Multa de 2,4 millones a la empresa 23andMe por filtración de datos genéticos de clientes

Guardar
Google icon

Madrid, 17 jul (EFE).- La Agencia Española de Protección de Datos ha multado a la empresa estadounidense 23andMe con 2,4 millones de euros por una brecha de seguridad que propició la filtración de los datos de miles de clientes, entre ellos algunos de carácter genético que revelaban el origen étnico de las personas afectadas.

La resolución de la Agencia Española de Protección de Datos, que ha sido adelantada por el diario El Confidencial y confirmada por EFE, resuelve que la compañía no implementó medidas de seguridad adecuadas, como la autenticación multifactor obligatoria, para proteger los registros sensibles de salud o los datos genéticos de sus clientes.

PUBLICIDAD

23andMe está actualmente en quiebra y se enfrenta a numerosas demandas en Estados Unidos por violar la privacidad de sus clientes y no adoptar las medidas necesarias para evitar las filtraciones.

La empresa se dedicaba a vender pruebas de ADN directamente al público, a través de equipos que permitían la recolección de saliva que los usuarios recibían y enviaban por correo, y a partir de ellos señalaban los orígenes geográficos y étnicos detallados de una persona, su predisposición genética a sufrir ciertas enfermedades o si el usuario era portador de mutaciones genéticas hereditarias.

PUBLICIDAD

La resolución señala, además de varios fallos en la custodia de la confidencialidad, que la compañía incumplió los plazos legales que tenía para notificar que había sufrido una 'brecha' de seguridad a las autoridades en España, y que los sucesivos errores causados por el incidente expuso el origen étnico y la localización de los afectados mediante una técnica de robo de credenciales.

La brecha de seguridad afectó a un total de 2.642 personas residentes en España, clientes de la empresa 23andMe, y aunque la empresa identificó inicialmente a 799 personas, en una comunicación posterior amplió la cifra hasta 1.843.

El impacto sobre estos usuarios fue especialmente grave debido a la enorme sensibilidad de la información comprometida, y la filtración expuso datos de identidad, de contacto y localización, imágenes, datos de salud, datos genéticos y datos que revelaban el origen étnico de las personas afectadas.

Como consecuencia directa del ataque, una muestra de esta información personal fue publicada en un foro de Internet y un archivo completo con los datos fue puesto a la venta en la 'internet profunda' (dark web).

El origen de la filtración fue un ataque conocido como "credential stuffing" (relleno de credenciales), en el que los atacantes lograron entrar en las cuentas de aquellos clientes que reutilizaban contraseñas que ya habían sido comprometidas en brechas de otros sitios web.

El impacto de la extracción de datos se vio agravado y facilitado además porque 23andMe configuraba la autenticación multifactor solo con carácter voluntario y no disponía de límites o controles para restringir el acceso, la solicitud o la descarga masiva de datos. EFE

PUBLICIDAD

PUBLICIDAD