AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**El ICO sanciona a 23andMe con 2,31 millones de libras por graves fallos de seguridad en la brecha de 2023**

admin

### 1. Introducción

El sector de la genética digital ha vuelto a situarse en el epicentro de la ciberseguridad tras la reciente sanción impuesta por la Oficina del Comisionado de Información del Reino Unido (ICO) a 23andMe, uno de los principales proveedores mundiales de pruebas genéticas. La multa, que asciende a 2,31 millones de libras esterlinas (aproximadamente 3,12 millones de dólares), responde a “graves fallos de seguridad” que derivaron en una brecha masiva de datos en 2023. Este incidente, calificado por el regulador británico como “profundamente dañino”, pone en evidencia los riesgos inherentes al tratamiento y almacenamiento de información genética y personal de alta sensibilidad.

### 2. Contexto del Incidente o Vulnerabilidad

El incidente se produjo en octubre de 2023, cuando 23andMe confirmó la exposición de datos personales y genéticos de aproximadamente 6,9 millones de usuarios, equivalentes al 44% de su base total. Los atacantes lograron acceder inicialmente a un subconjunto de cuentas mediante técnicas de credential stuffing, aprovechando credenciales filtradas en anteriores brechas de otras plataformas. Posteriormente, explotaron funcionalidades legítimas de la propia plataforma, como “DNA Relatives”, para ampliar el alcance del compromiso y recolectar datos familiares y genéticos vinculados.

La ICO determinó que la arquitectura de seguridad de 23andMe no estaba alineada con los requisitos legales y técnicos exigibles para el tratamiento de datos especialmente sensibles, incumpliendo principios fundamentales de la GDPR y la Data Protection Act británica.

### 3. Detalles Técnicos

El vector de ataque principal fue el credential stuffing, una técnica ampliamente documentada en el framework MITRE ATT&CK (T1110.004: Credential Stuffing). Los atacantes automatizaron intentos de acceso utilizando combinaciones de usuario y contraseña obtenidas de brechas previas en otras plataformas, aprovechando la frecuente reutilización de credenciales por parte de los usuarios.

Una vez obtenidas las credenciales válidas, los actores maliciosos explotaron la funcionalidad “DNA Relatives”, que permite a los usuarios descubrir conexiones familiares basadas en el análisis genético. Debido a la configuración por defecto y a controles insuficientes de acceso y privacidad, los atacantes pudieron correlacionar y recopilar información genética y de parentesco de millones de usuarios adicionales.

El incidente no se asocia a una vulnerabilidad específica con CVE asignado, sino más bien a deficiencias en la gestión de autenticación y autorización, así como a la ausencia de medidas como la autenticación multifactor (MFA) obligatoria. No se han detectado, hasta el momento, indicios de explotación mediante malware o frameworks como Metasploit o Cobalt Strike; la intrusión se limitó a técnicas de automatización y scraping a gran escala.

Entre los indicadores de compromiso (IoC) identificados destacan patrones de acceso anómalos, autenticaciones desde rangos IP sospechosos y volúmenes inusuales de consultas a la API de parentesco.

### 4. Impacto y Riesgos

El impacto de la brecha va mucho más allá de la filtración de datos personales convencionales. Los registros comprometidos incluían información genética, relaciones familiares, ascendencia, datos de salud potencial y correspondencia de ADN, todos ellos considerados de especial protección bajo GDPR (art. 9).

El riesgo de doxing, extorsión, ingeniería social y discriminación genética se ha visto incrementado. Además, la exposición de estos datos podría facilitar ataques dirigidos (spear phishing), suplantación de identidad y actividades ilegales en mercados clandestinos de datos, donde los conjuntos de información genética alcanzan precios muy superiores a los de datos financieros convencionales.

En términos regulatorios, la ICO subraya el incumplimiento de los principios de integridad y confidencialidad (artículo 5.1.f de GDPR) y los requisitos de seguridad del tratamiento (artículo 32 de GDPR). La sanción de 2,31 millones de libras marca un precedente en la aplicación de la normativa a proveedores del sector health-tech y genómica.

### 5. Medidas de Mitigación y Recomendaciones

Tras el incidente, la ICO ha instado a 23andMe y al resto del sector a implementar controles robustos de autenticación, incluyendo:

– **MFA obligatoria** para todos los usuarios, especialmente en plataformas que manejan datos de categoría especial.
– **Monitorización avanzada de accesos** y detección de patrones anómalos mediante SIEM y análisis de comportamiento (UEBA).
– **Limitación y revisión de funcionalidades de correlación de datos**, como “DNA Relatives”, asegurando privacidad por defecto y minimización de datos.
– **Políticas de expiración y rotación de contraseñas**, así como educación continua a usuarios sobre riesgos de reutilización de credenciales.
– **Planes de respuesta a incidentes** y simulacros periódicos orientados a la protección de datos genéticos bajo GDPR y NIS2.

### 6. Opinión de Expertos

Expertos en ciberseguridad y privacidad, como Alan Woodward (Universidad de Surrey), subrayan que “la información genética es el dato personal definitivo: no puede ser cambiado ni revocado como una contraseña”. Destacan que la industria genómica subestima los riesgos asociados al credential stuffing y la agregación cruzada de datos, especialmente cuando las arquitecturas cloud y las APIs no aplican controles restrictivos.

La necesidad de una aproximación zero-trust y de controles de acceso granulares es unánime entre los analistas, quienes advierten que la tendencia al self-service y la apertura de funcionalidades incrementa la superficie de ataque.

### 7. Implicaciones para Empresas y Usuarios

Esta sanción marca un cambio de paradigma en la supervisión y exigencia de cumplimiento para plataformas que gestionan datos biométricos y de salud. Las empresas del sector deben revisar urgentemente sus prácticas de autenticación, segmentación de datos y privacidad por defecto, en línea con las directrices de GDPR y la inminente entrada en vigor del marco NIS2 en la UE.

Para los usuarios, el caso refuerza la importancia de no reutilizar contraseñas y de activar MFA siempre que esté disponible. La concienciación sobre los riesgos de compartir datos genéticos y familiares en plataformas digitales debe incrementarse, dado el carácter irreversible de esta información.

### 8. Conclusiones

El caso 23andMe sienta un precedente en la protección de datos genéticos a nivel global y pone en evidencia la necesidad de reforzar controles técnicos y organizativos en plataformas de alta sensibilidad. La sanción de la ICO debe servir como aviso para todo el ecosistema digital y sanitario sobre la gravedad de los fallos de seguridad y el impacto duradero de la exposición de información genética.

(Fuente: www.bleepingcomputer.com)