El fiscal general de California, Rob Bonta, ha anunciado que emprenderá acciones legales contra Chrome Holding, la empresa matriz de 23andMe, tras una investigación que concluye que la compañía de pruebas genéticas no protegió adecuadamente los datos sensibles de sus clientes. La demanda se produce después de que un ciberataque en 2023 expusiera información personal de casi siete millones de usuarios.
Según Bonta, el fallo de seguridad permitió el acceso a datos como predisposiciones genéticas, factores de riesgo, información sobre familiares biológicos, ascendencia y etnia. El fiscal general acusó a 23andMe de "mentir a los consumidores sobre la gravedad de la brecha de datos de 2023" y de "no tomar medidas básicas para proteger los datos de los usuarios". La compañía, que se declaró en quiebra el año pasado y fue renombrada, está siendo investigada por su predecesora.
La investigación también ha revelado que los datos robados, incluyendo información de usuarios asiático-americanos, isleños del Pacífico y judíos, fueron vendidos en la dark web. Bonta calificó esta situación de "inquietante e increíblemente peligrosa", especialmente en un contexto de "creciente odio y violencia contra asiático-americanos, isleños del Pacífico y el antisemitismo". Los atacantes utilizaron una técnica conocida como "credential stuffing", aprovechando contraseñas expuestas en brechas anteriores para acceder a las cuentas de 23andMe.
Esta brecha ha generado escrutinio regulatorio a nivel internacional. El pasado año, la Oficina del Comisionado de Información (ICO) del Reino Unido multó a 23andMe con 2,31 millones de libras por no implementar medidas de seguridad adecuadas. La ICO, en coordinación con la autoridad de privacidad de Canadá, determinó que la empresa infringió la ley británica al no contar con sistemas de autenticación y verificación suficientes durante el proceso de inicio de sesión de sus clientes. La compañía ha asegurado haber adoptado "compromisos vinculantes para mejorar las protecciones de los datos y la privacidad de los clientes".
La noticia llega además en un momento en que usuarios han reportado dificultades para eliminar sus cuentas tras la declaración de quiebra de 23andMe, lo que ha avivado temores sobre la posible venta de datos genéticos a aseguradoras. La empresa, cofundada por Anne Wojcicki, hermana de la exdirectora de YouTube Susan Wojcicki y exmujer de Sergey Brin, llegó a tener un valor bursátil superior a los 300 dólares en su apogeo antes de su desplome en 2024.
Mənbə: BBC News
