Reino Unido multa a 23andMe con 3 millones de dólares por una mega filtración de datos en el 2023

El organismo de control de privacidad de datos del Reino Unido ha impuesto una multa de £2.31 millones (equivalente a $3.1 millones) a la empresa de pruebas genéticas 23andMe por no tomar las medidas adecuadas para proteger la información personal de sus usuarios, tras una filtración masiva de datos ocurrida en 2023. 

“Hemos multado a la empresa de pruebas genéticas 23andMe con £2.31 millones por no implementar medidas de seguridad adecuadas para proteger la información personal de los usuarios del Reino Unido, tras un ciberataque a gran escala en el año 2023”, declara el enérgico comunicado emitido por la Oficina del Comisionado de Información (ICO). 

La sanción se produce tras una investigación conjunta de la ICO y la Oficina del Comisionado de Privacidad de Canadá (OPC), que descubrió fallos graves de seguridad en el momento del incidente. 

Un ataque de relleno de credenciales 

Según la ICO, entre abril y septiembre de 2023, un atacante llevó a cabo un “ataque de relleno de credenciales” en la plataforma de 23andMe, aprovechando credenciales reutilizadas que habían sido comprometidas en filtraciones de datos anteriores, no relacionadas.

Lee también: 23andMe culpa a la mala higiene cibernética de los usuarios por la filtración 

“Esto resultó en el acceso no autorizado a información personal de 155,592 residentes del Reino Unido, lo que podría haber revelado nombres, años de nacimiento, ubicación autodeclarada a nivel de ciudad o código postal, imágenes de perfil, raza, etnicidad, árboles genealógicos e informes de salud”, detalla la ICO. 

El tipo y la cantidad de información a la que se accedió variaron según los datos que cada cliente tuviera en su cuenta. 

Aunque el comunicado de la ICO se centra en las víctimas británicas, se estima que el número total de cuentas comprometidas asciende a casi 7 millones. 

Como explicó The Register, inicialmente solo se accedió a unas 14,000 cuentas por parte del atacante, lo que representa apenas el 0.1 % de todos los usuarios registrados en la plataforma de genealogía. 

Sin embargo, dado que muchos de los clientes comprometidos habían activado la función DNA Relatives de 23andMe, el atacante también pudo acceder a los datos de sus parientes sospechosos en todo el mundo, lo que resultó en la exposición de alrededor de 6.9 millones de clientes. 

Infracciones 

La multa de £2.31 millones fue considerablemente menor que la sanción inicial propuesta de £4.59 millones ($6.22 millones), a pesar de que la investigación reveló “graves fallos de seguridad durante la filtración de datos de 2023”, incluyendo: 

• Incumplimiento de la ley de protección de datos del Reino Unido al no implementar medidas de autenticación y verificación adecuadas, como la autenticación multifactor obligatoria, protocolos de contraseñas seguras y nombres de usuario impredecibles. 
• Falta de controles adecuados sobre el acceso a datos genéticos sin procesar. 
• Ausencia de sistemas eficaces para monitorear, detectar o responder a ciberamenazas dirigidas a la información sensible de los clientes. 
• Respuesta inadecuada al incidente en curso: en septiembre de 2023 se produjo otra ola de ataques de relleno de credenciales, pero la empresa no inició una investigación completa hasta octubre de 2023, cuando un empleado descubrió que los datos robados se estaban anunciando a la venta en Reddit. La ICO subraya: “Solo entonces 23andMe confirmó que se había producido una filtración”. 

La ICO reconoce que, para finales de 2024, las mejoras de seguridad implementadas por 23andMe fueron “suficientes para poner fin a las vulnerabilidades identificadas en nuestra decisión provisional”. 

Impacto en los consumidores y recomendaciones 

El organismo regulador de privacidad del Reino Unido advierte que la combinación de información personal presente en las cuentas de 23andMe (códigos postales, raza, origen étnico, vínculos familiares y datos de salud) puede ser explotada para obtener beneficios financieros, vigilancia o actos de discriminación. 

En una queja formal presentada ante la ICO, una de las personas afectadas por la filtración señaló acertadamente que, “A diferencia de los nombres de usuario, contraseñas y direcciones de correo electrónico, no puedes cambiar tu composición genética cuando ocurre una filtración de datos”. 

La ICO también recomienda a los usuarios de internet usar contraseñas seguras y únicas para cada cuenta, activar la autenticación multifactor siempre que sea posible y estar atentos a correos o mensajes de phishing que hagan referencia a su información personal. 

Cualquier persona afectada por una filtración de datos debería considerar el uso de un servicio de monitoreo de datos. Bitdefender Digital Identity Protection te permite saber si tu información ha sido comprometida o filtrada en línea, qué riesgos enfrentas y cómo protegerte. 

Si eres cliente actual o anterior de 23andMe, mantente alerta ante comunicaciones no solicitadas que mencionen tu información personal. En caso de duda sobre un mensaje de texto, llamada telefónica o interacción en redes sociales sospechosa, utiliza Scamio, nuestro bot gratuito para combatir estafas. 

También es recomendable utilizar una solución de seguridad en todos tus dispositivos para una mayor tranquilidad. 

También puedes leer: 

¿Victoria's Secret expuesta? El minorista baja su sitio web para abordar un ‘incidente de seguridad’ 

Gigante del sector salud en EE.UU. alerta a pacientes tras un ciberataque 

Estafadores telefónicos apuntan a residentes de Ohio tras ataque a sistema de salud local 

Qué hacer si tus datos se ven afectados en una filtración