveniencia de adoptar hábitos diarios. “Descubra lo que su ADN tiene que decir sobre su bienestar y cómo sus genes pueden influir en determinadas elecciones de estilo de vida”, proponen desde 23andMe.
Esos datos sanitarios son los que más han inquietado a los expertos en ciberseguridad. “Este tipo de información es una mina de oro para las aseguradoras y se está ofreciendo a precio de mercado”, avisa Daute Delgado: “Imagina que puedes saber la predisposición de alguien a tener cáncer en los próximos diez años antes de concederle una hipoteca”.
¿Se arriesgarían las aseguradoras a meter mano a una base de datos tan tóxica y sensible? “No deberían, pero existen formas de no hacerlo directamente. Algunos de los compradores más habituales son investigadores de ciberseguridad que lo utilizan para rastrear los ataques. Pero los hay que actúan desde el lado bueno y también desde el lado malo, sirviendo de intermediarios para permitir a otros acceder a los datos”, contesta el especialista.
Para Delgado, la otra amenaza de uso de estos datos es la guerra biológica: “Es viable en el peor de los casos. Es sospechoso que los datos que han salido a la luz estén tan segmentados como 'judíos asquenazíes'. Se comenta también que los atacantes también tienen datos de unos 300.000 usuarios chinos. Esto puede ser porque la forma de acceso a la base de datos ha sido por este tipo de variable y era la información que han podido extraer, pero también porque haya sido un ataque dirigido específicamente contra estos grupos”.
23andMe ha explicado que sospecha que la vía de acceso a los datos ha sido su herramienta para encontrar parientes lejanos por el ADN. “Creemos que el autor de la amenaza puede haber accedido a las cuentas de 23andMe.com sin autorización, infringiendo nuestras condiciones de servicio, y haber obtenido información de determinadas cuentas, incluida información sobre los perfiles de DNA Relatives de los usuarios, en la medida en que el usuario hubiera optado por ese servicio”, dice su comunicado.
Los especialistas confían en que estas incógnitas puedan resolverse en los próximos días. “Seguimos investigando para confirmar estos resultados preliminares”, expresa la compañía. “Por el momento, no tenemos indicios de que se haya producido un incidente de seguridad de datos en nuestros sistemas, ni de que 23andMe haya sido la fuente de las credenciales de cuenta utilizadas en estos ataques”, concluye.