El reciente compromiso de datos en 23andMe, la empresa de análisis genético, ha encendido las alarmas en la comunidad tecnológica y médica. Este incidente nos ofrece una lección cruda pero necesaria sobre los riesgos de la reutilización de contraseñas.
El ataque no fue un hackeo en el sentido tradicional. En lugar de ello, los atacantes emplearon una técnica conocida como relleno de credenciales. Esta estrategia implica usar nombres de usuario y contraseñas obtenidos de violaciones de datos en otros servicios para acceder a cuentas en un servicio diferente. En este caso, se estima que hasta 7 millones de cuentas fueron comprometidas.
Los datos comprometidos incluyen nombres, fotos, geolocalización e información sobre ‘DNA Relatives’. Más alarmante es que los atacantes también obtuvieron el genotipo de los usuarios, lo que podría ser utilizado para determinar la probabilidad de diversas enfermedades. Este tipo de información es altamente sensible y podría ser de interés para compañías de seguros y otros actores.
23andMe ha sido claro en afirmar que los datos genéticos directos del ADN de los usuarios no se han filtrado. La empresa está analizando la situación y ha recomendado a los usuarios cambiar sus contraseñas. También han destacado que cumplen con altos estándares de privacidad, respaldados por tres certificaciones ISO.
Este incidente resalta la crítica necesidad de utilizar contraseñas únicas para cada servicio en línea. La autenticación de dos factores (2FA) es otra capa de seguridad que puede ofrecer una protección adicional.
Es imposible garantizar que no roben la contraseña de un servicio, pero si lo hacen, tenemos que poner las cosas difíciles para que no usen esa contraseña en todos nuestros perfiles online.