A principios de esta semana, 23andMe admitió que se había producido un hack en octubre. dramáticamente peor de lo que la compañía admitió inicialmente, afectando a 6,9 millones de personas, no a las 14.000 que informó inicialmente. 23andMe siguió con un regalo de Navidad anticipado para los usuarios: una actualización de los términos de servicio que canaliza a los usuarios descontentos hacia un proceso de arbitraje masivo en lugar de una demanda colectiva. Los datos robados incluyen nombres completos, información genética y más, pero a pesar de la sensibilidad de la información, algunos consumidores respondieron encogiéndose de hombros. Como uno Usuario de TikTok comentó en un video sobre el tema “¿Qué van a hacer, clonarme?”
Los piratas informáticos probablemente no utilizarán la información de tu ADN para convertirte en un hermanito creado en el laboratorio, pero los expertos coinciden: este truco es una catástrofe.
“La verdad es que ninguno de nosotros conoce completamente las implicaciones de esta violación hoy, sólo la certeza de que empeorará con el tiempo”, dijo Albert Fox Cahn, director ejecutivo del Proyecto de Supervisión de Tecnología de Vigilancia. “La capacidad de convertir los datos de ADN en armas sólo se agudizará a medida que las computadoras se vuelvan más poderosas. Desde nuestros perfiles de salud hasta nuestros árboles genealógicos y detalles mucho más sutiles de nuestra biología, este truco podría revelar mucho”.
Según un portavoz de 23andMe, los piratas informáticos robaron datos, incluidos los nombres de las personas, el año de nacimiento, las etiquetas de relaciones, el apellido y la ubicación. A 1,4 millones de personas adicionales que optaron por DNA Relatives también “se les accedió a la información de su perfil de Family Tree”. Lo peor, sin embargo, fue la información genética. Los piratas informáticos no solo robaron información sobre el porcentaje de usuarios de ADN compartido con familiares, sino que 23andMe también filtró informes de ascendencia y segmentos de ADN coincidentes (específicamente en qué parte de sus cromosomas ellos y sus familiares tenían ADN coincidente).
Parece que estos datos ya están a la venta. cableado informó en octubre que un usuario había anunciado datos robados de 23andMe en un conocido foro de piratería en el momento de la violación de datos. El usuario publicó los supuestos datos de un millón de usuarios de ascendencia judía asquenazí y 100.000 usuarios chinos de 23andMe como prueba, pidiendo entre 1 y 10 dólares por persona en el conjunto de datos.
En general, las empresas tienen la obligación legal de proteger a sus clientes de violaciones de datos. En otras circunstancias, el hackeo de 23andMe podría exponer a la empresa a demandas, pero eso se soluciona gracias a una “cláusula de arbitraje” en sus términos de servicio que le obliga a renunciar a su derecho a demandar. La compañía publicó una actualización de los términos de servicio la semana pasada (casualmente, cuando notificó a la Comisión de Bolsa y Valores de su debacle de piratería) que describe un nuevo proceso de “arbitraje masivo”, lo que significa que los usuarios con la misma queja contra 23andMe no podrá solicitar la restitución individualmente.
“Los nuevos TOS incluyen una disposición de arbitraje masivo que permite una resolución más eficiente de las disputas”, dijo un portavoz de 23andMe a Gizmodo. La empresa no respondió a otras preguntas relacionadas con este artículo.
Los usuarios pueden optar por no participar en la nueva disposición de arbitraje enviando un correo electrónico a [email protected] antes del 4 de enero.
Para muchos, es difícil entender exactamente por qué es importante que todos estos datos estén flotando en Internet. Los ataques y las infracciones ocurren todo el tiempo, sin mencionar los billones de puntos de datos que compañías como Google y Meta aspiran a través de medios más “legítimos”.
El problema, dicen los expertos, es que rara vez se sienten las consecuencias directamente. Su información personal se utiliza de manera complicada y oscura para todo tipo de propósitos a puerta cerrada. Tiene efectos dramáticos en su vida, simplemente nunca se sabe qué datos son responsables de un dilema en particular.
