Una investigación revela que 23andMe "no tomó medidas básicas" para proteger la información privada
La empresa de pruebas de ADN 23andMe no contaba con protecciones de datos adecuadas e ignoró las señales de advertencia antes de una violación masiva de datos hace casi dos años, según descubrió una investigación del comisionado de privacidad de Canadá.
El comisionado Philippe Dufresne dijo a los periodistas que no existían las protecciones adecuadas en 2023 cuando los piratas informáticos obtuvieron acceso a aproximadamente 6,9 millones de perfiles en el sitio, casi la mitad de su base de clientes.
"Esta filtración sirve como advertencia para todas las organizaciones sobre la importancia de la protección de datos", afirmó Dufresne durante una conferencia de prensa el martes.
Ante el aumento de la gravedad y la complejidad de las filtraciones de datos, y el drástico aumento de los ataques de ransomware y malware, cualquier organización que no tome medidas para priorizar la protección de datos y abordar estas amenazas es cada vez más vulnerable.
Los perfiles de los clientes contenían datos personales delicados, como el año de nacimiento, la ubicación geográfica, información de salud y el porcentaje de ADN que los usuarios compartían con sus familiares. Dufresne afirmó que parte de la información robada se vendía posteriormente en línea.
La investigación se inició el año pasado en colaboración con el comisario de información del Reino Unido, John Edwards.
"23andMe no tomó las medidas básicas para proteger la información de las personas, sus sistemas de seguridad eran inadecuados, las señales de advertencia estaban ahí y la empresa tardó en responder", dijo Edwards.
Al igual que otras empresas de pruebas genéticas, 23andMe utiliza muestras de saliva para generar informes sobre la ascendencia de un cliente, así como posibles predisposiciones a ciertas condiciones de salud.
Casi 320.000 canadienses y 150.000 personas en el Reino Unido se vieron afectados por la violación de 2023, dijeron los comisionados.
Edwards dijo que el Reino Unido impuso a la compañía con sede en San Francisco una multa de 4,2 millones de dólares por la violación de datos, pero Dufrense dijo que no tiene el poder de imponer sanciones monetarias a la compañía.
"[La facultad de multar a las empresas] es algo que existe ampliamente en las autoridades de privacidad a nivel mundial y es algo necesario. Lamentablemente, la legislación canadiense sobre privacidad aún no me lo contempla", afirmó Dufrense.
Se han propuesto cambios legales en el pasado que otorgarían al comisionado de privacidad la facultad de imponer multas, pero nunca se han promulgado. Dufrense dijo que espera que el nuevo Parlamento vuelva a proponer cambios pronto.
23andMe se declaró en bancarrota a principios de este año y anunció la venta de sus activos, lo que significa que los datos de sus clientes podrían ser accedidos, vendidos o transferidos. Sin embargo, la compañía afirmó que el proceso de bancarrota no afectará la forma en que almacena, gestiona ni protege los datos de sus clientes.
Dufresne y Edwards dijeron que esperan que la compañía proteja adecuadamente los datos de los usuarios durante cualquier venta.
"Seguiremos esto de cerca... las obligaciones [de privacidad] deben seguir aplicándose a cualquier nuevo propietario", dijo Dufresne.
cbc.ca
