California demanda a 23andMe por la filtración de datos de 2023 que afectó a 7 millones de usuarios

California actúa contra una empresa de datos genéticos

El fiscal general de California, Rob Bonta, demandó a la empresa antes conocida como 23andMe, ahora Chrome Holding Co., por la filtración de 2023 que expuso información sensible de 7 millones de usuarios. Según el texto fuente, 855,541 de esos usuarios afectados eran residentes de California.

La demanda apunta tanto a las prácticas de seguridad como a la comunicación con los clientes. Bonta acusa a la empresa de no proteger información personal y genética de gran sensibilidad, incluidos datos genéticos relacionados con la salud, detalles de ascendencia y etnia, e información vinculada a familiares biológicos.

El caso del estado

23andMe había dicho previamente que actores maliciosos obtuvieron acceso mediante credential stuffing, usando credenciales robadas en filtraciones anteriores. Pero la denuncia de California, resumida en el artículo, sostiene que una empresa que maneja datos genéticos debía haber previsto ese método de ataque y defenderse contra él.

El argumento de Bonta va más allá. Dice que 23andMe sabía de una filtración en MyHeritage, otra plataforma genealógica con la que trabajaba, pero no evitó la reutilización de credenciales ni la revisó adecuadamente. El artículo también dice que 23andMe había animado a los usuarios a registrarse en cuentas de MyHeritage, lo que hacía más significativa la superposición.

Cómo se amplió la filtración

La demanda no se centra solo en las capturas iniciales de cuentas. Según el texto fuente, los atacantes primero accedieron a unas 14,000 cuentas mediante credential stuffing y luego usaron una debilidad en la función DNA Relatives para llegar a datos de millones de clientes más.

Bonta dice que los controles de seguridad de la empresa eran tan débiles que los atacantes operaron sin ser detectados durante cinco meses. También dice que la empresa empezó a investigar solo después de que los datos robados de usuarios ya aparecieran a la venta en la dark web y tras surgir exigencias de rescate.

Divulgación y daño

Otro punto importante de la demanda es que 23andMe supuestamente minimizó la filtración al informar a los clientes. Bonta sostiene que la empresa omitió información crítica y afirmó que la función DNA Relatives era esencialmente pública, aun cuando negociaba en privado con los atacantes.

El texto fuente añade una dimensión especialmente grave: el conjunto de datos en venta habría destacado información que involucraba a usuarios asiático-estadounidenses y de las islas del Pacífico, así como a usuarios judíos. En la versión del estado, ese contexto elevó el riesgo de uso indebido dirigido más allá de la exposición ordinaria a la privacidad.

Por qué importa este caso

No se trata solo de otra demanda por filtración contra una empresa de tecnología de consumo. Involucra datos genéticos, que tienen un nivel distinto de sensibilidad porque pueden revelar predisposiciones de salud, vínculos familiares y rasgos de ascendencia que los usuarios no pueden simplemente restablecer como una contraseña. El caso de California, por tanto, pone a prueba hasta dónde suben las expectativas de protección de datos cuando la información subyacente es biológicamente íntima y potencialmente duradera.

Para el sector en general, la demanda también es una advertencia sobre métodos de ataque conocidos. Credential stuffing no es algo nuevo, y la posición del estado parece ser que los patrones de ataque comunes no excusan defensas débiles, especialmente cuando las empresas custodian registros inusualmente sensibles.

El caso podría moldear las expectativas tanto sobre la arquitectura de seguridad como sobre la divulgación de filtraciones en la genómica de consumo. Como mínimo, muestra que los reguladores están dispuestos a tratar los fallos con datos genéticos como algo más que incidentes cibernéticos estándar.

Este artículo se basa en una noticia de Engadget. Lee el artículo original.