Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 16, 2026, 12:03:42 PM

Título: 23andMe pagará 18 millones por la filtración de datos genéticos
Publicado por: Dragora en Julio 16, 2026, 12:03:42 PM
(https://i.imgur.com/cRYmkD7.jpeg)

La empresa de pruebas genéticas 23andMe, actualmente operando bajo el nombre de Chrome Holding Co., alcanzó un acuerdo por 18 millones de dólares para resolver las reclamaciones presentadas por una coalición integrada por 43 fiscales generales de Estados Unidos, quienes acusaron a la compañía de no implementar las medidas de seguridad necesarias para proteger la información genética y personal de millones de usuarios.

Este caso se ha convertido en uno de los incidentes de ciberseguridad y protección de datos más relevantes de los últimos años, no solo por la magnitud de la información comprometida, sino también por la sensibilidad de los datos expuestos. A diferencia de una dirección de correo electrónico o un número de teléfono, la información genética es permanente, única e imposible de cambiar una vez que ha sido filtrada.

Una brecha de seguridad que pasó desapercibida durante cinco meses

La filtración fue revelada públicamente en octubre de 2023, aunque las investigaciones determinaron que los atacantes lograron acceder a las cuentas de los usuarios durante un período de aproximadamente cinco meses, entre abril y septiembre del mismo año.

El ataque fue llevado a cabo mediante una técnica conocida como credential stuffing o relleno de credenciales, un método que aprovecha combinaciones de nombres de usuario y contraseñas previamente robadas en otras plataformas para intentar acceder automáticamente a diferentes servicios donde los usuarios reutilizan las mismas credenciales.

Debido a la ausencia de mecanismos efectivos de detección y prevención, los ciberdelincuentes consiguieron acceder a miles de cuentas legítimas sin ser detectados durante meses.

6,9 millones de clientes afectados

Como consecuencia del incidente, los atacantes obtuvieron información perteneciente a aproximadamente 6,9 millones de clientes.

Entre los datos comprometidos se encontraban:


Posteriormente, parte de esta información comenzó a aparecer en foros clandestinos y mercados de la dark web, donde los delincuentes publicaron millones de perfiles genéticos como prueba de autenticidad para atraer compradores.

La exposición de datos genéticos representa uno de los mayores riesgos para la privacidad digital, ya que este tipo de información puede revelar aspectos relacionados con la salud, la ascendencia familiar e incluso permitir identificar indirectamente a familiares del usuario.

La investigación reveló múltiples deficiencias de seguridad

Tras la divulgación del incidente, una coalición de fiscales generales inició una investigación para determinar si la empresa había cumplido con sus obligaciones de protección de datos.

La fiscal general del estado de Nueva York, Letitia James, explicó que la investigación concluyó que 23andMe carecía de controles básicos de seguridad que hoy son considerados estándares mínimos dentro de la industria tecnológica.

Entre las principales deficiencias detectadas destacan:


Según las autoridades, estas omisiones facilitaron que los ciberdelincuentes mantuvieran acceso durante meses sin activar alertas de seguridad significativas.

La respuesta inicial de 23andMe generó críticas

Uno de los aspectos más cuestionados por los investigadores fue la gestión inicial del incidente.

De acuerdo con la investigación, la empresa negó inicialmente haber sufrido una brecha de seguridad y posteriormente atribuyó la responsabilidad a las malas prácticas de los propios usuarios, argumentando que muchos reutilizaban contraseñas comprometidas en otros servicios.

Sin embargo, las autoridades sostienen que esta explicación no exime a la organización de implementar controles adecuados para detectar comportamientos anómalos y proteger las cuentas incluso cuando las credenciales hayan sido comprometidas previamente.

La postura inicial de la empresa provocó fuertes críticas tanto por parte de expertos en ciberseguridad como de organismos reguladores.

