23andMe, un ejemplo de las cosas mal hechas

Es posible que esta sea la primera vez que ves una referencia a 23andMe (aunque ya te hablamos de ellos hace unos años, a raíz de un estudio sobre los hábitos de sueño), si bien es cierto que en los últimos tiempos ha cobrado cierta relevancia, aunque desde luego no por las razones que a ellos (y a sus clientes, claro) les gustaría. Por si es así, debes saber que es una empresa de biotecnología y genómica que, como principal servicio, ofrece pruebas genéticas a usuarios finales, es decir, a personas como tú y como yo que, en un momento dado, pueden sentir curiosidad por saber qué información les puede proporcionar su ADN.

En este tipo de estudios, el cliente recibe un kit para la toma de una muestra de ADN, generalmente de saliva mediante un hisopo, que posteriormente debe ser enviado al laboratorio en el que realizarán los análisis correspondientes y, una vez finalizados, se cruzan con la información de la que dispone la compañía. Como resultado, el usuario recibe un completo informe que, por norma general, cubre desde su potencial para sufrir determinadas enfermedades hasta los orígenes geográficos de sus antecesores.

Por norma general, los usuarios pueden consultar sus informes en Internet, aunque evidentemente para ello deben hacer uso de sus credenciales de acceso a la web de la compañía que les ha ofrecido el servicio, como es el caso de 23andMe. Y es que hablamos de información muy personal, y que en algunos casos cuenta con un nivel de protección especialmente alto. Esta es la razón por la que la filtración masiva de datos que la compañía confirmó en diciembre (aunque ya se sabía de ella meses antes, pues los datos exfiltrados ya estaban circulando por la dark web), se ha traducido en un aluvión de demandas a 23andMe por parte de los usuarios afectados.

Una situación así es, sin duda, compleja, pues las empresas afectadas se exponen a una enorme crisis de imagen. Sin embargo, echar balones fuera, y más aún apuntando a las víctimas, es todo un ejemplo de cómo no hacer las cosas, y desgraciadamente es lo ocurrido en el caso que nos ocupa. Así, según podemos leer en TechCruch, 23andMe ha acusado a parte de sus usuarios de ser responsables de la filtración masiva de datos.

Gattaca nos adelantó un futuro distópico en el que la información extraída de nuestro ADN determinaba el curso de nuestras vidas. Lo que no llegó a imaginar Andrew Niccol es qué ocurriría si una base de datos con este tipo de información se filtraba y acababa en malas manos.

En una carta enviada por 23andMe a los afectados, a la que este medio ha tenido acceso, la compañía afirma que la base del ataque se produjo por la baja seguridad de las contraseñas empleadas por algunos de sus usuarios (alrededor de 14.000), a las que los atacantes lograron acceder. A partir de ahí, esos mismos atacantes hicieron uso de una función opcional del servicio llamada DNA Relatives, que permite a los clientes compartir algunos de sus datos con aquellas personas que, en base a sus estudios de ADN, están relacionadas de algún modo. Tirando de este hilo, y con las 14.000 cuentas comprometidas inicialmente, los atacantes lograron hacerse con datos de 6,9 millones de usuarios de 23andMe.

Es cierto, sí, que la compañía tiene derecho a defenderse (y desde luego tendrá que hacerlo, pues las causas judiciales se acumulan), y también parece indiscutible que el uso de contraseñas inseguras por parte de algunos clientes ha jugado un papel clave en este ataque. Pero, precisamente por eso, y por la gravedad de que determinado tipo de datos se puedan ver expuestos, me parece increíble que 23andMe no tuviera en cuenta este tipo de riesgo y que, en consecuencia, no se dotara de los medios necesarios para prevenir una exfiltración como ésta.

Hay usuarios que emplean contraseñas inseguras, hay usuarios que reciclan contraseñas y que no las modifican incluso tras saber que se han filtrado. Esto no es una novedad ni una sorpresa, es sabido desde hace años, y muchas tecnológicas trabajan de manera activa para establecer sistemas más seguros. Sin embargo, y pese a lo comprometido de la información que gestionaba, 23andMe no consideró necesario establecer medidas de seguridad adicionales (tan sencillo como exigir autenticación 2A en todas las cuentas con DNA Relatives, por ejemplo), y ahora culpa a los clientes de su vergonzosa praxis en lo referido a la seguridad. Vergüenza sobre vergüenza.