En octubre de 2023, la empresa 23andme, especializada en pruebas genéticas, anunció (o más bien reconoció) públicamente que había sufrido un ataque informático. Los ciberdelincuentes accedieron a los datos personales de millones de clientes de la empresa, incluyendo nombres y apellidos, direcciones de correo electrónico, fechas de nacimiento y, en algunos casos, datos genéticos, es decir, el ADN.
¿Qué se ha conocido de este ataque?. Alcance y consecuencias.
Realmente se han conocido pocos datos de este ciberataque. Las únicas realidades confirmadas es que fue descubierto de forma indirecta (por la confirmación de que información de usuarios estaba disponible para la venta en la dark web) y que la intrusión en los sistemas de la compañía no se debe exclusivamente a una brecha de seguridad sino al hecho de que muchos de sus usuarios utilizan una única contraseña para varias cuentas, lo que indirectamente facilita la labor de estos estafadores online.
"El sistema utilizado en este caso por los ciberdelincuentes se denomina ataque de 'relleno de credenciales' "
El sistema utilizado en este caso por los ciberdelincuentes se denomina ataque de “relleno de credenciales” y se basa en información previamente recolectada por los estafadores a través de phising y otros fraudes electrónicos. Con este sistema se realizan ataques sucesivos para obtener información de los usuarios como nombres y apellidos, correos y contraseñas para inicios de sesión y “probar suerte” en otras cuentas de ese mismo usuario. Si esas contraseñas se utilizan en más de un servicio es como si los ciberdelincuentes tuvieran una “llave maestra” para abrir muchas puertas.
En muchas ocasiones hemos dicho que uno de los más valiosos consejos para evitar sustos de este tipo es utilizar contraseñas fuertes y únicas (se denomina “robustas”) para cada cuenta online.
A la vista de este ataque está más que claro que la ciberseguridad es responsabilidad de todos, pues dificultar que los ciberdelincuentes puedan acceder muchas cuentas si logran obtener las contraseñas de inicio de sesión de una de ellas puede salvarnos a nosotros, a otros (clientes como nosotros y hasta nuestros familiares) e incluso a las empresas con las que tengamos relación.
Conclusiones y reflexiones.
Ataques informáticos como este nos recuerdan que en el ciberespacio todo está conectado o mejor dicho interconectado. Este ciberataque es la prueba de que incluso las empresas más seguras (con los datos más sensibles) pueden ser vulnerables y que es fundamental tomar las mayores medidas para proteger nuestra información personal, sobre todo en línea.
Este incidente plantea otras cuestiones importantes tanto a nivel de ciberseguridad como en el plano existencial y ético: ¿qué uso se le puede dar a esa información genética robada?. No vamos a entrar a explorar un plano de teorías o hipótesis (que en algunos casos rozarían casi la ciencia ficción) pero está claro que esa información puede ser utilizada para cuestiones estadísticas, para hacer listas negras en materia de seguros y de atención sanitaria (especialmente en países como Estados Unidos) e incluso armas biológicas (pensemos en un virus que pueda afectar de forma más eficaz a personas con determinadas circunstancias genéticas). Cuestiones como estas nos llevan a pensar ¿son realmente conscientes las empresas de la responsabilidad de custodiar este tipo de datos?.
Puedes ampliar la información sobre este ciberataque en el siguiente enlace https://www.escudodigital.com/ciberseguridad/23andmeme-hackers-accedieron-14000-cuentas-clientes_57407_102.html
