Cuando tu ADN deja de ser solo tuyo: lecciones y consecuencias del ciberataque a 23andMe

Qué ocurrió, por qué la información genética exige mayor protección y cómo deberían cambiar las empresas y reguladores

El verano y el otoño de 2023 dejaron una advertencia clara: los datos genéticos que millones de personas entregaron a empresas de pruebas de ADN para conocer su origen y riesgos de salud pueden convertirse en activos vulnerables en manos de atacantes. El pleito presentado por el fiscal general de California, Rob Bonta, contra la compañía antes conocida como 23andMe (ahora Chrome Holding Co.) reavivó el debate sobre responsabilidades, seguridad y derechos de los consumidores.

Un ataque que golpeó la confianza

Según la demanda presentada por la oficina del fiscal general de California, en 2023 se produjo una brecha de seguridad que permitió el acceso a unas 14,000 cuentas y, por derivación, a los datos de casi 7 millones de clientes. La técnica empleada por los atacantes fue el denominado credential stuffing, es decir, el uso de credenciales robadas o reutilizadas de otros servicios para ingresar en cuentas con contraseñas débiles o repetidas.

En palabras de la fiscalía: “23andMe’s security measures were so lax that the threat actor was able to operate undetected within 23andMe’s systems for over five months, and remarkably, 23andMe only began investigating after the threat actor offered the stolen user data for sale on the dark web and reached out to 23andMe to demand a ransom.” (Oficina del Fiscal General de California, comunicado de prensa.)

Que la violación se hiciera pública porque los atacantes ofrecieron los datos en el mercado clandestino de la web subraya una falla fundamental: detección tardía y controles insuficientes para detectar actividad anómala.

Qué tipo de información estuvo en riesgo

El carácter de los datos robados aumenta la gravedad del incidente. No se trató sólo de nombres y correos electrónicos: el paquete filtrado incluía datos sensibles como el ADN bruto, informes de salud, conexiones entre parientes que comparten ADN, localizaciones y años de nacimiento de familiares. Para muchas personas, esos registros pueden revelar ascendencia, predisposiciones médicas e información sobre miembros de la familia que no dieron su consentimiento para la exposición de sus datos.

La fiscalía subrayó que aproximadamente 1.1 millones de los registros filtrados correspondían a consumidores de origen asiático y ashkenazi judío, un detalle que adquiere mayor gravedad en contextos donde existe un repunte de crímenes de odio o violencia dirigida hacia comunidades específicas.

Marco legal y obligaciones especiales sobre datos genéticos

En Estados Unidos, varios estados han reconocido que la información genética exige un nivel de protección superior. California, por ejemplo, cuenta con la Genetic Information Privacy Act (GIPA), que impone obligaciones más estrictas sobre la recolección, uso y venta de datos genéticos. El fiscal Bonta enfatizó que la ley exige consentimiento explícito para la venta de esa información a terceros y que la empresa no cumplió con los estándares de cuidado razonable.

Históricamente, el tratamiento de información genética ha sido delicado: desde la creación de los primeros bancos de datos de ADN en la década de 1990 hasta la explosión de servicios de consumo en la última década, legisladores y académicos han advertido que la genética no es un simple dato personal. En 2008, por ejemplo, la Ley de No Discriminación por Información Genética de EE. UU. (GINA) prohibió que empleadores y aseguradoras usaran dicha información para discriminar, pero dejó vacíos respecto a la privacidad frente a actores privados y brechas de seguridad.

Errores previos y señales ignoradas

Según la demanda, 23andMe detectó señales que habrían merecido una investigación temprana: un aumento “sospechoso” en intentos de inicio de sesión en julio y publicaciones en foros públicos (como Reddit) en agosto que mencionaban una potencial venta de datos. Sin embargo, la empresa tampoco habría aplicado medidas comunes de mitigación tras la filtración de credenciales en 2017 (relacionada con MyHeritage), como forzar restablecimientos de contraseña o activar la autenticación multifactor (MFA) para cuentas de alto riesgo.

La ausencia de MFA —una defensa hoy considerada básica en seguridad— y la dependencia de contraseñas reutilizadas representan un patrón que las investigaciones en seguridad repiten una y otra vez: las organizaciones que no implementan controles estándar se convierten en objetivos de bajo coste para atacantes con recursos modestos.

