Se ha confirmado una asombrosa violación de la ciberseguridad en 23andMe, con más de 6,9 millones de cuentas de usuarios comprometidas. Eso es casi la mitad de la base total de usuarios de 14 millones de la empresa de ascendencia genética. Esta noticia sigue a la revelación inicial de que sólo una fracción de las cuentas (aproximadamente 14.000) habían sucumbido al acceso no autorizado.
La profundidad de la infracción se extendió más allá de las estimaciones iniciales, envolviendo datos de dos grupos distintos de usuarios que habían interactuado con la función DNA Relatives de 23andMe. Esta herramienta interactiva está diseñada para conectar a personas con parientes genéticos perdidos. Los usuarios que optan por esta función ofrecen información personal como su año de nacimiento, ubicación, nombres de antepasados conocidos y lugares de nacimiento.
Sin embargo, esta característica también se convirtió inadvertidamente en una puerta de entrada para los piratas informáticos. Alrededor de 5,5 millones de usuarios optaron automáticamente por DNA Relatives de forma predeterminada. Un grupo más pequeño de 1,4 millones de usuarios solo compartió “información del perfil del árbol genealógico”, incluido el año de nacimiento, los nombres para mostrar y las etiquetas de relación. Los piratas informáticos robaron la información privada de ascendencia de todos los usuarios de ambos grupos.
Los piratas informáticos primero accedieron directamente a 14.000 cuentas utilizando una técnica llamada relleno de credenciales. Esto implica explotar la información privada del usuario expuesta durante violaciones de datos pasadas. Mucha gente usa los mismos nombres de usuario y contraseñas en todas las plataformas, por lo que si estos detalles de seguridad se filtraron anteriormente, pueden usarse para acceder a la cuenta en 23andMe si se usan las mismas credenciales de inicio de sesión.
A partir de esta importante pero relativamente pequeña violación de datos que involucró solo al 0,1% de la base de usuarios de 23andMe, las cosas se salieron de control. Desde las cuentas a las que lograron acceder directamente, los piratas informáticos pudieron acceder a los perfiles de DNA Relatives y Family Tree. Esto se debe a una vulnerabilidad en la forma en que las funciones de DNA Relatives relacionan a los usuarios con sus familiares. Al piratear una cuenta, los piratas informáticos podían acceder a los datos tanto del titular de la cuenta como de sus familiares. Así es como una filtración de datos del 0,1% aumentó hasta cubrir casi el 50% de todas las cuentas.
Inicialmente, el viernes, 23andMe sólo informó de la violación de datos de 14.000 personas. Pero después de que los periodistas de TechCrunch hicieran varias consultas a la empresa, 23andMe confirmó que los piratas informáticos extendieron sus tentáculos mucho más lejos de lo que nos hicieron creer.
Anteriormente, en octubre, un hacker hizo una publicación en línea en un foro afirmando que poseía datos sobre un millón de usuarios de ascendencia judía asquenazí y 100.000 usuarios chinos de 23andMe. El hacker anunciaba la venta de esta base de datos por entre 1 y 10 dólares por los datos por cuenta individual.
Los esfuerzos para mitigar las consecuencias han sido múltiples. 23andMe inició notificaciones a todos los usuarios afectados, una medida que fue objeto de escrutinio dada la demora en revelar números precisos. La compañía dice que ahora está reforzando la seguridad de las cuentas al exigir el restablecimiento de contraseñas e instituir la verificación en dos pasos tanto para los usuarios nuevos como para los existentes.
Las consecuencias de la infracción seguramente serán costosas. Financieramente, 23andMe anticipa gastos considerables, estimando costos entre $1 millón y $2 millones para abordar el incidente antes de que finalice el año fiscal. Además, la empresa enfrenta una avalancha de desafíos legales, incluidas demandas colectivas en varias jurisdicciones e investigaciones de organismos gubernamentales.
El alcance total del impacto de la infracción, junto con las posibles ramificaciones legales y el costo financiero, sigue siendo incierto. Al mismo tiempo, se están realizando esfuerzos para fortalecer los protocolos de ciberseguridad y garantizar a los usuarios medidas de protección mejoradas.
Fuente: ZME Science.
