Qué hacer si estás preocupado por la brecha de 23andMe

English

A principios de octubre, un delincuente afirmó que estaba vendiendo datos de cuentas del servicio de pruebas genéticas 23andMe, que incluían supuestamente datos de un millón de usuarios de ascendencia judía asquenazí y otros 100.000 usuarios de ascendencia china. A mediados de octubre, la cifra se amplió a otros cuatro millones de cuentas generales. Los datos incluyen el nombre para mostrar, el año de nacimiento, el sexo y algunos detalles sobre los resultados de la ascendencia genética, pero no datos genéticos. Si ya se ha accedido a tus datos, no puedes hacer nada, pero es un buen momento para reconsiderar cómo utilizas el servicio.

Lo que ocurrió

En una entrada de blog, 23andMe afirma que los delincuentes accedieron a las cuentas mediante "relleno de credenciales": la práctica de utilizar un conjunto de nombres de usuario y contraseñas filtrados de una filtración de datos anterior en otro sitio web con la esperanza de que la gente haya reutilizado las contraseñas.

Los detalles sobre las cuentas específicas afectadas son todavía escasos, pero sabemos algunas líneas generales. TechCrunch descubrió que los datos podrían haberse filtrado por primera vez en agosto, cuando un malhechor publicó en un foro de piratas informáticos que había accedido a 300 terabytes de datos robados de usuarios de 23andMe. En aquel momento no se hizo mucho eco de la supuesta filtración, pero a principios de octubre un malhechor publicó una muestra de datos en otro foro afirmando que el conjunto completo de datos contenía un millón de puntos de datos sobre personas con ascendencia judía asquenazí. En una declaración a The Washington Post, un representante de 23andMe señaló que esto "incluiría a personas con incluso un 1% de ascendencia judía." Poco después, otro post afirmaba que tenían datos de 100.000 usuarios chinos. Luego, el 18 de octubre, otro conjunto de datos apareció en el mismo foro que incluía cuatro millones de usuarios, con el cartel afirmando que incluía datos de "las personas más ricas que viven en los EE.UU. y Europa Occidental en esta lista."

23andMe sugiere que los malhechores recopilaron los datos de cuentas que utilizaban la función opcional "DNA Relatives", que permite a los usuarios de 23andMe compartir automáticamente datos con otras personas de la plataforma con las que pueden ser parientes.

Básicamente, parece que un atacante tomó combinaciones de nombre de usuario y contraseña de violaciones anteriores y probó esas combinaciones para ver si funcionaban en cuentas de 23andMe. Cuando los inicios de sesión funcionaban, extraían toda la información que podían, incluidos todos los datos compartidos sobre familiares si tanto los familiares como la cuenta original habían optado por la función DNA Relatives.

Eso es todo lo que sabemos por ahora. 23andMe dice que seguirá actualizando esta entrada de su blog con nueva información a medida que la tenga.

Por qué es importante

La información genética es una herramienta importante para detectar marcadores de enfermedades e investigar la historia familiar, pero no hay leyes federales que protejan claramente a los usuarios de sitios de pruebas genéticas en línea como 23andMe y Ancestry.com. La posibilidad de investigar la historia familiar y el riesgo de padecer enfermedades no debería conllevar el riesgo de que nuestros datos sean accesibles en filtraciones de datos, a través de cuentas rastreadas, por las fuerzas de seguridad, las aseguradoras o de otras formas que no podemos prever.

Aún no está claro si los datos se dirigen deliberadamente a la población judía asquenazí o si es una forma de mal gusto de llamar la atención sobre la venta de datos, pero el hecho de que los datos puedan utilizarse para dirigirse a grupos étnicos es un uso inquietante. 23andMe presenta "DNA Relatives" casi como una red social y una forma divertida de encontrar un primo segundo o dos. Hay algunos límites a la privacidad en el uso de esta función, como la opción de ocultar el nombre completo, pero con un árbol genealógico potencialmente completo disponible de otro modo, las opciones de privacidad de un individuo aquí pueden no ser tan protectoras.

23andme es, en general, uno de los mejores actores en este ámbito. Exigen una orden individualizada para que la policía acceda a sus datos, no permiten el acceso directo a todos los datos (a diferencia de GEDmatch y FTDNA) y se oponen a las órdenes demasiado amplias. Pero imponer a sus clientes la obligación de utilizar contraseñas únicas y de optar -en lugar de exigir- funciones de protección de cuentas como la autenticación de dos factores es una imagen desafortunada para una empresa que maneja datos confidenciales.

