Ciencia y Tecnología

Un hacker demuestra cómo robar el genoma de cualquiera

Muchos se temían que algún día tenía que pasar y por fin ha pasado. Un hacker ha demostrado cómo obtener los datos genéticos confidenciales de una persona usando un simple ordenador conectado a internet.

Un hacker demuestra cómo robar el genoma de cualquiera
Un hacker demuestra cómo robar el genoma de cualquieralarazon

Eso es lo que hizo Yaniv Erlich, experto en seguridad informática, en marzo de 2012. Unos años antes, Erlich trabajaba en Israel como hacker de guante blanco para bancos y compañías de tarjetas de crédito. Su objetivo era destripar las bases de datos para obtener datos confidenciales de los clientes.

Después tapaba las grietas por las que se había colado para que otros hackers no pudiesen entrar. Con esa formación y usando bases de datos abiertas en internet, Erlich ha conseguido ahora identificar a 50 personas cuyo genoma fue secuenciado como parte de investigaciones públicas en EEUU y cuyos datos deberían haber permanecido confidenciales para siempre.

El trabajo de Erlich, publicado en la revista Science, demuestra que incluso los datos más íntimos de un individuo, aquellos que lleva escritos en el genoma de cada una de sus células y que le hacen la persona única e irrepetible que es, no están del todo protegidos.

"Un día leí la historia de un chaval de 16 años que había sido concebido con esperma de un donante anónimo y que logró identificar a su padre biológico metiéndose en las bases de datos de empresas privadas que secuencian el ADN de sus clientes", explica aMateria Erlich desde el Instituto Whitehead de Cambridge (EEUU), uno de los mejores centros de investigación genética del mundo.

Erlich, contratado por el Whitehead en 2010 para realizar proyectos de bioinformática como detectar mutaciones asociadas a enfermedades "devastadoras", intentó emular la hazaña de aquel chaval como pasatiempo.

50 identificados

El investigador comenzó con los datos del Proyecto 1000 Genomas, un consorcio liderado por EEUU, en el que participan países como España y cuyos datos usan científicos de todo el mundo para buscar nuevas terapias contra multitud de enfermedades. Los genomas de esta base de datos son totalmente anónimos.

Pero Erlich cruzó esos datos con los de dos empresas que ofrecen tests de parentesco por ADN. En concreto se centró en pequeños fragmentos de ADN del cromosoma Y que los padres legan a los hijos y que por tanto va íntimamente relacionado con el apellido del padre. Con los datos genéticos, los apellidos y la consulta de registros, obituarios y bases de datos, Erlich logró identificar a 50 personas cuyo genoma, aparentemente anónimo, estaba incluido en el Proyecto 1000 genomas.

Medidas urgentes

"En el trabajo no hemos explicado al completo cómo lo hicimos para que la identificación sea difícil de replicar", comenta Erlich, pero no obstante reconoce que "seguro que hay expertos que pueden hacerlo". En otras palabras, que alguien vuelva a destripar los datos genéticos de gente anónima en cualquier otro lugar del mundo es "cuestión de tiempo".

El estudio de Erlich ha obligado a tomar medidas urgentes. Los Institutos Nacionales de Salud, responsables de las bases de datos públicas de las que se sirvió el hacker, han hecho confidenciales los datos de edad y lugar de procedencia de los genomas abiertos que hay en sus bases de datos y que fueron claves para que Erlich pudiese identificar a los participantes.

El investigador no ha hecho pública su identidad, pues su objetivo, dice, es hacer esas bases de datos más fuertes, igual que hizo antes con las de los bancos y las compañías de crédito.

Preocupación de los cientítficos

No todos le ven como el aliado que Erlich quiere ser. "Me preocupa mucho que este estudio explique cómo esquivar medidas de seguridad que intentan proteger la privacidad de los participantes en un estudio", explica Jeff Botkin, experto en ética científica de la Universidad de Utah y supervisor del estudio inicial en el que participaron las personas que han sido identificadas por Erlich, llamado HapMap.

Botkin era el responsable de garantizar el anonimato de los participantes durante aquel estudio. Aunque el anonimato se ha roto, el responsable dice que no contactará con los participantes de HapMap que estaban bajo su cargo para informarles de lo que ha pasado. "Creemos que hablar con ellos crearía más ansiedad y preocupación de la que realmente debe haber por estos hechos", asegura Botkin.

Tanto Botkin como representantes de la NIH se escudan en que los contratos firmados por los participantes advertían de que había un riesgo "pequeño pero no cero"de que su identidad fuese revelada.

Uso fraudulento

El trabajo de Erlich ha despertado miedos dignos de una película de ciencia-ficción que podría volverse real. ¿Podrían las compañías de seguros usar datos genéticos de sus clientes para no darle un seguro de vida a alguien que tenga un riesgo excesivo de sufrir cáncer?

"Obviamente hay un cierto riesgo de que esto pase", opina Ivo Gut, director del Centro Nacional de Análisis Genómico, en Barcelona. Pero el experto minimiza ese riesgo, pues de alguna forma la alerta ha sonado antes de que los datos hayan sido realmente robados.

El trabajo no solo es un problema para las bases de datos públicas, sino también, y especialmente, las privadas. Erlich usó dos bases de datos de empresas en las que cualquiera puede rastrear su parentesco si tiene secuenciadas parte de su cromosoma Y. Es un tipo "genética recreacional"en la que los usuarios consultan sus perfiles genéticos en internet y cuyos fallos de seguridad y anonimato han sido puestos en evidencia tanto por autoridades de EEUU como de Europa. Alguna de esas empresas tiene clientes españoles cuyos perfiles genéticos están en sus bases de datos.

¿Sería posible el hackeo de Erlich en España? "Es improbable porque los datos en España no se publican igual que en EEUU y en este país no opera, que yo sepa, empresas de genética recreacional", opina Gut. Para el experto, lo más importante es que se sigan desarrollando bases de datos públicas y anónimas que permitan avanzar la investigación.

"Al final el público deberá decidir", señala Gut. "Si colaboran y comparten sus datos con este tipo de bases de datos habrá progreso en la lucha contra las enfermedades y, si no lo hacen, no llegaremos a ningún sitio", concluye.

Más información en la web de ciencia Materia