Descubra qué pasó en el ciberataque a 23andMe, cómo afecta a su privacidad genética y qué medidas tomar.

En octubre de 2023, la empresa de análisis genético 23andMe confirmó que había sufrido un grave ataque informático que expuso los datos personales y genéticos de millones de usuarios. La filtración no solo incluyó nombres, correos electrónicos y direcciones, sino información extremadamente sensible como ascendencia, predisposición a enfermedades y datos de parientes. Este ciberataque supuso un antes y un después en la percepción de la seguridad en las empresas de genética: por primera vez, la información robada no solo comprometía la privacidad, sino también el código único de cada persona: su ADN.

En este artículo, como abogados especializados en privacidad y fraudes online, le explicamos cómo ocurrió el ataque, qué riesgos plantea que roben datos genéticos, qué hacer si se encuentra entre los afectados y cómo protegerse en el futuro.

¿Cómo ocurrió el ciberataque a 23andMe?

Los atacantes no accedieron hackeando directamente los servidores de 23andMe, sino que realizaron ataques de credential stuffing: utilizaron datos de usuarios filtrados en otras brechas de seguridad para probar combinaciones de emails y contraseñas en la web de 23andMe. Como muchas personas repiten las mismas contraseñas en múltiples servicios, lograron acceder a miles de cuentas y descargar información genética y personal sin activar alarmas inmediatas.

Los delincuentes compartieron parte de los datos en foros de la dark web, ofreciendo la información a la venta por criptomonedas. Entre los afectados había celebridades, políticos y usuarios corrientes que habían confiado sus datos más íntimos a la plataforma.

¿Qué información se filtró en el ataque a 23andMe?

Según la propia empresa, los hackers obtuvieron:

• Nombres completos y direcciones de correo.
• Direcciones físicas y números de teléfono (en algunos casos).
• Datos de ascendencia y coincidencias con parientes genéticos.
• Posibles predisposiciones a enfermedades hereditarias.
• Datos compartidos en los perfiles públicos de usuarios.

El peligro es que estos datos no se pueden “cambiar” como una contraseña: la información genética es permanente y única, por lo que una filtración supone un riesgo para toda la vida.

Riesgos de una filtración de datos genéticos

Que delincuentes o empresas sin escrúpulos tengan acceso a datos genéticos plantea múltiples riesgos:

• Discriminación laboral o de seguros: podrían rechazar pólizas de salud si supieran que una persona tiene predisposición a enfermedades graves.
• Chantaje: amenazas de revelar enfermedades hereditarias a empresas, familiares o aseguradoras.
• Suplantación de identidad: usando datos personales combinados con información genética para fraudes sofisticados.
• Impacto en parientes: los datos filtrados pueden implicar a familiares cercanos que comparten parte del ADN.

Ejemplo práctico de las consecuencias de este ataque

Un usuario que realizó un test de ascendencia para conocer su origen étnico recibe meses después correos amenazantes: le exigen un pago en criptomonedas a cambio de no divulgar resultados que revelan una enfermedad genética con fuerte estigma social en su país de residencia. Aunque parezca de película, este tipo de extorsiones son cada vez más habituales con la filtración de datos tan sensibles.

Qué hacer si es usuario de 23andMe y teme haber sido afectado

1. Cambie inmediatamente la contraseña de su cuenta y active la autenticación en dos pasos (2FA) para impedir accesos no autorizados.
2. Revise la configuración de privacidad en su perfil: limite qué datos comparte y con quién.
3. Esté atento a correos sospechosos que utilicen información personal para intentar estafarle.
4. Considere eliminar su cuenta o solicitar a la empresa la eliminación definitiva de sus datos si no desea seguir asumiendo el riesgo.
5. Si recibe amenazas o detecta un uso fraudulento de sus datos, recopile pruebas y presente denuncia ante la Policía Nacional o Guardia Civil.

Cómo protegerse ante futuros ataques a empresas de análisis genético

• Utilice contraseñas únicas y robustas para cada servicio online.
• Evite vincular cuentas de redes sociales con plataformas de ADN, ya que la combinación facilita la creación de perfiles más completos para los ciberdelincuentes.
• Active siempre opciones de autenticación en dos pasos.
• Investigue la política de privacidad de la empresa antes de enviar sus datos genéticos: ¿cómo almacenan la información?, ¿en qué países?, ¿comparten datos con terceros?
• Solicite copias de seguridad de su información y verifique periódicamente qué datos siguen almacenados.

Aspecto legal de la filtración de datos en España

El Reglamento General de Protección de Datos (RGPD) considera los datos genéticos como información de categoría especial, con protección reforzada. Una filtración de este tipo puede suponer multas millonarias para la empresa responsable si no demuestra que adoptó medidas técnicas y organizativas adecuadas. Además, las víctimas pueden reclamar indemnizaciones por daños y perjuicios si sufren consecuencias económicas, psicológicas o de reputación derivadas de la filtración.

Si cree que sus datos genéticos han sido filtrados o usados de forma fraudulenta, le recomendamos contactar con abogados especializados en privacidad y delitos tecnológicos para proteger sus derechos y valorar acciones legales.