“Acercándonos al sistema más amplio de elaboración de perfiles comerciales, a veces realmente afecta la pérdida de oportunidades”, dijo a Gizmodo Suzanne Bernstein, abogada del Centro de Información de Privacidad Electrónica. “Los datos que se recopilan sobre usted determinan lo que se le ofrece o no. Eso puede ser algo inocuo, como qué anuncios objetivo ves o qué correos electrónicos masivos recibes, pero también permite la discriminación”.
En el pasado, los datos de los consumidores se utilizaban para excluir determinados datos demográficos de las oportunidades laborales o de los apartamentos vacantes. La información personal que circula por Internet se utiliza en decisiones de contratación y solicitudes de crédito; las compañías de seguros incluso la utilizan para fijar primas. Y, por supuesto, cuanta más información detallada puedan desenterrar los delincuentes, más probabilidades tendrá de ser víctima de un robo de identidad.
La información genética puede parecer desconectada de estos problemas, pero no lo es.
No se puede cambiar la información genética, por lo que es sensible en sí misma, dijo Bernstein. “Pero también se puede utilizar para hacer inferencias sobre otra información de salud, como un diagnóstico o antecedentes médicos familiares”, dijo. “Existe un grave riesgo de que eso se convierta en parte de la elaboración de perfiles que se produce en el ecosistema más amplio”.
Y eso sólo influye en la forma en que sabemos que la información del ADN se puede utilizar hoy. La ciencia genética es un campo en rápido desarrollo. No se sabe qué podría revelar esta información en el futuro.
“La privacidad y la vigilancia son fuertemente contextuales y, a medida que se desarrollen nuevas tecnologías de análisis, focalización y vigilancia genética, el contexto en torno a la privacidad y la vigilancia de los datos genéticos cambiará enormemente en formas que muchas personas ahora no pueden prever”, dijo Justin Sherman, miembro principal de Escuela de Políticas Públicas de Sanford de Duke y fundador de Global Cyber Strategies.
23andMe no llegó a abdicar por completo de su responsabilidad, pero sus declaraciones públicas sobre el hackeo tienen un aire de culpar a la víctima. Un portavoz dijo que la violación de datos se debió a que personas reciclaron contraseñas que habían usado en otras cuentas. Aparentemente, los piratas informáticos utilizaron contraseñas que se filtraron en otros lugares para ingresar a las cuentas de 14.000 personas, una violación de seguridad muy simple conocida como relleno de credenciales.
Debido a que 23andMe está diseñado como un panóptico de recolección de datos que presiona a los clientes a compartir sus datos con todos, desde otros usuarios hasta los socios de la compañía en la industria farmacéutica, los piratas informáticos pudieron utilizar estas 14.000 cuentas comprometidas para robar información sobre millones de otras personas en la red. plataforma.
Reutilizar contraseñas genera problemas, pero los profesionales de la seguridad entienden que las malas prácticas de contraseñas son una garantía. Según los expertos, el hackeo de 23andMe se pudo prevenir fácilmente.
Al menos, “Es inaceptable que 23andMe no haya requerido la autenticación de dos factores (2FA) para el acceso a la cuenta”, dijo Patrick Jackson, director de tecnología de Disconnect, una empresa de seguridad digital. “Los atacantes a menudo atacan sitios con datos confidenciales, como 23andMe, especialmente aquellos que no requieren 2FA, lo que los hace vulnerables a ataques de relleno de credenciales”.
Corrección: una versión anterior de este artículo indicaba incorrectamente que 23andMe introdujo el arbitraje vinculante en sus términos de servicio. De hecho, modificó la política existente para incluir el arbitraje masivo. Además, este artículo establece que los clientes tienen hasta el 30 de diciembre para optar por no participar; la fecha correcta es el 4 de enero.