El oscuro negocio de la venta de datos genéticos: "Si algo se puede hackear, acabarán haciéndolo"
El filtrado masivo de datos de la empresa más grande de tests genéticos nos advierte del peligro de tener en la nube información sensible.
16 octubre, 2023 01:41Es una fiebre del oro incluso mayor que la de la inteligencia artificial, pero no acapara tantos titulares. Cada vez más gente compra un test genético para saber de dónde proceden sus ancestros o si el cilantro le va a saber a jabón. Pero cuando hacemos un test damos toda nuestra información más íntima, nuestro ADN completo, y esta puede permanecer en la nube durante años, con el riesgo de que alguien la sustraiga y se aproveche de ella.
El mercado global de tests genéticos directos para el consumidor alcanzó en 2022 los 1.560 millones de dólares (la IA se estima que alcanzó 1.420 millones) y se espera que crezca a un ritmo del 24,3% hasta 2030, según la consultora Grand View Research.
Esta fiebre se extiende, principalmente, por EEUU, donde la regulación es más abierta que la europea, Aproximadamente, un 8% de su población (26 millones de personas) se ha realizado un test y se espera que la cifra crezca hasta los 100 millones en unos años.
[En busca del ADN del 'triunfador': así determina la genética hasta dónde puedes llegar en la vida]
Las empresas más avanzadas ofrecen no solo datos curiosos para elaborar un árbol genealógico sino también perspectivas sobre la salud del cliente, analizando miles de variaciones genéticas —conocidas en el argot como polimorfismos— para determinar el riesgo de padecer ciertas enfermedades, desde la anemia de Fanconi hasta el alzhéimer.
Sin embargo, una muestra de saliva contiene todo nuestro genoma, una fuente de información de la que extraer una cantidad ingente de datos, ahora o en un futuro próximo, con fines lícitos o ilícitos.
Por eso, la brecha de seguridad reconocida recientemente por 23andMe, la mayor empresa de tests directos al consumidor, es una seria advertencia sobre las consecuencias de tener nuestro 'manual de instrucciones' en la nube.
[La secuenciación genética de 240 especies revela cómo se desencadenan las enfermedades en humanos]
Unos hackers habrían aprovechado esa brecha para robar datos de un millón de clientes de la empresa y venderlos en foros de la deep web a unos 10 dólares cada perfil. Debido a la conexión de parentesco de unos usuarios con otros (otro de los servicios que ofrece la empresa), en total han quedado expuestos unos siete millones de clientes, la mitad del total que gestiona.
En principio son solo datos personales y no genéticos, pero esta brecha de seguridad expone lo fácil que es penetrar en la nube y obtener información. Como explica a EL ESPAÑOL el abogado experto en derecho digital Borja Adsuara, "si algo se puede hackear, acabará siendo hackeado. Y si los datos se pueden vender, es venderán".
"Los robos de datos son tan habituales que ocurren todos los días", afirma. Algunos son más llamativos, como el caso de Air Europa o el reciente ataque al Hospital Clínic de Barcelona. Y siempre hay alguien dispuesto a comprarlos, como "aseguradoras que quieren alimentar el algoritmo para discriminar a qué clientes va a asegurar y a cuáles no".
Datos de especial protección
"No hace falta ser malpensado para darse cuenta de que es posible", subraya, poniendo de ejemplo el caso de Cambridge Analytica, una empresa seria hasta que se descubrió que recopilaba datos de millones de usuarios de Facebook sin su consentimiento para utilizarlos con fines de propaganda política.
El abogado afirma que los datos siempre tienen valor para alguien y, "desgraciadamente, todo tiene un precio: habrá gente que no lo haga [venderlos] porque es ilegal, pero habrá quien sí lo haga y lo compre".
Pone el ejemplo de una aerolínea que sufrió un ataque informático y, poco después, una compañía rival comenzó a 'robarle' pilotos ofreciéndoles mejores condiciones. Aunque esta nunca admitió su uso, la sospecha está ahí.