Reutilizar contraseñas es una práctica común, pero en lugar de culpar a sus clientes, 23andMe debería hacer más para reforzar sus protecciones por defecto. Características como la exigencia de autenticación de dos factores y los recordatorios frecuentes de comprobación de la privacidad, como los que ofrecen actualmente la mayoría de las redes sociales, podrían ayudar mucho a los usuarios a reconsiderar y comprender mejor su privacidad.

Cómo proteger mejor tu cuenta

Si tus datos están incluidos en este conjunto de datos robados, no hay mucho que puedas hacer para recuperarlos, ni hay forma de buscar en ellos para ver si tu información está incluida. No obstante, deberías acceder a tu cuenta de 23andMe para realizar algunos cambios en tu configuración de seguridad y privacidad para protegerte de cualquier problema en el futuro:

23andMe está exigiendo actualmente a todos los usuarios que cambien sus contraseñas. Cuando cree una nueva, asegúrese de utilizar una contraseña única. Un gestor de contraseñas puede facilitarte esta tarea. También un gestor de contraseñas puede indicarte si contraseñas usadas anteriormente se han encontrado en una filtración, pero en cualquier caso deberías crear una contraseña única para diferentes sitios.
Habilite la autenticación de dos factores en su cuenta de 23andMe siguiendo las instrucciones aquí. Esto hace que, para iniciar sesión en tu cuenta, tengas que proporcionar no solo tu nombre de usuario y contraseña, sino también autenticación por dos factores, en este caso un código de una aplicación de autenticación de dos factores como Authy o Google Authenticator.
Cambie su nombre para mostrar en DNA Familiares para que sean sólo sus iniciales, o considere desactivar esta función por completo si no la utiliza.

Puede que tomar estas medidas no te proteja de otras violaciones imprevistas a tu privacidad, pero al menos puede protegerla mejor del resto de problemas potenciales que sabemos que existen hoy en día.

Cómo descargar y borrar tus datos

Si esta situación te hace sentir incómodo con tus datos en la plataforma, o ya has obtenido de ella lo que querías, entonces puede que quieras eliminar tu cuenta. Pero antes de hacerlo, considere la posibilidad de descargar los datos para sus propios registros. Para descargar tus datos:

Inicia sesión en su cuenta de 23andMe y haz clic en su nombre de usuario y, a continuación, en "Configuración".
Ve hasta la parte inferior donde dice "Datos de 23andMe" y haz clic en "Ver".
Aquí encontrarás la opción de descargar varias partes de tus datos de 23andMe. Las más importantes a tener en cuenta son:
El "Resumen de informes" incluye detalles como los "Informes de bienestar", los "Informes de ascendencia" y los "Informes de rasgos".
Los "Datos brutos de composición ancestral" son la interpretación que hace la empresa de tus datos genéticos brutos.
Si estabas utilizando la función de parientes de ADN, los "Datos del árbol genealógico" incluyen toda la información sobre tus parientes. Basándonos en las descripciones de los datos que hemos visto, esto suena como los datos que los malos actores recogieron.
También puedes descargar los "Datos brutos", que son la versión no interpretada de su ADN.

Hay otros tipos de datos que puedes descargar en esta página, aunque muchos de ellos no te serán útiles sin un software especial. Pero no pasa nada por descargarlo todo.

Una vez que tengas esos datos descargados, sigue la guía de la empresa para eliminar tu cuenta. El botón para iniciar el proceso se encuentra en la parte inferior de la misma página de la cuenta en la que descargaste los datos.

Nuestro ADN contiene toda nuestra composición genética. Puede revelar de dónde proceden nuestros antepasados, con quién estamos emparentados, nuestras características físicas y si somos propensos a contraer enfermedades determinadas genéticamente. Este incidente es un ejemplo de por qué esto es importante, y de cómo ciertas características que pueden parecer útiles en el momento pueden convertirse en armas de formas novedosas. Para más información sobre la privacidad genética, consulte nuestro resumen jurídico sobre privacidad de la información genética, y otros temas relacionados con la privacidad sanitaria en nuestro blog.

Related Issues

Genetic Information Privacy

Security Education

Join EFF Lists

Related Updates

Deeplinks Blog by Mario Trujillo, Jason Kelley | October 9, 2024

La venta de los datos de 23andMe sería perjudicial para la privacidad. Esto es lo que pueden hacer los clientes.

La consejera delegada de 23andMe ha declarado recientemente que está considerando la posibilidad de vender la empresa de pruebas de genealogía genética y, con ella, los datos confidenciales de ADN que ha recopilado y almacenado de muchos de sus 15 millones de clientes. Los clientes y sus familiares están preocupados...

