Sus datos genéticos, en venta

Si usted ha perdido alguna vez el DNI en la calle, le han robado las tarjetas de crédito, ha descubierto que alguien entró en su casa sin su permiso o acaba de entregar sin darse cuenta la contraseña del banco en un correo fraudulento habrá sentido una sensación de vulnerabilidad propia del que expone por un momento parte de su intimidad en público. Imagine ahora que lo que se revela de usted no es un número o una clave, es la secreta información vital que contienen sus genes, el código impreso de ADN en cada una de sus células.

Eso es lo que han debido de sentir miles de personas, clientes de la compañía estadounidense 23&Me, al ser advertidos de que la información genética que guardaba la empresa en sus bases de datos había sido robada y pretende ser vendida al mejor postor en oscuros servicios online de la llamada Dark Web.

La alarma saltó cuando 23e&ME, una empresa que, entre otras cosas, ofrece el servicio de rastrear tus orígenes familiares mediante el estudio de tu ADN, reconoció que las cuentas de al menos un millón de clientes habían sido robadas mediante la llamada técnica de «relleno de credenciales». Se trata del uso de herramientas automatizadas que extraen credenciales personales de los perfiles de navegación del usuario para permitir el acceso ilegal a servicios digitales que requieren clave o autentificación.

Días después del anuncio, el asunto fue a peor cuando varios portales de información especializada en seguridad descubrieron que algunos actores del ataque estaban tratando de vender datos genéticos robados en la Dark Web, el espacio de Internet más oculto a los usuarios comunes donde las transacciones ilegales se producen con más facilidad y menos rastro.

La empresa afectada es una de las muchas compañías que nacieron al calor del boom de los análisis genéticos. Cada vez más usuarios reclaman este tipo de servicios que consisten en analizar el ADN personal con diferentes fines. Por una módica cantidad, entre los 100 y los 500 euros, el cliente envía una muestra de su mucosa bucal extraída en un kit doméstico para raspado del interior de las mejillas que contiene suficiente material celular. La empresa devuelve un completo análisis genético que puede contener la propensión a padecer ciertas enfermedades o la pertenencia a una raza o grupo familiar concreto. Muchos usuarios emplean estos servicios para conocer sus ancestros familiares, sus orígenes genéticos más antiguos.

De hecho, la mayor parte de los datos robados esta semana pertenecían a clientes judíos askenazíes que querían corroborar sus raíces familiares. Más recientemente, se ha descubierto otra filtración de 300.000 perfiles de personas de origen chino.

23&Me sigue analizando la gravedad de la situación. En un primer momento, a través de un comunicado oficial, afirmó que no se habían filtrado perfiles genéticos completos, pero lo cierto es que han aparecido ya usuarios de la Dark Web que ofrecen estos perfiles a un precio de entre 1 y 10 euros cada uno.

Según el diario «The Washington Post», un presunto hacker se hizo ver en la red ofreciendo nombres, direcciones y perfiles étnicos de cientos de miles de clientes. En los primeros días después de un robo masivo de datos es difícil discernir entre quienes realmente los han robado y los ponen a la venta y quienes, aprovechando la confusión, se hacen pasar por hackers para obtener beneficios rápidos.

No es la primera vez que esta empresa de servicios genéticos se ve envuelta en un escándalo de este tipo. En varias ocasiones asociaciones de defensas de la privacidad han alertado de que la compañía cuenta con acuerdos con otras empresas para poder usar sus datos en investigaciones externas (sobre todo farmacéuticas). En 2018 saltó a la luz el caso de un presunto asesino en serie que pudo ser detenido por la policía de Estados Unidos después de rastrear los datos genéticos, supuestamente secretos, que constaban en los archivos de 23&Me.

La empresa ha modificado en varias ocasiones su política de privacidad para garantizar la seguridad y el anonimato de sus clientes. Pero la filtración de esta semana demuestra que la seguridad plena no está garantizada.

Aún no se sabe realmente para qué se han robado estos datos genéticos. De hecho no está claro si todos los datos que se han puesto a disposición de los compradores ilegales son reales. Cierta confusión se ha generado en las últimas horas al advertirse que algunas personas famosas como Elon Musk y Mark Zuckerberg podrían estar en la lista de afectados y que en algunos casos los perfiles de personas distintas contienen datos idénticos lo que resta credibilidad al supuesto hacker vendedor.

A día de hoy es probable que en la red circulen por igual datos reales robados y datos falsos de avispados vendedores de humo.

Lo cierto es que el caso ha vuelto a poner de manifiesto los riesgos de compartir datos genéticos en bases de datos digitales. Las empresas de gestión de test genéticos han proliferado en todo el mundo, también en España

La mayoría de ellas ofrecen a los usuarios la opción de limitar el acceso a la información obtenida y prohibir a la compañía que comparta datos con terceros. En algunos casos, se ofrece la posibilidad de ceder los datos a organizaciones científicas o a empresas que investigan la cura de ciertas enfermedades. Se trata de una vía legal y muy fructífera de favorecer el desarrollo de la ciencia. Recopilar suficientes datos genéticos de pacientes o de voluntarios es una tarea larga y costosa. Los acuerdos entre instituciones de investigación y empresas de test genéticos pueden acelerar el proceso de búsqueda de una cura para enfermedades como el Párkinson o algunos cánceres.

El problema, según el Centro Genética y Sociedad de Estados Unidos es que aunque el objetivo de la cesión de estos datos sea loable, en muchos casos la información puede pasar de mano en mano entre varias empresas o instituciones y el control de su uso real es complicado.

Pero, ¿qué puede tener de malo que alguien conozca nuestros perfiles genéticos? En principio no parece que ninguno de estos datos contenidos en nuestras células pueda suponer una amenaza personal. Aunque algunos defensores de la privacidad ven en el horizonte algunos riesgos. Por ejemplo, una compañía aseguradora podría estar interesada en conocer nuestra propensión a padecer una enfermedad para negarnos una cobertura o aumentar la tarifa. O una empresa podría tratar de conocer datos personales de la salud de sus empleados a la hora de desarrollar ascensos o despidos. En el núcleo de nuestras células flota información sensible de nuestras vidas. Para cerca de un millón de personas, esa información está circulando ahora libremente por los callejones más oscuros de Internet.