Chrome Holding Co., la empresa anteriormente conocida como 23andMe, es frente a una demanda interpuesta por El fiscal general de California, Rob Bonta, por una violación de seguridad masiva en 2023 que comprometió los datos confidenciales de millones de personas. Bonta acusó a la empresa de engañar a los clientes y de no proteger “la información personal sensible y los datos genéticos relacionados con la salud, la predisposición genética y los factores de riesgo, los parientes biológicos, la ascendencia y el origen étnico”. El incidente afectó a 7 millones de usuarios en todo Estados Unidos, según la demanda, de los cuales 855.541 son residentes de California.
23andMe, que ofrece kits de pruebas de ADN a sus clientes para que puedan conocer sus orígenes ancestrales y los riesgos genéticos para la salud, reconoció en 2023 que los delincuentes podrían acceder a las cuentas de los usuarios mediante el relleno de credenciales. Bonta sostiene que las empresas, especialmente las que recopilan datos genéticos, deberían tener cuidado con los métodos comunes de ciberataque.
En el caso de 23andMe, los piratas informáticos aparentemente utilizaron credenciales robadas en filtraciones de datos anteriores, incluido un ataque a MyHeritage, otro sitio web de genealogía que trabaja en estrecha colaboración con 23andMe. Bonta dijo que aunque 23andMe estaba al tanto de la violación en MyHeritage, nunca verificó ni impidió que los usuarios reutilizaran sus credenciales. Esto es especialmente importante porque 23andMe supuestamente anima a sus usuarios a registrarse también para obtener cuentas de MyHeritage.
No es sólo el relleno de credenciales lo que permite a los delincuentes robar millones de datos personales. Después de utilizar el método de ataque para comprometer 14.000 cuentas, explotaron una vulnerabilidad en la función DNA Relatives del sitio web para acceder a datos de aún más clientes. Bonta dijo que las medidas de seguridad de la compañía eran tan débiles que los piratas informáticos pudieron operar sin ser detectados dentro de sus sistemas durante cinco meses. Añadió que la empresa sólo inició la investigación después de que los delincuentes comenzaron a vender datos de usuarios robados en la web oscura y a exigir un rescate.
Bonta acusó a 23andMe de omitir información importante al notificar a los clientes sobre la infracción. Dijo que la compañía minimizó la sensibilidad de los datos robados y afirmó que la función DNA Relatives era “fundamentalmente pública”, mientras que la compañía negoció en secreto con malos actores que resaltaron la inclusión de información sobre asiáticoamericanos e isleños del Pacífico, así como sobre usuarios judíos, en los conjuntos de datos que vendían.
“La venta de estos datos en la web oscura se produce en medio de un aumento del odio y la violencia antiasiático-estadounidenses e isleños del Pacífico y antisemitas, y llama explícitamente la atención sobre la naturaleza altamente personal e identificativa de esta información”, escribió Bonta. “Esto es inquietante y muy peligroso”.
23andMe se declaró en quiebra en marzo de 2025. EE.UU. AP Como se señaló, también se enfrenta a una demanda colectiva que acusa a la empresa de no proteger a sus clientes, y el juez que supervisa su quiebra aprobó un acuerdo de 50 millones de dólares a principios de este año.