Y si estos son datos 'externos', ¿qué pasa con los biométricos y genéticos, que "te individualizan frente a todo el resto de la humanidad"? Estos están especialmente protegidos por el Reglamento Europeo de Protección de Datos, donde se prohíbe su tratamiento con una serie de excepciones y siempre pidiendo el consentimiento explícito para cada acción.
El caso de 23andMe no es el primero de filtración de datos en una empresa de tests genéticos. En julio de 2020, GEDmatch, otra empresa de tests genéticos directos al consumidor, reconoció que los datos de 1,3 millones de usuarios habían quedado expuestos tras un fallo de ciberseguridad. Casi al mismo tiempo, otra compañía del sector, MyHeritage, había sido objetivo de un ataque de phising (suplantación de la web para obtener nombres de usuario y contraseñas).
Como advierte la investigadora neozelandesa Andelka Phillips, el riesgo que suponen estos tests es que, a diferencia de otros datos que compartimos en internet, el ADN no se puede cambiar como el PIN de la cuenta bancaria. Además, una filtración no solo afecta al usuario que ha participado sino a toda su familia biológica, al compartir gran parte de su información genética.
Los riesgos no acaban ahí. En su libro Por qué mi hijo tiene una enfermedad rara, el genetista Lluís Montoliu advierte que empresas como 23andMe analizan unos 690.000 polimorfismos, que pueden parecer pocos si tenemos en cuenta que el genoma está compuesto de unos 3.200 millones de pares de letras.
Sin embargo, aunque la empresa no secuencia la totalidad del genoma, algo que haría más caro el servicio, sí tiene capacidad para hacerlo "y no es impensable que lo haga en un futuro".
Es decir, nuestra información genética al completo va a estar disponible durante décadas, susceptible a cambios en la política de privacidad y en las regulaciones. Durante este tiempo, no solo está en riesgo de filtraciones sino que las propias empresas pueden utilizar los datos para ciertos fines.
Tras las huellas del asesino
En su libro, Montoliu explica que las tecnologías de secuenciación se han abaratado pero la razón de que si se hace desde un laboratorio clínico cueste miles de euros frente a los alrededor de 100 por los que estas empresas ofrecen sus servicios, es que "lo que le aportamos a la empresa, nuestra saliva, nuestro ADN, nuestro genoma, es mucho más valioso que lo que estamos pagando por el supuesto servicio que contratamos".
En EEUU, por ejemplo, se ofrecen estas bases de datos (de forma legal) a empresas farmacéuticas e incluso a la policía o el FBI. Algunos estados llevan desde los años 90 formando bases genéticas de detenidos y convictos pero, en un nuevo paso, desde hace unos años pueden acudir a la valiosa información que contienen estas empresas.
De hecho, en 2018, la policía de Sacramento (California) detuvo a un hombre acusado de asesinar a 13 mujeres en los años 70 gracias a que el ADN de un familiar suyo estaba en una de estas bases de datos. Al haber una alta coincidencia con los restos encontrados en una de las víctimas, las fuerzas de seguridad empezaron a tirar del hilo hasta encontrar al culpable.
[Este es el primer animal modificado genéticamente para tener crías sin necesidad de aparearse]
"¿Quién no va a estar en contra de que se resuelva un crimen?", opina el experto en datos Borja Adsuara. Sin embargo, estas acciones abren interrogantes jurídicos nuevos.
Con todo, Europa cuenta con una legislación más restrictiva. En España, estos tests no pueden ofrecer datos sobre la salud de las personas, por ejemplo. Sin embargo, por muy duro que sea el Reglamento para la Protección de Datos, recuerda que, en realidad, no nos da el control de nuestra información personal.
"No tenemos el control, eso es evidente, sino que nos da el derecho a perseguir los malos usos que se hagan de nuestros datos", afirma. Por eso, lo mejor para el abogado es no dar los datos. "Aunque un test no te diga mucho, tu información ya está ahí".
