Un pirata informático —o hacker— ha puesto a la venta en la ‘dark web’ información genética de un millón de personas, recopilada del sitio web 23andMe, una de las mayores empresas de análisis genético.
Según la NBC, que ha podido ver la base de datos puesta a la venta en la ‘dark web’, la lista —con información de 999,999 personas que han utilizado el servicio— incluye datos como nombre y apellido, sexo y la evaluación de 23andMe sobre el origen de sus antepasados. La cadena de televisión estadounidense pudo verificar que los datos de al menos dos usuarios involucrados en la infracción eran auténticos. «Es una locura, esto podría ser utilizado por los nazis«, dijo una persona que aparece en la base de datos.
Esto se debe a que la mayoría de la personas incluidas en la lista tienen ascendencia judía asquenazí. De hecho, la base de datos se titula ‘Datos de ADN ashkenazi de celebridades’, aunque la mayoría de las personas que aparecen en ella no son famosas y parece haber sido ordenada para incluir únicamente a personas con herencia asquenazí.
La compañía todavía está investigando el incidente, pero trata la filtración como auténtica. En un comunicado enviado por correo electrónico, un portavoz de 23andMe dijo que la compañía cree que no fue pirateada como tal. En cambio, cree que los piratas informáticos simplemente obtuvieron las contraseñas de algunos usuarios que habían sido pirateadas y filtradas desde otros sitios, y luego explotaron el hecho de que 23andMe puede dar a los usuarios un amplio acceso a la información genética de los demás.
La empresa dijo que si bien se había recopilado una cantidad no especificada de «información de perfil de clientes» «a través del acceso a cuentas individuales de 23andMe.com», la compañía en sí no había sido violada. «No tenemos ningún indicio en este momento de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas», dice el comunicado.
La declaración continuó diciendo que un pirata informático pudo haber recopilado contraseñas robadas de otros sitios y reutilizarlas en un intento de secuestrar cuentas de 23andMe. La técnica, conocida como relleno de credenciales, es una de las razones por las que los expertos en ciberseguridad recomiendan no utilizar la misma contraseña para diferentes sitios.
Una sola cuenta puede acceder a la información de miles
23andMe analiza la composición genética de los usuarios mediante una muestra de saliva, con la que procesa su ADN. La empresa categoriza a las personas en numerosos grupos étnicos y les informa sobre las poblaciones con las que comparten similitudes genéticas. La lista parece ser una selección aleatoria de cientos de miles de individuos, donde los judíos asquenazíes suelen figurar entre los tres primeros grupo.
Una opción popular disponible para los 14 millones de usuarios de la compañía, llamada ‘DNA Relatives’, permite que cualquier cuenta pueda buscar otras personas con las que pueda tener una coincidencia genética lejana. Esto da la posibilidad de que una sola cuenta pueda ver la información de miles de personas más. 23andMe cree que los piratas informáticos simplemente reciclaron las contraseñas de algunos usuarios (no está claro cuántas) para eliminar la lista de personas que había etiquetado como de herencia asquenazí.
«Estamos tomando este asunto en serio y continuaremos nuestra investigación para confirmar estos resultados preliminares», dice el comunicado.