¿Qué sucede cuando los hackers obtienen tu ADN?

A finales de 2023, la compañía de pruebas de ADN23 yDetectan una infracciónque comprometió los datos personales y genéticos de millones de usuarios[1] ElA diferencia de un típico incidente de ciberseguridad que involucra contraseñas o información de pago, este ataque expuso profundas ideas personales - detalles de ancestros, marcadores genéticos, conexiones familiares - que son:impossible to reset.

Esta violación fue un punto de inflexión en la era de la salud digital y la biometría. rompió las suposiciones sobre las plataformas de genética de los consumidores, reveló los riesgos en cascada de la autenticación débil y encendió el escrutinio regulatorio en todo el mundo.

La violación no ocurrió aislada. 23andMe había luchado durante mucho tiempo para construir un modelo de negocio sostenible. Después de llegar al público, no logró convertirse en un beneficio, dependiendo en gran medida de las ventas de kit de una sola vez sin construir fuertes flujos de ingresos recurrentes. Su intento de invertir en la terapia también falló en ganar tracción. Estos problemas estructurales crearon una base frágil, una que dejó a la empresa especialmente vulnerable cuando ocurrió la violación.final blow, agravando las presiones legales, de reputación y operativas que ya habían estado aumentando.

Este informe ofrece aExamen completo de la violación de 23andMe¿Qué ocurrió, cómo los atacantes explotaron las debilidades del diseño, el alcance y la sensibilidad de los datos expuestos, las consecuencias regulatorias y legales, comparaciones con otros incidentes de biotecnología, y lecciones actuables para cualquierasafeguarding biometric or genomic data.

1. What Happened: Timeline, Method, and Exposure

Credential Stuffing at Scale

En octubre de 2023, un hacker que se llamaba "Golem" comenzó a filtrar conjuntos de datos supuestamente robados de las cuentas de 23andMe.[2] ElLos datos fueron clasificados por grupos étnicos -inicialmente judíos Ashkenazi y chinos- indicando una posible intención de dirigir a poblaciones específicas.[3] ElLa fuga finalmente se expandió para incluirover 6.9 million profiles [1] El.

A diferencia de una infraestructura de explotación tradicional, esta violación dependía decredential stuffing: la inyección automática de las combinaciones de contraseñas de usuario infringidas de otras plataformas en el portal de inicio de sesión de 23andMe.14,000 accountsfueron accedidos directamente, pero la participación de cada cuenta en la función "Relaciones de ADN" permitió al atacante raspar los datos de perfil de millones de usuarios relacionadosEl [4].

Timeline of Events

• April–September 2023: Credential stuffing attack launched, slowly compromising thousands of accounts.

• October 2023: Reddit post reveals 23andMe user data being sold on the dark web.

• October 2023: 23andMe publicly discloses the breach.

• October 2023: A class-action lawsuit is filed.

• November 2023: 40% workforce reduction.

• October 2024: $30 million legal settlement, mostly covered by cyber insurance.

• April 2024: CEO Anne Wojcicki proposes taking the company private—rejected by the board.

• September 2024: Entire board resigns due to strategic disagreements.

• March 2025: 23andMe files for Chapter 11 bankruptcy and Wojcicki steps down.

• March, 2025: 23andMe has proposed an auction for the sale of its assets [6].

  
  

Notablemente, este expediente de quiebra no implica una liquidación inmediata (como en el capítulo 7) sino más bien un intento estratégico de reestructuración de la deuda de la compañía y potencialmente la venta de unidades de negocio mientras se mantienen operaciones limitadas.sensitive data infrastructure could be auctioned, levantando nuevas preocupaciones sobre el destino de los datos de ADN de los usuarios.

What Was Leaked

La violación expuso a ambosdirect user account datayconnected profile data, incluyendo a :

• Full names, usernames, profile photos

• Genetic ancestry reports, haplogroup information

• Birth years, locations, family surnames

• Ethnicity percentages and geographic origin data

• Connections to relatives via DNA Relatives

  
  

Aunque inicialmente se creía que excluía los archivos genéticos crudos, posteriores revelaciones confirmaron quesome health reports and raw genotype datahabían sido descargados antes de que 23andMe deshabilitara el acceso[5] El.

A principios de 2025, como parte de sus procedimientos del capítulo 11, 23andMe anunció planes paraauction off corporate assets—incluyendo datos de usuarios potencialmente sensibles o infraestructura relacionadaEn el [6]Esta medida despertó una nueva crítica de los defensores de la privacidad preocupados de que los datos genómicos podrían ser vendidos como parte de un proceso de quiebra.

