Los datos genéticos y los árboles genealógicos de casi 7 millones de personas han sido robados por hackers

Los datos genéticos y los árboles genealógicos de casi 7 millones de personas han sido robados por hackers

Justo Romanos

Una de las empresas más conocidas en lo relacionado con hacer análisis genéticos y ayudar a los usuarios a trazar sus árboles genealógicos online ha reconocido haber sufrido un ciberataque. Y lo peor de todo es que se ha extendido durante varios meses hasta que lo han descubierto. La sangría de datos robados ha sido terrible.

Son muchos los servicios que ofrecen la oportunidad de analizar una muestra genética de los usuarios para descubrir sus orígenes y, al mismo tiempo, encontrar a familiares desconocidos. Es algo curioso y divertido. Millones de personas han utilizado este tipo de servicio y, seguramente, nunca se han planteado la parte negativa de lo que podría suponer. Pero tras este ataque, es posible que algo cambie.

Robando datos durante meses

La víctima del ciberataque ha sido 23andMe, que junto a otros nombres como MyHeritage o Ancestry, se trata de una de las entidades principales en este mercado. Tal y como han reconocido, comenzaron a sufrir el ciberataque en el mes de abril del pasado año y no descubrieron lo que estaba pasando hasta tiempo después. Los hackers llevaron a cabo una estrategia basada en la técnica de la fuerza bruta, la cual consiste en que los atacantes prueben millones de contraseñas de los nombres de usuarios registrados hasta que van accediendo a ellos.

Captura de la web de 23andMe

En muchos casos hubo cuentas que no pudieron desbloquear, pero la cifra definitiva de accesos comprometidos, la cual alcanza los 6,9 millones de usuarios, deja claro que se salieron con la suya. Teniendo en cuenta los datos globales de registros que tiene la plataforma, se concluye que la filtración de perfiles se produjo en alrededor de la mitad de sus clientes.

Un sistema de seguridad fallido

Lo peor de todo es que 23andMe no descubrió el ciberataque porque sus especialistas en seguridad lo detectaran o porque vieran que algo no cuadraba. En realidad, llevaron a cabo el descubrimiento ya en el mes de octubre, cuando los hackers habían dejado de atacar su web y habían pasado al punto en el que comercializaban el paquete de datos en foros de la Deep Web donde intentaban sacar tajada de ellos.

Un hacker preparando un ciberataque online

La investigación realizada a posteriori ha permitido saber, entre otras cosas, cómo actuaron los hackers. El primer punto de contacto con la web se llevó a cabo utilizando 14.000 cuentas de usuario de 23andMe que pudieron hackear fácilmente porque las contraseñas se habían filtrado en otras brechas de seguridad previas. Simplemente tuvieron que cruzar direcciones de correo y claves para tener acceso a estas catorce mil cuentas. Después se aprovecharon de la función DNA Relatives para romper las defensas de la plataforma y acceder a los millones de datos que hemos indicado.

Esta función vincula y comparte información personal entre los usuarios y sus familiares, por lo que las primeras personas hackeadas, en cierta manera, llevaron a que los usuarios vinculados a su ADN también acabaran sufriendo el ciberataque. Todo ello acabó provocando que datos como el nombre, apellidos, relaciones familiares, información genética o incluso la localización, terminaran en manos de los hackers. Y, como hemos dicho, ya se puede ver que su intención era venderlos. A partir de ahí, es imposible conocer cuáles serán las intenciones de las personas que se hagan con ese paquete de datos de millones de usuarios. Pero teniendo en cuenta la información genética incluida y otros detalles que deberían ser confidenciales, preocupa pensar en lo que puedan hacer con ello.

Científica haciendo una prueba de código genético con ADN

Otra mala noticia es que, tal y como leemos en TechCrunch, 23andMe no parece haber actuado de la forma más responsable posible tras lo ocurrido. Las demandas de usuarios que se han interpuesto contra ellos las han intentado combatir culpando a quienes contaban con registro en su página, argumentando cosas como que tenían contraseñas reutilizadas en distintos servicios. Y si bien es cierto que esto es algo que se debe evitar por todos los medios, tampoco hay que olvidar que fue la plataforma la que demostró tener un sistema de seguridad muy poco efectivo. En general, como decíamos antes, es algo que nos hace perder un poco la confianza en este tipo de servicios que, a decir verdad, siempre nos habían causado mucho interés.