El acuerdo obliga a reforzar la ciberseguridad

Como parte del acuerdo alcanzado con la coalición de fiscales generales, la compañía deberá implementar importantes mejoras en materia de seguridad informática y protección de datos.

Entre las nuevas obligaciones destacan:


Estas medidas buscan reducir significativamente el riesgo de futuros incidentes y mejorar la confianza de los consumidores.

Letitia James: "Las empresas tienen el deber de proteger los datos"

La fiscal general de Nueva York fue especialmente crítica con la actuación de la compañía.

Según James, millones de personas confiaron a 23andMe información extremadamente sensible con la expectativa de que sería protegida mediante controles adecuados.

Sin embargo, la falta de medidas básicas permitió que dichos datos terminaran siendo robados y comercializados en los sectores más oscuros de Internet.

Las autoridades consideran que este acuerdo no solo representa una sanción económica, sino también un precedente importante para toda la industria de servicios genéticos y empresas que administran información altamente confidencial.

Demandas colectivas y millonarias sanciones

La filtración de datos desencadenó una larga cadena de consecuencias legales para la compañía.

En noviembre de 2023, poco después del incidente, 23andMe modificó sus Términos de Uso, introduciendo cambios destinados a limitar la capacidad de los usuarios para presentar demandas colectivas y fomentar el arbitraje individual, una decisión que también generó controversia.

Posteriormente, en septiembre de 2024, la empresa aceptó pagar 30 millones de dólares para resolver una importante demanda colectiva presentada por clientes afectados por la filtración de información.

Los problemas financieros continuaron agravándose hasta que, en marzo de 2025, 23andMe se acogió al Capítulo 11 de la Ley de Quiebras de Estados Unidos, iniciando un proceso de reorganización acompañado de la venta de sus activos.

La protección de los datos genéticos durante la bancarrota

La declaración de bancarrota despertó una nueva preocupación entre reguladores y consumidores: el futuro de los datos genéticos almacenados por la empresa.

En junio de 2025, Letitia James y otros 27 fiscales generales presentaron nuevas acciones legales con el objetivo de garantizar que la información genética de millones de usuarios no fuera transferida sin las debidas garantías durante el proceso de venta de activos.

Ese mismo mes, la Oficina del Comisionado de Información del Reino Unido (ICO) impuso a la empresa una multa de 2,31 millones de libras esterlinas (aproximadamente 3,12 millones de dólares) tras concluir que existieron graves fallos de seguridad que facilitaron la filtración masiva de datos.

TTAM Research Institute adquirió 23andMe

Finalmente, en julio de 2025, la organización sin ánimo de lucro TTAM Research Institute, actualmente registrada como 23andMe Research Institute y dirigida por la cofundadora Anne Wojcicki, completó la adquisición de la compañía.

La operación se cerró por aproximadamente 305 millones de dólares, permitiendo que la organización asumiera el control de todos los activos de la empresa y continuara administrando su infraestructura y servicios.

Un caso que redefine la protección de los datos genéticos

El incidente de 23andMe representa un punto de inflexión para la industria de las pruebas de ADN y para todas las organizaciones que almacenan información altamente sensible. La filtración de datos genéticos de 6,9 millones de personas demuestra que las amenazas actuales no solo afectan a credenciales o información financiera, sino también a datos biométricos y hereditarios cuya exposición puede tener consecuencias permanentes.

Este caso también envía un mensaje claro a las empresas: implementar autenticación multifactor, monitoreo continuo, detección de accesos anómalos, limitación de intentos de inicio de sesión y una estrategia integral de ciberseguridad ya no son prácticas recomendables, sino requisitos esenciales para proteger la confianza de los usuarios y cumplir con las exigencias regulatorias. Las sanciones económicas, las demandas colectivas y el impacto reputacional sufrido por 23andMe evidencian que descuidar la seguridad de los datos puede convertirse en un riesgo empresarial de enorme magnitud.

Fuente: https://www.bleepingcomputer.com/