Deeplinks Blog by Paige Collings, Matthew Guariglia | March 22, 2024

Cops Running DNA-Manufactured Faces Through Face Recognition Is a Tornado of Bad Ideas

In keeping with law enforcement’s grand tradition of taking antiquated, invasive, and oppressive technologies, making them digital, and then calling it innovation, police in the U.S. recently combined two existing dystopian technologies in a brand new way to violate civil liberties. A police force in California recently employed the...

Deeplinks Blog by Saira Hussain, Matthew Guariglia | September 25, 2023

The U.S. Government’s Database of Immigrant DNA Has Hit Scary, Astronomical Proportions

The FBI recently released its proposed budget for 2024, and its request for a massive increase in funding for its DNA database should concern us all. The FBI is asking for an additional $53 million in funding to aid in the collection, organization, and maintenance of its Combined...

Deeplinks Blog by Jennifer Lynch | September 5, 2023

Montana’s New Genetic Privacy Law Caps Off Ten Years of Innovative State Privacy Protections

Montana’s success in passing mostly reasonable privacy laws shows that concerns about privacy easily cut across political lines. While we wait for the federal government to pass any meaningful comprehensive privacy laws, states should look to Montana as a model for innovative ways to protect their own residents’ privacy interests.

Whitepaper

Forensic Genetic Genealogy Searches: What Defense Attorneys & Policy Makers Need to Know

The Electronic Frontier Foundation, has worked on several cases where law enforcement used FGG, and this article is based on that work. This article will discuss how genetic genealogy works, law enforcement’s use of FGG, and how FGG can both misidentify suspects and, in rare cases, help to clear wrongful...

Deeplinks Blog by Jennifer Lynch, Saira Hussain, Andrew Crocker | November 10, 2022

EFF Files Amicus Brief Challenging Orange County, CA’s Controversial DNA Collection Program

Should the government be allowed to collect your DNA—and retain it indefinitely—if you’re arrested for a low-level offense like shoplifting a tube of lipstick, driving without a valid license, or walking your dog off leash? We don’t think so. As we argue in an amicus brief filed in...

Deeplinks Blog by Jennifer Lynch | February 16, 2022

Not Just San Francisco: Police Across the Country are Retaining and Searching DNA of Victims and Innocent People

This week we learned that San Francisco Police used a woman’s own DNA—collected years earlier as part of an investigation into her sexual assault—to charge her for an unrelated property crime. What’s worse—it appears the S.F. police routinely search victims’ DNA in criminal investigations.

Deeplinks Blog by Saira Hussain | June 30, 2021

Victory! Biden Administration Rescinds Dangerous DHS Proposed Rule to Expand Biometrics Collection

Marking a big win for the privacy and civil liberties of immigrant communities, the Biden Administration recently rescinded a Trump-era proposed rule that would have massively expanded the collection of biometrics from people applying for an immigration benefit. Introduced in September 2020, the U.S. Department of Homeland Security (DHS)...

Deeplinks Blog by Jennifer Lynch | June 7, 2021

Maryland and Montana Pass the Nation’s First Laws Restricting Law Enforcement Access to Genetic Genealogy Databases

Last week, Maryland and Montana passed laws requiring judicial authorization to search consumer DNA databases in criminal investigations. These are welcome and important restrictions on forensic genetic genealogy searching (FGGS)—a law enforcement technique that has become increasingly common and impacts the genetic privacy of millions of Americans.Consumer personal...

Legal Case

United States v. Ellis

Along with the ACLU of Pennsylvania, we filed an amicus brief in the United States District Court for Western Pennsylvania explaining that secret forensic technology is inconsistent with criminal defendants’ constitutional rights and the public’s right to oversee the criminal trial process. We also explain why source code, and other...

Related Issues

Genetic Information Privacy

Security Education

Search form

Search form

Lo que ocurrió

Por qué es importante

Cómo proteger mejor tu cuenta

Cómo descargar y borrar tus datos

Related Issues

Related Issues

Search form

Search form

Qué hacer si estás preocupado por la brecha de 23andMe

Qué hacer si estás preocupado por la brecha de 23andMe

Lo que ocurrió

Por qué es importante

Cómo proteger mejor tu cuenta

Cómo descargar y borrar tus datos

Related Issues

Join EFF Lists

Discover more.

Related Updates

Discover more.

Related Issues

Follow EFF:

Contact

About

Issues

Updates

Press

Donate