La empresa de pruebas genéticas 23andMe aseguró este viernes que inició una investigación sobre una posible filtración de datos después de que los datos personales de millones de usuarios se pusieran a la venta en la dark web.
Un pirata informático puso a la venta en un foro en línea la información personal de siete millones de usuarios, que incluye la estimación del origen, el fenotipo, información sanitaria, fotos y datos de identificación de los usuarios.
La publicación fue capturada por Dark Web Informer, que la compartió en X (antes conocido como Twitter) el 4 de octubre. El hacker afirmó que el director ejecutivo de 23andMe era consciente de que la empresa había sido «pirateada» hace dos meses y que se habían obtenido «13 millones de datos».
Otro hacker anunció datos de muestra de un millón de usuarios de ascendencia asquenazí en un foro de piratería informática en línea. El hacker ofreció posteriormente vender perfiles de datos al por mayor por entre 1 y 10 dólares por cuenta, según informó BleepingComputer. Los datos incluían estimaciones de origen, información sobre fenotipos, fotos, enlaces a posibles parientes y perfiles de datos sin procesar.
En respuesta, 23andMe emitió un comunicado en el que afirmaba que era consciente de que se había recopilado determinada información de perfiles de clientes a partir de cuentas individuales sin la autorización de los usuarios, pero no especificaba cuántas cuentas se habían visto afectadas.
23andMe es una empresa de biotecnología con sede en California especializada en servicios de pruebas genéticas que permiten a los clientes conocer sus orígenes ancestrales y su salud médica.
«Tras enterarnos de la actividad sospechosa, iniciamos inmediatamente una investigación», dijo la compañía en una entrada de blog el 6 de octubre.
«No tenemos ninguna indicación en este momento de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas o que 23andMe fuera la fuente de las credenciales de cuenta utilizadas en estos ataques», agregó.
La compañía dijo que cree que los «actores de la amenaza» pueden haber obtenido acceso a las cuentas donde los usuarios reciclaron las credenciales de inicio de sesión, lo que significa que las contraseñas utilizadas en 23andMe.com eran las mismas que las utilizadas en otros sitios web que fueron hackeados anteriormente.
«Creemos que el autor de la amenaza, violando nuestras condiciones de servicio, podría haber accedido a las cuentas de 23andMe.com sin autorización y obtenido información de determinadas cuentas, incluida información sobre los perfiles de ADN de familiares de los usuarios, en la medida en que el usuario hubiera optado por ese servicio», añade el comunicado.
Esta técnica de pirateo, conocida como «relleno de credenciales», es una de las razones por las que los expertos en ciberseguridad recomiendan no utilizar la misma contraseña para diferentes sitios.
Se animó a los usuarios a restablecer sus contraseñas o a utilizar la autenticación multifactor, que proporciona una capa adicional de seguridad y puede evitar que los malos actores accedan a una cuenta a través de contraseñas recicladas.
Otros casos de filtración de datos
Este caso se produjo pocas semanas después de que los datos personales de 1,24 millones de clientes de la cadena de librerías australiana Dymocks quedaran expuestos en la dark web. Tras iniciar rápidamente una investigación interna, Dymocks confirmó el 18 de septiembre que se había accedido a los sistemas de un socio externo.
Sin embargo, Dymocks dijo que «no parece que haya habido ningún acceso no autorizado a nuestros sistemas».
«Estamos trabajando con el socio identificado para centrarnos en comprender si se accedió a sus sistemas y cómo se hizo a pesar de sus medidas de seguridad», dijo un portavoz de Dymocks.
«Aunque aún no se confirmó el alcance de la brecha, los primeros indicios apuntan a que las contraseñas y la información financiera no se vieron comprometidas».
En enero, los datos de 2,6 millones de usuarios de la plataforma de aprendizaje de idiomas Duolingo se pusieron a la venta por 1500 dólares en un foro de piratas informáticos. Los datos incluían las direcciones de correo electrónico, números de teléfono y otra información de los usuarios.
Duolingo declaró que estaba investigando el asunto, pero informó que no se había producido ninguna violación de datos ni pirateo informático. La empresa cree que el pirata informático podría haber obtenido los registros mediante el rastreo de información de perfiles públicos.
«No se produjo ninguna violación de datos ni hackeo. Nos tomamos muy en serio la privacidad y la seguridad de los datos y seguimos investigando este asunto para determinar si es necesario tomar nuevas medidas para proteger a nuestros usuarios», declaró la empresa a The Record.
Con información de Isabella Rayner y Reuters.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