2. Genomic Privacy and the Permanence Problem

La violación encendió nuevos temores sobregenetic identity theft—un riesgo que es cualitativamente diferente de las fugas tradicionales de PII. los datos de ADN no sólo son inalterables; esinherently socialEl perfil genético de una persona también revela información sobre sus parientes, grupo étnico y potenciales predisposiciones de salud.

Weaponization of Genetic Data

Al etiquetar y segmentar conjuntos de datos por etnia (por ejemplo, “Chino”, “Ashkenazi judío”), los atacantes introdujeron el potencial para que los datos genéticos se utilizaran pararacial profiling or targeted harassmentLos expertos señalaron la posibilidad de que estos datos se utilicen para:

• Identificar individuos o familias a partir de los datos de la genealogía
• Personas minoritarias con discurso de odio o desinformación
• Riesgos de enfermedad hereditaria o rasgos estigmatizantes

Esta violación hizo que las preocupaciones abstractas sobre la privacidad genómica fueran dolorosamente reales[3] El.

DarkOwl reveló que la violación fue la primeraadvertised on Hydra Marketen agosto de 2023 por un usuario llamado Dazhbog, que afirmó poseer300TB of DNA data for saleEl Targetingethnic groups and geographiesMás tarde, un actor de amenazas conocido como Golem publicó porciones de los datos en los Foros de Telegram y Breach, algunos de ellos supuestamente temporizados en respuesta a laOctober 7 Israel-Gaza conflictEsto supone no sólo una motivación económica, sino también unageopolitical onedóndegenetic data was deliberately weaponizedpara provocar tensión e incitar al daño[14] El.

Pero los riesgos se extienden aún más.Una vez que tu ADN se ha filtrado, no se puede cambiar.permanent identifier—y eso abre la puerta a un mal uso mucho más oscuro:

Las 5 principales amenazas del uso indebido de datos genéticos

1. Biometric Identity Theft / Impersonation – DNA used to forge identities in biometric systems; irreversible and uniquely tied to you.

2. Framing or Incrimination via DNA Planting – Genetic evidence can be fabricated and planted at crime scenes, leading to false accusations.

   
   

   Real-world example: In 2009, Israeli scientists from Nucleix published a paper titled Fabricating DNA Evidence, proving that fake DNA could be created using a real profile and standard lab equipment—enough to pass forensic authentication.

   
   

3. Targeted Bioweapons – Biological weapons could theoretically be designed to exploit specific genetic vulnerabilities in individuals or ethnic populations.

4. Familial Exposure and Privacy Breach – Your genome contains sensitive information about your relatives—none of whom may have consented to its exposure.

5. Genetic Discrimination by Insurers and Employers – Individuals could face denial of coverage, increased premiums, or lost job opportunities based on genetic predispositions, even in regions with legal protections.

   
   

Ejemplo del mundo real: En 2009, científicos israelíes de Nucleix publicaron un artículo titulado Fabricating DNA Evidence, demostrando que el ADN falso se podía crear utilizando un perfil real y equipos de laboratorio estándar, lo suficiente para pasar la autenticación forense.

Long-Term Implications

Al igual que la violación del OPM de 2015 levantó preocupaciones sobre el futuro uso indebido de las huellas dactilares robadas[ ] 13, el incidente 23andMe plantea una perspectiva frenética:what could adversaries do with stolen genetic data five or ten years from now?Desde los ataques de ingeniería social personalizados hasta el perfilamiento discriminatorio, los usos potenciales solo están empezando a surgir.

Si los usuarios pierden la confianza en la capacidad de una plataforma para salvaguardar su ADN, pueden abandonarlo por completo, estancando la investigación genética y el diagnóstico comercial.

3. Why Security Controls Failed

La violación de 23andMe no fue un caso de una intrusión sofisticada a través de días cero técnicos; fue un fracaso debasic security hygieneyfeature design.

Authentication and Monitoring Weaknesses

Los atacantes usaron el relleno de credenciales para obtener acceso.Mientras que los usuarios cargan alguna culpa por el reuso de contraseñas, elplatform failed to enforce two-factor authentication (2FA)por defecto hasta después de la infracciónEl [4].

Key gaps included:

• 2FA was optional, not mandatory.

• Login attempts from unusual IPs or behaviors went undetected for months.

• There were no apparent safeguards against automated scraping once logged in.

  
  

La violación persistió durante cinco meses, de abril a septiembre de 2023, sin desencadenar alarmas efectivas.[5] El.

