¿Hackeo de ADN?

En medio de los recientes acontecimientos mundiales, como la actual guerra entre Rusia y Ucrania y el conflicto entre Israel y Palestina, un ciberataque a 23andMe, una popular empresa de pruebas de ADN, a principios de octubre no fue noticia.

La compañía proporciona a los usuarios un desglose detallado de la ascendencia basado en su ADN. Los datos filtrados sugieren que entre los clientes de 23andMe se encuentran Elon Musk y Mark Zuckerberg. La violación de datos no fue un hackeo de los sistemas de la empresa 23andMe, sino un ataque masivo a usuarios individuales, a través de lo que se denomina un ataque de "relleno de credenciales".

Un ataque de relleno de credenciales se produce cuando los piratas informáticos prueban los nombres de usuario y las contraseñas de hackeos anteriores para ver si las personas están utilizando los mismos detalles.

Con el relleno de credenciales, los ciberdelincuentes utilizan herramientas automatizadas y pares de nombre de usuario y contraseña robados para entrar en los sistemas y obtener acceso a cuentas de usuario legítimas. Esta técnica suele tener éxito porque muchos usuarios tienden a reutilizar sus credenciales de inicio de sesión para diferentes sitios web.

Cuando las credenciales de usuario, como los nombres de usuario y las contraseñas, quedan expuestas en una filtración de datos o en un ataque de phishing, los atacantes las utilizan para poner en peligro otras cuentas. El relleno de credenciales es peligroso tanto para los consumidores como para empresas como 23andMe debido a los efectos dominó del robo de credenciales.

La compañía dijo que no se tomó información genética real. En cambio, los piratas informáticos lograron acceder a datos de cuentas de alto nivel, como información personal y desglose de ascendencia geográfica de los usuarios.

Este desglose revela de dónde provienen los genes de una persona. Por ejemplo, un usuario puede tener un 50 por ciento de ascendencia irlandesa, un 25 por ciento noruego, un 12,5 por ciento galés y un 12,5 por ciento báltico. Puede parecer extraño robar este tipo de información, pero los piratas informáticos pueden estar más interesados en la información personal.

El profesor Alan Woodward, especialista en seguridad cibernética de la Universidad de Surrey, explicó que este hackeo es valioso para los piratas informáticos porque apuntan a información personal que "podría usarse en estafas más adelante".

Woodward explicó que los piratas informáticos se dirigen a información como nombres, direcciones, números de teléfono e información personal general porque luego pueden venderla a los estafadores.

Con los datos robados, los estafadores escribirán correos electrónicos no deseados más específicos. Cuando las víctimas reciben un correo electrónico que comienza con "Estimado Alan" en lugar de "Estimado cliente", algunas de ellas pueden pensar que los correos electrónicos son legítimos porque saben quién es usted.

Woodward añadió que cuando se habla de la información genética en sí, "puede tener algún valor en el futuro". Sin embargo, no ve una forma obvia para que los piratas informáticos lo moneticen actualmente. (Relacionado: Caesars Entertainment paga un rescate tras un ciberataque al casino).

Woodward agregó que sería más alarmante si los piratas informáticos tuvieran información como huellas dactilares porque los datos biométricos, como su rostro y huellas dactilares, "no se pueden cambiar una vez que están en el público y se pueden usar para acceder a las cosas".

Además, la información generada por las pruebas comerciales de ADN no se limita a la geografía. Los resultados también incluyen predicciones médicas que muestran su probabilidad de desarrollar enfermedades o características particulares como el Alzheimer, la diabetes o la calvicie de patrón masculino.

Woodward anotó que las predicciones médicas "podrían ser importantes en la sociedad algún día", por ejemplo, para las compañías de seguros. Si bien la información es una de esas cosas que preferirías no tener, probablemente no te pondrá en riesgo ahora", agregó el especialista en seguridad cibernética.

Pero la información médica suministrada por las pruebas de compañías como 23andMe también genera preocupaciones sobre el "hackeo de ADN".

Después de todo, ¿existen medidas para evitar que alguien verifique si una posible pareja es "propensa a quedarse calva o desarrollar cáncer"? Esta información también podría utilizarse para sabotear las carreras de las personas, por ejemplo, poniendo de relieve los riesgos para la salud que pueden limitar su vida laboral.

Protección contra el hackeo de ADN

De hecho, existe protección contra este tipo de piratería de ADN en el Reino Unido.

Según la sección 45 de la Ley de Tejidos Humanos del Reino Unido de 2004, la recuperación no consentida del material corporal de otra persona para su análisis genético se considera un delito penal.

Sin embargo, demostrar que esto ha ocurrido puede ser complicado. Tampoco es una prioridad para la policía. Además, es difícil, si no imposible, para las empresas comerciales verificar que el ADN que se está analizando pertenece a la persona que da la muestra cuando se envía por correo en lugar de tomarla en persona.

Es posible que las muestras no siempre se envíen "en secreto" con fines nefastos, como cuando los usuarios quieran sorprender a familiares o seres queridos con sus resultados. En estos casos, algunas vidas han cambiado significativamente.

Por ejemplo, a las personas que fueron adoptadas o a las que están involucradas en la infidelidad se les ha dado la noticia a través de la pantalla de una computadora. Las historias que se cuentan sobre la historia de una familia pueden ser expuestas como ficción, mientras que algunos cónyuges han descubierto que están emparentados.

Pero cuando se trata de datos fríos y duros, tomar muestras de ADN sin saberlo podría tener otras repercusiones graves.

Woodward explicó que hay que pensar en las preocupaciones sobre la libertad civil. Si la policía toma su ADN, no debe conservarlo a menos que lo acusen porque no quiere que la policía tenga una base de datos general donde puedan comparar cualquier ADN encontrado en la escena del crimen.

Sin embargo, se estima que más de 100 millones de personas han enviado su ADN, o lo han hecho en su nombre, a varias empresas de pruebas como 23andMe, lo que hace posible que la policía pueda algún día construir una base de datos de este tipo.

En 2018, Joseph James DeAngelo, uno de los asesinos en serie y violadores más prolíficos de California, fue arrestado después de que la policía comparara su ADN con el de un pariente al que se le había realizado una prueba de ADN en línea. Más tarde, DeAngelo se declaró culpable de múltiples cargos de asesinato y secuestro.

Las principales empresas comerciales como 23andMe y Ancestry afirman que no cumplen voluntariamente con la aplicación de la ley, aunque sus términos y condiciones prevén circunstancias excepcionales. Pero la genealogía genética de investigación, tal como se la conoce, no requiere necesariamente un acceso por la puerta trasera a ciertos individuos.

DeAngelo fue capturado después de que la policía buscara en GEDmatch, una base de datos gratuita en línea donde los usuarios pueden agregar sus resultados después de realizar una prueba comercial.

Con el reciente hackeo de 23andMe, ahora hay más información de ADN por ahí.

A muchas personas no les importará, especialmente a aquellas que comparten fácilmente su fecha de nacimiento mientras compran o su número de teléfono al reservar un restaurante. Pero todo esto se suma a su huella digital y, en este momento, su ADN es el menos valioso.

Pero la tecnología avanza rápidamente. Si bien queda por ver cómo se podrían usar los datos en el futuro, una vez disponibles, será muy difícil recuperarlos.

Para evitar la pérdida de su información personal, utilice siempre una contraseña segura y no las reutilice.

Fuente: Natural News