Información tan sensible como las posibles enfermedades que puede desarrollar una persona habría quedado expuesta en la DarkWeb. Es habitual en los hackeos a grandes empresas que los datos robados por los hackers, tanto si hay un rescate o no, se vendan a otros piratas informáticos para provocar una nueva cadena de hackeos. Este sería el caso al que se enfrenta la empresa 23andMe que ofrece pruebas genéticas.

La empresa ha afirmado públicamente que los datos personales de sus usuarios están circulando en los foros de la Dark Web. Declaración que llegaba después del artículo de BleepingComputer sobre la oferta encontrada en esos foros. Entre 2 y 10 dólares cuesta comprar esta ingente base de datos con información privada y médica de millones de personas. 

23andMe es una empresa estadounidense de biotecnología que ofrece servicios de pruebas genéticas a clientes. Estos envían una muestra de saliva a sus laboratorios y reciben un informe de ascendencia y predisposiciones genéticas. La información inicial señala que la base de datos robada contendría un millón de datos de personas Ashkenazí, una de las principales etnias judías. También habría a la venta en la DarkWeb otra base de datos con información personal de 300.000 usuarios de origen chino.

Contraseña

La etnia o raza no es único detalle sensible que puede trascender de las víctimas de este ciberataque, de la filtración también se puede extraer las probabilidades de cada persona de sufrir diferentes enfermedades, lo que podrían aprovechar las aseguradoras para denegar contratos de seguros a esos clientes.

La filtración se habría producido a través de un tipo de ataque llamado relleno de credenciales en el que se usan programas informáticos que aprovechan credenciales comprometidas y sistemas automatizados para rellenar procesos como CAPTCHA o la doble autentificación.

Un portavoz de 23andMe confirmó a BleepingComputer que los hackers utilizaron las credenciales expuestas para acceder a las cuentas de 23andMe y robar datos confidenciales de sus clientes, los cuales habrían hecho uso del servicio DNA Relatives, que proporciona indicación sobre aquellas personas con las que se tienen algún enlace genético. 

A través de esas credenciales se podría acceder a nombres completos, fotos de perfil, sexo, fecha de nacimiento, resultados de ascendencia genética y ubicación geográfica. En su comunicado, la compañía ofrece indicaciones para restablecer las contraseñas y configurar la doble autentificación para reforzar la seguridad de cada cuenta.

Privacidad

Según ArsTechnica, los piratas informáticos han acusado al director ejecutivo de 23andMe de conocer la filtración de esa base de datos dos meses antes de haber reconocido el incidente ante sus usuarios. La compañía niega a través de sus redes sociales que se haya producido "ningún acceso no autorizado a nuestros sistemas". Los responsables de la empresa aún se encuentran analizando la situación.

También te puede interesar...