Abuse of DNA Relatives Feature

Los atacantes no explotaron una vulnerabilidad: usaron el sistemaexactly as intendedLa función DNA Relatives permite a los usuarios ver datos sobre individuos genéticamente relacionados.Una vez que un atacante accedió a una única cuenta, podían raspar sistemáticamente información dehundreds or even thousands of genetic matches.

Esto no fue sólo una ruptura en la autenticación. Reflejó unfailure to anticipate how product features could be weaponized, especialmente en contextos geopolíticos volátiles.La violación coincidió con el aumento de las tensiones en el conflicto israelí-palestino, y afectó desproporcionadamente a individuos identificados como judíos Ashkenazi o chinos - levantando preguntas sobre el motivo y la intención.

Es un recordatorio de que el riesgo no es estático, al igual que los elementos de la tierra rara se hicieron estratégicamente valiosos con el ascenso de los semiconductores,the value of certain datasets can spike in response to world events- y así puede la motivación para explotarlos.

4. Legal and Regulatory Consequences

La escala y la naturaleza de la violación de 23andMe provocaron repercusiones legales inmediatas y un control regulatorio intensificado, especialmente dado que los datos genéticos se tratan comosensitive personal databajo leyes como el GDPR, el CCPA y varios estatutos de privacidad biométrica a nivel estatal.

Lawsuits and Settlements

Dentro de semanas de que la violación se hizo pública, 23andMe se enfrentó a múltiples demandas de acción colectiva en los Estados Unidos, alegando negligencia, violación de contrato y incumplimiento de la protección de datos de salud sensibles.[5] El.

En marzo de 2024 la compañía acordó a$30 million settlementMientras que 23andMe no admitió malos actos, el acuerdo les obligó a introducir reformas generalizadas, incluyendo:

• Mandatory two-factor authentication for all users

• Regular cybersecurity audits

• Clear deletion policies for inactive accounts

• Enhanced breach notification protocols

  
  

Federal and State Regulatory Scrutiny

ElFederal Trade Commission (FTC)ya había tomado medidas contra otra empresa de pruebas de ADN, 1Health/Vitagene, por prácticas engañosas y seguridad laxa en 2023En el [6]Ese caso estableció un precedente: las empresas de pruebas genéticas pueden ser investigadas bajo la Ley de la FTC paraunfair or deceptive data practices, especialmente cuando los consumidores están equivocados acerca de cómo su ADN será usado o almacenado.

Después de la violación,California’s Attorney GeneralDestacó la importancia de la privacidad genómica y recomendó que los consumidores revisen sus configuraciones de cuenta y preferencias de intercambio de datos.[7 ].

Si los clientes europeos de 23andMe fueron afectados, los reguladores bajo laGeneral Data Protection Regulation (GDPR)Los datos genéticos se clasifican bajo el RGPD como un“special category”requerir consentimiento explícito y protecciones adicionales.Un incumplimiento de dichos datos podría desencadenarfines of up to 4% of global revenue.

TOS Controversy

A raíz de la violación, 23andMe actualizó controvertidamente suTerms of Service to prohibit class-action lawsuitsLos críticos, incluidos grupos de derechos digitales, acusaron a la compañía de tratar de limitar la responsabilidad legal.La FTC había advertido previamente en otros casos de que los cambios retroactivos a los términos de privacidad sin el consentimiento del usuario podrían ser motivos para la ejecución.En el [6].

5. Reputational Fallout and Industry Comparisons

Trust Lost, Brand Damaged

Para una empresa como 23andMe – construida sobre la confianza del consumidor – el daño fue existencial.most personal data, y cualquier violación puede provocar miedo y reacción duradera. En este caso, el resultado fue rápido y severo.

En marzo de 2025, menos de dos años después de la violación, 23andMe presentóChapter 11 bankruptcy, citando un colapso en la demanda del consumidor y un golpe de reputación que no pudo recuperarse de[7 ]El valor de mercado de la compañía había caído más del 99% de su pico, y los intentos de vender el negocio fracasaron.

Aunque otros factores de mercado estuvieron en juego, incluida la saturación de las pruebas directas al consumidor, la violación se ve ampliamente como un problema.triggering eventque erosionó la lealtad del cliente y la viabilidad del negocio.

