AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Protección de datos

**Demanda contra 23andMe por deficiencias en la protección de datos genéticos compromete la confianza en el sector**

admin

### 1. Introducción

El panorama de la ciberseguridad sigue viéndose sacudido por incidentes de alto impacto que afectan a sectores clave, como el sanitario y el biotecnológico. El último episodio lo protagoniza 23andMe, actualmente conocida como Chrome Holding Co., tras la interposición de una demanda por parte del Fiscal General de California, Rob Bonta. La acción legal se fundamenta en la presunta negligencia de la compañía a la hora de salvaguardar la información genética y personal de millones de usuarios, un hecho que reaviva el debate sobre la responsabilidad legal y técnica en la protección de datos sensibles.

### 2. Contexto del Incidente

23andMe, empresa líder en pruebas genéticas directas al consumidor, sufrió en 2023 un incidente que expuso datos sensibles de aproximadamente 6,9 millones de usuarios. La brecha puso al descubierto información altamente confidencial, incluyendo perfiles genéticos, datos familiares y detalles personales. El ataque se produjo mediante técnicas de credential stuffing, explotando credenciales filtradas previamente en otros servicios, lo que permitió a los atacantes acceder a cuentas de clientes que reutilizaban contraseñas.

El incidente no solo supuso una violación de privacidad a gran escala, sino que también puso de manifiesto carencias en las medidas de seguridad implementadas por la compañía, especialmente en un sector donde el cumplimiento normativo (GDPR, CCPA, NIS2) es clave para la confianza de los usuarios y la viabilidad del negocio.

### 3. Detalles Técnicos

El vector de ataque principal fue el credential stuffing, una técnica bien documentada en el marco MITRE ATT&CK (T1110.003), aprovechando la reutilización de credenciales por parte de los usuarios y la ausencia de medidas de defensa adecuadas, como la autenticación multifactor (MFA). Los atacantes utilizaron herramientas automatizadas para probar combinaciones de usuario y contraseña obtenidas de anteriores filtraciones en servicios de terceros.

Según la información proporcionada en la demanda y los informes técnicos, los atacantes pudieron comprometer no solo los datos de las cuentas accedidas directamente, sino también los de familiares y conexiones genéticas asociadas en la plataforma, amplificando el alcance del incidente. Entre los indicadores de compromiso (IoC) identificados se encuentran patrones de acceso automatizado, direcciones IP sospechosas y cuentas asociadas a botnets conocidas.

No se han publicado CVEs específicos, ya que la vulnerabilidad explotada no residía en un fallo de software, sino en la gestión deficiente de la autenticación y la protección de cuentas. No obstante, la ausencia de controles como la limitación de intentos de login, la monitorización activa y la MFA universal, facilitó la explotación masiva. Herramientas como Sentry MBA y Snipr han sido señaladas en foros underground como posibles medios empleados en el ataque.

### 4. Impacto y Riesgos

El impacto de la brecha es considerable:

– **Datos personales y genéticos comprometidos:** Nombres, direcciones de correo, información familiar, conexiones genéticas y datos de salud.
– **Riesgos de privacidad:** Posibles usos maliciosos de datos genéticos, desde chantaje hasta discriminación laboral o aseguradora.
– **Daño reputacional:** Pérdida de confianza en la empresa y el sector de pruebas genéticas directas al consumidor.
– **Potenciales sanciones regulatorias:** Sanciones económicas bajo GDPR y CCPA, que en el caso de la UE pueden llegar al 4% de la facturación anual global.
– **Implicaciones legales:** Precedentes en materia de responsabilidad corporativa en la protección de datos biométricos y genéticos.

### 5. Medidas de Mitigación y Recomendaciones

Para prevenir incidentes similares, los expertos recomiendan:

– **Implementación obligatoria de MFA para todos los usuarios.**
– **Monitorización avanzada de patrones de acceso** mediante SIEM y herramientas de detección de bots.
– **Bloqueo automático tras múltiples intentos fallidos** y análisis de login anómalos.
– **Estrategias de gestión de contraseñas robustas**: políticas de complejidad y rotación periódica.
– **Revisión y actualización de políticas de privacidad** y consentimiento informado.
– **Simulacros de brecha y respuesta a incidentes** orientados a datos biométricos/genéticos.
– **Auditorías regulares de cumplimiento normativo**: GDPR, CCPA, NIS2 y legislación local.

### 6. Opinión de Expertos

Profesionales como Troy Hunt (Have I Been Pwned) y analistas de la Electronic Frontier Foundation coinciden en que la protección de datos genéticos requiere un enfoque de seguridad por defecto y por diseño (“privacy by design”), dada la imposibilidad de “rotar” o sustituir la información comprometida. La CISO de una multinacional del sector farmacéutico, consultada al respecto, subraya: “El credential stuffing es un riesgo conocido, pero su éxito revela un fallo sistémico en la cultura de ciberseguridad corporativa”.

### 7. Implicaciones para Empresas y Usuarios

La demanda contra 23andMe marca un hito en la aplicación de la legislación de protección de datos a la biotecnología. Las empresas del sector deben anticiparse a auditorías y revisiones regulatorias más estrictas, mientras que los usuarios deben ser conscientes de los riesgos inherentes a compartir información genética en plataformas online. La tendencia apunta a una mayor presión sobre la industria para adoptar estándares de seguridad equiparables al sector financiero.

### 8. Conclusiones

El caso de 23andMe demuestra que la exposición de datos genéticos trasciende la simple pérdida de información personal: supone una amenaza permanente a la privacidad de individuos y familias, con consecuencias legales y reputacionales de gran alcance. Es imperativo que las empresas del sector eleven sus estándares de ciberseguridad, implementando controles robustos y adaptados a la sensibilidad de los datos que gestionan. La acción legal iniciada en California podría sentar precedente global y acelerar la convergencia entre ciberseguridad, privacidad y biotecnología.

(Fuente: www.bleepingcomputer.com)