La Oficina del Comisionado de Información del Reino Unido (ICO) multó a la empresa de pruebas genéticas 23andMe con £2,31 millones por una filtración de datos ocurrida en 2023, en la que se accedió a información de aproximadamente 6,9 millones de personas.

El ataque, conocido como “credential stuffing”, permitió a los atacantes ingresar a 14.000 cuentas utilizando contraseñas previamente filtradas, accediendo así a información de 155.592 residentes del Reino Unido, incluyendo nombres, año de nacimiento, ubicación, imágenes de perfil, raza, etnicidad, reportes de salud e información familiar. No se incluyeron registros de ADN en los datos robados.

El ICO señaló que 23andMe no contaba con medidas adecuadas de autenticación ni verificación de usuarios, como autenticación multifactor, y que sus requisitos de contraseña eran inseguros. Además, no exigía verificación adicional para descargar datos genéticos sin procesar.

Dado su carácter especialmente sensible, los datos genéticos se consideran “categoría especial” según la ley de protección de datos del Reino Unido, y requieren protecciones y salvaguardas adicionales.

El comisionado John Edwards calificó la brecha como "profundamente dañina" y señaló que la empresa fue lenta en responder. Aunque 23andMe corrigió los problemas hacia finales de 2024, la empresa se declaró en bancarrota y será vendida a TTAM Research Institute, que asumirá compromisos vinculantes en materia de protección de datos y privacidad.

Fuente: BBC