Consecuencias legales y económicas

Además de la demanda estatal, 23andMe enfrentó una acción colectiva que culminó en un acuerdo inicialmente por 30 millones de dólares, luego elevado a 50 millones para resolver la mayoría de las reclamaciones de clientes en EE. UU.; esa cifra recibió aprobación judicial en enero tras los procesos concursales de la empresa. El proceso muestra dos consecuencias inevitables de incidentes de esta naturaleza: sanciones económicas y daño reputacional.

Las sanciones financieras buscan dos objetivos: compensar a las víctimas y enviar una señal disuasoria a otras empresas del sector. Sin embargo, es importante preguntarse si multas y acuerdos civiles son suficientes para inducir transformaciones profundas en prácticas de seguridad y gobernanza de datos.

Qué deberían hacer las empresas que manejan ADN

  • Implementar autentificación multifactor (MFA) obligatoria: forzar MFA reduce drásticamente la eficacia del credential stuffing.
  • Detección proactiva y respuesta a incidentes: sistemas de monitoreo que identifiquen patrones anómalos de acceso y procedimientos claros para investigación inmediata.
  • Segmentación y cifrado fuerte: minimizar el acceso a datos sensibles y cifrar ADN bruto y reportes en reposo y en tránsito.
  • Auditorías externas periódicas: contratar evaluaciones de seguridad independientes y pruebas de penetración para encontrar y corregir fallos.
  • Transparencia con usuarios: notificaciones claras, instrucciones para mitigar riesgos personales y apoyo post-breve para afectados.

Qué pueden hacer los consumidores

Aunque la responsabilidad principal recae en las empresas, los usuarios también pueden reducir riesgos:

  • Usar contraseñas únicas y gestores de contraseñas.
  • Activar MFA siempre que esté disponible.
  • Revisar políticas de privacidad antes de compartir ADN y entender a quién se cede información y con qué finalidad.
  • Considerar las implicaciones para familiares: compartir tu ADN puede revelar información sobre parientes que no consintieron.

Implicaciones éticas y sociales

Más allá de multas y técnicas de mitigación, el incidente abre preguntas profundas: ¿la sociedad está preparada para el intercambio masivo de información genética con empresas privadas? ¿Qué derechos debe tener una persona sobre su secuencia genética a lo largo del tiempo? La disponibilidad de datos genéticos en el mercado puede facilitar investigaciones médicas y descubrimientos, pero también puede exponer comunidades enteras a riesgos de discriminación o estigmatización, especialmente cuando datos demográficos y de ascendencia se entrelazan con crisis sociales.

Como señala un análisis de expertos en bioética, los datos genéticos combinan características de información personal y de patrimonio biológico colectivo: un solo registro puede implicar a varios individuos (parientes) que no consintieron su inclusión. Por eso, muchos reclaman marcos regulatorios más robustos que no sólo castiguen fallos, sino que establezcan condiciones estrictas de consentimiento, uso y comercialización.

El papel del regulador y el futuro normativo

El caso de California muestra una tendencia: los gobiernos estatales y federales están empezando a tomar acciones más agresivas sobre privacidad y seguridad de datos. Además de sanciones, es probable que veamos normas que exijan estándares mínimos de seguridad para empresas que tratan datos biométricos y genéticos, así como reglas claras sobre la venta y transferencia de activos que contienen información sensible.

La experiencia también sugiere que los procesos concursales (como el capítulo 11) no deben convertirse en atenuantes automáticos para la protección de datos; los reguladores y tribunales pueden imponer condiciones para garantizar que la información de consumidores no termine en manos de terceros sin salvaguardas adecuadas.

Reflexión final

La violación de 23andMe es una llamada de atención: la democratización de las pruebas genéticas trajo enormes beneficios personales y científicos, pero también obligó a replantear quién asume la responsabilidad cuando esas bases de datos se vuelven blanco. Más allá de indemnizaciones y demandas, el aprendizaje debe traducirse en mejores prácticas tecnológicas, mayor transparencia y leyes que protejan la singularidad del material genético. Solo así la promesa de un ADN más accesible no termine socavando la privacidad y seguridad de quienes confiaron su información más íntima a empresas privadas.

Fuentes citadas:

  • Oficina del Fiscal General de California. Comunicado sobre la demanda contra Chrome Holding Co. (23andMe). https://oag.ca.gov/news (consulta del comunicado público de la oficina; cita incluida en el texto).
  • Informes periodísticos sobre el incidente y el acuerdo: Reuters, cobertura sobre la brecha de seguridad y el acuerdo multimillonario con consumidores (https://www.reuters.com/).
Este artículo fue redactado con información de Associated Press
¿Te gusta escribir y buscas un espacio para publicarte?, click aqui!

Relacionado