23andMe confirma que el ciberataque que sufrió en agosto afectó a 6,9 millones de personas
Un portavoz de la compañía detalló que el hackeo se llevó a cabo mediante el acceso a las cuentas de los usuarios a través de contraseñas reutilizadas.
Casi un mes después de que se diera a conocer que los datos genéticos y personales de usuarios de 23andMe, una empresa de biotecnología conocida por ofrecer servicios de pruebas genéticas e informes de ascendencia, habían sido puestos a la venta en la dark web tras un ciberataque, un portavoz de la compañía confirmó que el hackeo afectó los datos de 6,9 millones de personas, más de lo que se pensaba inicialmente.
23andMe anunció en octubre que llevaría a cabo una investigación en torno a la venta de un listado de datos personales de sus usuarios con ascendencia judía asquenazí, obtenidos en una campaña maliciosa perpetrada en agosto pasado con la técnica del raspado, en la que se explota el código de las páginas web para recopilar información pública y privada de los diferentes perfiles, gracias a contraseñas recicladas por los usuarios.
En ese entonces, la compañía aseguró que no había “ningún indicio de que haya habido un incidente de seguridad de datos dentro de los sistemas, o de que 23andMe fuera la fuente de las credenciales de cuenta utilizadas en estos ataques", y detalló que los hackers lograron robar información como el perfil de ADN de los usuarios, su nombre, la foto, el sexo, la relación genética entre usuarios, ubicaciones, entre otros.
Esta semana, el portavoz de la empresa confirmó que el ataque denominado como ‘relleno de credenciales’ o credential stuffing permitió a los hackers acceder al 0,1% de las cuentas. Desde esos perfiles, no obstante, buscaron a usuarios inscritos en el programa DNA Relatives, que flexibiliza las restricciones de privacidad para que usuarios que puedan estar emparentados puedan encontrarse. Fue así que llegaron a obtener datos de cerca de 6,9 millones de personas, que representa casi la mitad del total de suscriptores de DNA Relatives.
A pesar de la gran cantidad de afectados, 23andMe espera que las consecuencias financieras del ciberataque sólo asciendan a entre 1 y 2 millones de dólares.
