23andMe es uno de esos casos que nos obliga a hacernos una pregunta incómoda: ¿Qué sucede cuando una empresa es responsable de proteger algunos de los datos más sensibles imaginables? sugiriendo que tal vez ella nunca estuvo realmente lista para hacer esto? Porque estamos hablando de ADN, antecedentes familiares, predisposición genética a enfermedades e información que es tan privada que, a diferencia de una contraseña o una tarjeta bancaria, simplemente no se puede cambiar. Y la empresa se encuentra una vez más en el centro de una tormenta legal.

El fiscal general de California, Rob Bonta, presentó una demanda contra la antigua 23andMe (ahora conocida oficialmente como Chrome Holding Co.), alegando que sus fallos de seguridad provocaron una filtración masiva de datos en 2023. Según la acusación, la empresa No tomar las medidas adecuadas para proteger la información genética de millones de clientes, además de engañar a los usuarios sobre la verdadera gravedad del incidente.. La investigación reveló que, si bien 23andMe minimizó públicamente el alcance de la violación y echó parte de la culpa a sus clientes, también negoció y pagó a los atacantes un rescate para eliminar la información comprometida publicada en Internet y obtener detalles sobre las vulnerabilidades de seguridad explotadas durante el ataque.

Como ya os dijimos entonces, La filtración de 23andMe finalmente afectó a casi 7 millones de personasaunque el acceso inicial se realizó a través de aproximadamente 14.000 cuentas, que se vieron comprometidas mediante ataques de relleno de credenciales y utilizaron contraseñas recicladas. El verdadero problema fue la aparición posterior de la función DNA Kinship, que fue diseñada para conectar a los usuarios con coincidencias genéticas, lo que permitió a los atacantes ampliar enormemente el alcance del robo de datos. Para empeorar las cosas, La empresa tardó unos cinco meses en descubrir la intrusión.Este plazo es difícil de justificar cuando se trata de información genética muy sensible.

Pero el mayor impacto en la reputación de 23andMe puede no ser el hack en sí, sino cómo decide manejarlo. compañía La selección inicial culpó a algunos usuarios por reutilizar contraseñas no segurasesta explicación, si bien no es del todo errónea, evita abordar una pregunta bastante obvia: ¿Cómo es posible que no exista una autenticación multifactor obligatoria en el caso de un servicio de este nivel de sensibilidad? La compañía también ha minimizado públicamente el valor de algunos de los datos robados, a pesar de que incluían relaciones familiares, ascendencia genética y otra información extremadamente sensible. Hemos criticado duramente esta estrategia de comunicación y los fiscales de California ahora la están poniendo bajo la lupa.

El caso llega en un momento especialmente delicado para la empresa. Después de declararse en quiebra en 2025, 23andMe terminó bajo el paraguas del Instituto TTAM, una organización sin fines de lucro fundada y dirigida por la cofundadora y ex directora ejecutiva de la compañía, Anne Wojcicki. Los nuevos operadores quieren alejarse rápidamente de la demanda, Insistiendo en que se refiere únicamente a hechos anteriores a su creación, y asegurando que sus objetivos actuales son promover la investigación médica y educativa y tener un fuerte compromiso con la privacidad y la ética. Pero el daño heredado a la reputación sigue siendo enorme.

Hay algunas cosas importantes aquí que no se pueden ignorar. Cuando hablamos de filtraciones de datos, normalmente pensamos en correos electrónicos, números de teléfono e incluso credenciales bancarias, que son graves pero, hasta cierto punto, reversibles. En el caso de 23andMe, estamos hablando de algo completamente diferente: información genética, antecedentes familiares, condiciones médicas subyacentes y perfiles de relación inmutables. El comportamiento de las autoridades estadounidenses no sorprende Se presta especial atención al posible uso discriminatorio de determinados datos. Relacionados con la raza, la ascendencia o los vínculos familiares, especialmente en el contexto de crecientes delitos de odio.

Quizás la profunda lección que dejó el incidente de 23andMe sea muy simple, pero ha perturbado profundamente a toda la industria tecnológica. Hay algunas áreas en las que improvisar medidas de seguridad no debería ser una opción, y la genética es claramente una de ellas. Porque la contraseña ha sido cambiada. ADN, no.