Millones de datos genéticos de personas, entre ellos muchas de origen judía askenazí, están a la venta en el Internet profundo o 'Dark web' por un precio de 10 dólares por persona. El robo lo ha sufrido la empresa 23andMe que reconoce el asalto a sus bases de datos, pero niega que la información sensible de los perfiles de ADN estén entre los datos sustraídos.
23andMe ha vinculado el acceso no autorizado a información de algunos de sus clientes a la técnica del raspado y no a un 'hackeo' a sus sistemas, lo que ha resultado en la puesta a la venta de datos personales sensibles de las personas afectadas.
23andMe es una empresa estadounidense especializada en los análisis genéticos en pruebas de salud y de ascendencia, fundada en 2006 y que contó con financiación de Google. Es conocida por el envío de kits directamente al consumidor y la publicación de los resultados en su plataforma online.
La firma ha reconocido un acceso no autorizado a la información de perfil de algunos clientes, que vinculan con una técnica conocida como 'scraping' o raspado, esto es, el uso de datos previamente recopilados en otros sitios web o aplicaciones.
"Creemos que los actores de amenazas pudieron acceder a ciertas cuentas en casos en los que los usuarios reciclaron las credenciales de inicio de sesión, es decir, los nombres de usuario y contraseñas que se usaron en 23andMe.com eran los mismos que los usados en otros sitios web que han sido previamente hackeados", señalan desde 23andMe en un comunicado publicado en su blog.
Por este ataque, la firma de análisis genético informa de que ha quedado expuesta la información de los perfiles de DNA Relatives, una característica con la que los clientes pueden conectar y encontrar a parientes genéticos que también estén dados de alta en este servicio.
Aunque 23andMe aseguran que los clientes que optan por usar esta característica tienen a su disposición opciones de privacidad, según la información que quieran compartir, también indican que "una privacidad completa" pueden abandonar esta característica.
Esto se debe a que para conseguir una conexión con un familiar genético, las personas coincidentes podrán ver información de perfil del cliente como el nombre, la foto y el sexo, pero también la relación prevista entre ambos (por ejemplo, tía por parte de madre), el porcentaje de ADN y de la cantidad de segmentos que se comparten (aunque no dónde) y parientes que se tienen en común.
Si además del cliente introduce información adicional como apellidos o ubicaciones familiares, también se le mostrará a las coincidencias.
El supuesto ciberdelincuente que ha acceso a esta información ha puesto a la venta conjuntos de datos, tras una muestra inicial que contiene un millón de líneas de datos de personas asquenazí, comunidad judía asentada en el centro y el este europeo, como detallan en Bleeping Computer.
Un portavoz de 23andMe ha confirmado al medio especializado que los datos son legítimos, y ha reiterado la técnica del raspado como el origen de la recopilación de las credenciales para acceder a las cuentas de los clientes. También ha negado que se haya producido un incidente de seguridad en sus sistemas, según los primero resultados de la investigación que han iniciado.