La reciente brecha de datos en 23andMe, una empresa de pruebas genéticas, ha afectado a una gran cantidad de sus usuarios. Según se informa, los hackers lograron acceder a datos de ascendencia y datos personales de aproximadamente 6.9 millones de clientes, lo que representa casi la mitad de la base total de clientes de 23andMe.
El origen de esta brecha parece estar en la reutilización de contraseñas por parte de los clientes, lo cual permitió a los atacantes realizar ataques de fuerza bruta en las cuentas de las víctimas, utilizando contraseñas conocidas públicamente que habían sido reveladas en otras infracciones de datos.
La brecha también comprometió la característica «DNA Relatives» de 23andMe, una herramienta que permite a los usuarios descubrir y conectarse con parientes lejanos basados en su ADN compartido. Esta violación de datos resultó en la exposición de información sobre miles de parientes de los usuarios afectados.
En respuesta a esta situación, 23andMe ha informado a sus clientes sobre la brecha y ha tomado medidas para proteger sus datos de accesos no autorizados. La empresa ha recomendado a sus usuarios que cambien sus contraseñas y se mantengan alerta ante cualquier actividad sospechosa en sus cuentas.
Qué pueden hacer ahora los hackers
Los hackers podrían utilizar los datos obtenidos de la brecha de 23andMe de varias maneras, algunas de las cuales podrían tener consecuencias graves para los individuos afectados:
- Venta de Información en el Mercado Negro: Los hackers podrían vender la información genética y personal en el mercado negro, donde podría ser comprada por otras partes con intenciones maliciosas.
- Creación de Perfiles Genéticos Falsos: Podrían utilizar la información genética para crear perfiles falsos, que podrían ser usados en fraudes o actividades delictivas.
- Discriminación Basada en la Genética: Los datos podrían ser usados para discriminar a las personas en situaciones como la contratación de empleo, la obtención de seguros o en el acceso a servicios basados en su información genética.
- Extorsión o Chantaje: Los individuos con ciertas predisposiciones genéticas o enfermedades hereditarias podrían ser blanco de extorsión o chantaje.
- Fraude de Identidad: Utilizando la información personal obtenida, los hackers podrían cometer fraude de identidad, abriendo cuentas bancarias, solicitando créditos, o realizando compras fraudulentas.
- Phishing y Estafas Relacionadas: Con información detallada sobre los individuos, los hackers podrían diseñar ataques de phishing muy convincentes para obtener aún más información o dinero de las víctimas.
- Investigación y Desarrollo Ilegítimo: Los datos genéticos podrían ser utilizados en investigaciones no autorizadas o para el desarrollo de productos farmacéuticos o de salud sin consentimiento.
- Manipulación de la Información para Propósitos Políticos o Sociales: La información podría ser utilizada para manipular opiniones o acciones en contextos políticos o sociales, especialmente si se revelan tendencias genéticas de grupos específicos.
- Ataques Cibernéticos Dirigidos: Conociendo detalles personales y genéticos, los hackers podrían diseñar ataques cibernéticos más dirigidos y personalizados contra individuos o grupos.
- Construcción de Bases de Datos para Futuros Ataques: Los hackers podrían almacenar esta información para usarla en futuros ataques o para correlacionarla con otros conjuntos de datos robados, aumentando su valor y potencial de daño.
Es decir, un desastre tremendo.
Este incidente podría dañar la reputación de 23andMe, llevando a una pérdida de confianza por parte de los consumidores, no solo en 23andMe sino en la industria de pruebas genéticas en general. Por supuesto, 23andMe podría enfrentar acciones legales y multas por no proteger adecuadamente los datos de sus clientes, aunque en realidad han entrado usando contraseñas con fuerza bruta. Además, podría haber un aumento en la regulación del sector de pruebas genéticas.