En octubre, la empresa de pruebas genéticas 23andMe fue víctima de una importante filtración de datos que afectó a 6,9 millones de usuarios, según confirmó un portavoz de la compañía. La brecha, reportada por TechCrunch, incluía información personal como informes de ascendencia, datos de ADN, fechas de nacimiento y fotos de perfil. Los datos robados se pusieron a la venta en un foro de hackers.
La brecha plantea graves riesgos, ya que podría facilitar el robo de identidades y el fraude financiero. Como prueba de su éxito, los ciberdelincuentes publicaron ejemplos de los datos robados dirigidos a grupos de ascendencia específicos, entre ellos un millón de puntos de datos relativos a usuarios judíos asquenazíes y más de 300.000 de ascendencia china. Al parecer, la brecha se debió a que un pequeño número de clientes reutilizó contraseñas comprometidas de otros sitios.
En un principio se pensó que el ataque había afectado a menos de 14.000 cuentas. Sin embargo, el vínculo entre estas cuentas y sus parientes genéticos significaba que la brecha se extendía a casi la mitad de los 14 millones de clientes globales de la empresa. En respuesta, 23andMe ha puesto en marcha el restablecimiento obligatorio de las contraseñas y la autenticación de dos factores para todos los usuarios. La empresa anunció por primera vez la brecha a principios de octubre, pero sólo recientemente confirmó el alcance total de los usuarios afectados.
Existe incertidumbre en torno al retraso de la empresa en revelar el número total de usuarios afectados y a su anterior postura laxa respecto a la autenticación de dos factores. El incidente pone de relieve los riesgos asociados a los datos personales interconectados y plantea interrogantes sobre la preparación de la empresa ante este tipo de amenazas de ciberseguridad.