Se ha confirmado una asombrosa violaci\u00f3n de la ciberseguridad en 23andMe, con m\u00e1s de 6,9 millones de cuentas de usuarios comprometidas. Eso es casi la mitad de la base total de usuarios de 14 millones de la empresa de ascendencia gen\u00e9tica. Esta noticia sigue a la revelaci\u00f3n inicial de que s\u00f3lo una fracci\u00f3n de las cuentas (aproximadamente 14.000) hab\u00edan sucumbido al acceso no autorizado.<\/p>\n\n\n\n
La profundidad de la infracci\u00f3n se extendi\u00f3 m\u00e1s all\u00e1 de las estimaciones iniciales, envolviendo datos de dos grupos distintos de usuarios que hab\u00edan interactuado con la funci\u00f3n DNA Relatives de 23andMe. Esta herramienta interactiva est\u00e1 dise\u00f1ada para conectar a personas con parientes gen\u00e9ticos perdidos. Los usuarios que optan por esta funci\u00f3n ofrecen informaci\u00f3n personal como su a\u00f1o de nacimiento, ubicaci\u00f3n, nombres de antepasados conocidos y lugares de nacimiento.<\/p>\n\n\n\n
Sin embargo, esta caracter\u00edstica tambi\u00e9n se convirti\u00f3 inadvertidamente en una puerta de entrada para los piratas inform\u00e1ticos. Alrededor de 5,5 millones de usuarios optaron autom\u00e1ticamente por DNA Relatives de forma predeterminada. Un grupo m\u00e1s peque\u00f1o de 1,4 millones de usuarios solo comparti\u00f3 “informaci\u00f3n del perfil del \u00e1rbol geneal\u00f3gico”, incluido el a\u00f1o de nacimiento, los nombres para mostrar y las etiquetas de relaci\u00f3n. Los piratas inform\u00e1ticos robaron la informaci\u00f3n privada de ascendencia de todos los usuarios de ambos grupos.<\/p>\n\n\n\n
Los piratas inform\u00e1ticos primero accedieron directamente a 14.000 cuentas utilizando una t\u00e9cnica llamada relleno de credenciales. Esto implica explotar la informaci\u00f3n privada del usuario expuesta durante violaciones de datos pasadas. Mucha gente usa los mismos nombres de usuario y contrase\u00f1as en todas las plataformas, por lo que si estos detalles de seguridad se filtraron anteriormente, pueden usarse para acceder a la cuenta en 23andMe si se usan las mismas credenciales de inicio de sesi\u00f3n.<\/p>\n\n\n\n
A partir de esta importante pero relativamente peque\u00f1a violaci\u00f3n de datos que involucr\u00f3 solo al 0,1% de la base de usuarios de 23andMe, las cosas se salieron de control. Desde las cuentas a las que lograron acceder directamente, los piratas inform\u00e1ticos pudieron acceder a los perfiles de DNA Relatives y Family Tree. Esto se debe a una vulnerabilidad en la forma en que las funciones de DNA Relatives relacionan a los usuarios con sus familiares. Al piratear una cuenta, los piratas inform\u00e1ticos pod\u00edan acceder a los datos tanto del titular de la cuenta como de sus familiares. As\u00ed es como una filtraci\u00f3n de datos del 0,1% aument\u00f3 hasta cubrir casi el 50% de todas las cuentas.<\/p>\n\n\n\n
Inicialmente, el viernes, 23andMe s\u00f3lo inform\u00f3 de la violaci\u00f3n de datos de 14.000 personas. Pero despu\u00e9s de que los periodistas de TechCrunch hicieran varias consultas a la empresa, 23andMe confirm\u00f3 que los piratas inform\u00e1ticos extendieron sus tent\u00e1culos mucho m\u00e1s lejos de lo que nos hicieron creer.<\/p>\n\n\n\n
Anteriormente, en octubre, un hacker hizo una publicaci\u00f3n en l\u00ednea en un foro afirmando que pose\u00eda datos sobre un mill\u00f3n de usuarios de ascendencia jud\u00eda asquenaz\u00ed y 100.000 usuarios chinos de 23andMe. El hacker anunciaba la venta de esta base de datos por entre 1 y 10 d\u00f3lares por los datos por cuenta individual.<\/p>\n\n\n\n
Los esfuerzos para mitigar las consecuencias han sido m\u00faltiples. 23andMe inici\u00f3 notificaciones a todos los usuarios afectados, una medida que fue objeto de escrutinio dada la demora en revelar n\u00fameros precisos. La compa\u00f1\u00eda dice que ahora est\u00e1 reforzando la seguridad de las cuentas al exigir el restablecimiento de contrase\u00f1as e instituir la verificaci\u00f3n en dos pasos tanto para los usuarios nuevos como para los existentes.<\/p>\n\n\n\n
Las consecuencias de la infracci\u00f3n seguramente ser\u00e1n costosas. Financieramente, 23andMe anticipa gastos considerables, estimando costos entre $1 mill\u00f3n y $2 millones para abordar el incidente antes de que finalice el a\u00f1o fiscal. Adem\u00e1s, la empresa enfrenta una avalancha de desaf\u00edos legales, incluidas demandas colectivas en varias jurisdicciones e investigaciones de organismos gubernamentales.<\/p>\n\n\n\n
El alcance total del impacto de la infracci\u00f3n, junto con las posibles ramificaciones legales y el costo financiero, sigue siendo incierto. Al mismo tiempo, se est\u00e1n realizando esfuerzos para fortalecer los protocolos de ciberseguridad y garantizar a los usuarios medidas de protecci\u00f3n mejoradas.<\/p>\n\n\n\n