23andMe, la empresa de recolección de ADN de consumo líder en el mundo, sufrió el pasado mes de octubre un hackeo con el que los ciberdelincuentes se hicieron con datos genéticos de millones de personas. Ahora, la propia compañía ha informado que unos 6,9 millones de clientes vieron comprometida su información personal después de que un pirata informático accediera a los perfiles de usuarios y los pusiera a la venta en Internet a principios de este año.
Entre los datos comprometidos se incluían información sobre la ascendencia de los usuarios, así como, y en algunos casos, también aquella relacionada con la salud basada en sus perfiles genéticos, tal y como ha asegurado 23andMe en un correo electrónico. En el caso de esta filtración, se conoce que el ciberdelincuente sólo accedió directamente a unos 14.000 perfiles de los 14 millones de clientes, es decir, únicamente al 0,1%.
Sin embargo, en esta plataforma muchos usuarios deciden compartir sus datos con personas con las que están genéticamente emparentados -como pueden ser familiares directos o primos lejanos- para aprender más sobre su propia genética y poder construir así sus árboles genealógicos. Y resulta que así ha sido como el pirata informático -a través de 14.000 perfiles- pudo acceder a datos sobre millones de personas más.
En esta herramienta, los usuarios pueden elegir si desean compartir una variedad de datos diferentes, como el nombre, la ubicación, la ascendencia e información sanitaria como la predisposición genética a enfermedades como el asma, la ansiedad, la hipertensión y la degeneración macular. Para acceder a ellos, el hacker utilizó lo que se conoce como "relleno de credenciales".
Es decir, una popular técnica con la que logró entrar en cuentas individuales de 23andMe utilizando contraseñas que habían sido recicladas y usadas anteriormente para otros sitios web; y que habían sido pirateadas y filtradas previamente. Esto se sabe debido a que la propia compañía confirmó que no había pruebas de que se hayan violado sus sistemas.
[Consiguen hackear un Tesla para acceder gratis a las funciones que requieren suscripción]
Desde que se produjera el ataque, la propia empresa anunció que a partir de ahora exigirá la autenticación de dos factores con el objetivo de proteger a los usuarios del robo de sus credenciales en su web. Esta grave situación demuestra que compartir ADN con empresas de pruebas hace que los consumidores sean vulnerables a la exposición de información genética sensible que puede revelar riesgos para su salud.
También te puede interesar...
- Hackers rusos ocultos en Microsoft Teams: roban datos fingiendo ser del soporte técnico
- Así es cómo un hacker puede robar tu coche en dos minutos desde los faros y sin que te enteres
- Así son los comandos de voz inaudibles que pueden hackear tu móvil sin que te enteres
- Clonar la voz de tu familia: así usan los hackers la inteligencia artificial para robar tus ahorros