← Inicio

23andMe pagará $18 millones en nuevo acuerdo por violación de datos genéticos

1) El hecho 23andMe (ahora Chrome Holding Co.) acordó pagar $18 millones para resolver reclamaciones de una coalición de 43 fiscales generales estatales de EE.UU. que la acusaban de no proteger adecuadamente los datos genéticos de sus clientes. El acuerdo impone nuevos requisitos de seguridad, incluido un consejo asesor de seguridad de datos, protocolos de análisis de riesgo y el derecho continuado de los consumidores a eliminar sus datos.

2) Contexto La violación original se reveló en octubre de 2023, tras ataques de credential stuffing que pasaron desapercibidos durante cinco meses. 6,9 millones de clientes vieron robados sus datos, incluida información de ascendencia genética, parte de la cual fue ofrecida para la venta en la dark web con millones de perfiles genéticos filtrados como prueba. La investigación multiestatal descubrió que la empresa carecía de protecciones básicas: bloqueo de contraseñas comprometidas, autenticación multifactor, limitación de tasa, prevención de intrusiones y monitoreo de detección de brechas. La empresa inicialmente negó la violación y luego culpó a los clientes. 23andMe se declaró en quiebra en marzo de 2025 y fue adquirida por $305 millones por TTAM Research Institute.

3) Análisis Este es un caso emblemático de cómo empresas que manejan datos ultrasensibles pueden fallar en las protecciones más básicas de ciberseguridad. La respuesta inicial de 23andMe — negar la violación y culpar a los clientes — fue un intento flagrante de transferir responsabilidad que la investigación multiestatal rechazó categóricamente. Los $18 millones, aunque significativos, son pequeños comparados con el daño real infligido: los datos genéticos son irrevocables e irremplazables. A diferencia de contraseñas o tarjetas de crédito que pueden cambiarse tras una violación, la información genética de una persona es única, permanente e inmutable — una vez expuesta, la pérdida de privacidad es definitiva e irreversible. El sistema de justicia estadounidense ha consolidado $30 millones de un acuerdo colectivo anterior más esta multa de $18 millones, totalizando $48 millones en penalidades financieras, además de £2,31 millones del ICO británico.

4) Qué observar • El consejo asesor de seguridad y los protocolos de riesgo podrían servir como modelo regulatorio para empresas de datos genéticos y biométricos. • El derecho continuado del consumidor a eliminar sus datos sienta un precedente legal importante. • Las empresas de biotecnología deben revisar sus prácticas de seguridad inmediatamente. • La venta de datos genéticos en la dark web crea riesgos a largo plazo para los 6,9 millones de afectados.

Fuente: BleepingComputer