Other Biotech Breaches: Lessons from Peers

El incidente 23andMe es parte de un patrón creciente:

• MyHeritage (2018): Una violación expuso 92 millones de combinaciones de correo electrónico / contraseña, aunque los datos genéticos no fueron filtrados gracias a los sistemas segregados [9].
• Centro de Diagnóstico de ADN (2021): Números de Seguridad Social expuestos y registros de pruebas para 2 millones de usuarios debido a fallas del sistema heredado [11].
• GEDmatch (2020): Las configuraciones de privacidad fueron resetadas en una violación que expuso datos genéticos a las búsquedas de la ley sin el consentimiento del usuario.
• Ancestry’s RootsWeb (2017): las credenciales de los usuarios se filtraron a través de un servidor mal configurado, aunque no se comprometió ningún dato genético [10].

¿El patrón clave?Credential-based breaches and weak privacy controlsLa violación de 23andMe se destaca por la escala de su exposición genómica y sus consecuencias empresariales a largo plazo.

6. 23andMe Breach: Lessons and Security Recommendations

La violación de 23andMe subraya un patrón que los equipos de ciberseguridad deben abordar: abuso de características, autenticación débil y confianza excesiva en los sistemas interconectados.

Key Security Takeaways

• Mandate MFA by Default

  Optional two-factor authentication doesn’t meet the threat model of consumer genomics. Platforms handling sensitive data must enforce MFA for all users—not just as a best practice, but as a formal requirement under OWASP ASVS 2.1.3 (Level 3)

  
  

• Model for Feature Abuse, Not Just Exploits

  DNA Relatives wasn’t “vulnerable” in the traditional sense—but became a powerful data-harvesting tool after account takeover. Security reviews must include abuse-case threat modeling, not just code audits.

  
  

• Detect Anomalous Behavior and Limit Overuse

  The attackers operated slowly and quietly. Behavioural monitoring and granular rate limiting are essential for catching “low-and-slow” attacks that bypass basic alerting.

  
  

• Encrypt and Segment Critical Data Assets

  MyHeritage avoided deeper fallout in 2018 because DNA data was logically separated and encrypted. 23andMe’s architecture exposed too much once authenticated. Access control must extend beyond login.

  
  

• Practice Data Minimization by Design

  Retention policies shouldn’t wait for litigation. Deleting dormant accounts and minimizing data collection reduces blast radius and aligns with modern privacy principles.

  
  

• Detection Lag Is a Threat Multiplier

  It took over five months for 23andMe to detect the breach. That’s five months of unchecked data exfiltration—long after the breach had gone public on criminal forums.

  
  

• Cyber Insurance Doesn’t Guarantee Survival

  Even though 23andMe’s policy reportedly covered $25M of a $30M legal settlement, it couldn’t salvage the brand or stop the downward spiral. Insurance is not a substitute for security.

  
  

• Own the Narrative During Incident Response

  Pointing fingers at users damaged trust. A strong response requires clear communication, visible change, and a shared sense of accountability.

  
  

  For a closer look at what 23andMe actually fixed in the aftermath, Demyd Maiornykov breaks it down here.

  
  

Conclusion

23 La violación será recordada no sólo por lo que fue expuesto, sino por lo que reveló: elfragility of trust in platforms built on personal identity dataA diferencia de las violaciones en Equifax o Anthem, esta afectó a la identidad genética, información que no puede ser cambiada, revocada o fácilmente reasegurada.

Para ser claros, la violación no hundía a la compañía de una sola mano.Fue el golpe final en un desalojo más largo.El rendimiento de las acciones ya había estado disminuyendo, y el incidente amplificó las preocupaciones más amplias sobre la seguridad de la plataforma, la viabilidad de los negocios y la confianza pública a largo plazo.

Aquí también hay lecciones estructurales más profundas.Cyber insurance didn’t save the company.El daño a la reputación fue demasiado grande, y el giro hacia el desarrollo de medicamentos fracasó.La ejecución estratégica no pudo seguir con las expectativas de los inversores; fundamentalmente, una prueba de ADN de una vez no es un modelo de negocio sostenible.

La violación no fue causada por un único bug o explotación. Fue el producto de elecciones de diseño sistémicos que priorizaron el acceso sobre la restricción.age of genomic and biometric data, cybersecurity must evolve beyond perimeter controlsDebe proteger las relaciones entre los conjuntos de datos, no sólo los datos mismos.

Para las empresas de biotecnología, la seguridad ya no puede sentarse en el backend.woven into architecture, user experience, and data governance from day onePorque en la genómica, la confianza no es un valor añadido, es toda la proposición de valor.Y una vez que se rompe, puede que no haya manera de recuperarlo.

Data breaches are evolving. Is your security strategy keeping up?

Un check-the-box pentest no lo cortará si está manejando datos genómicos o de salud.real-world threat modelling, deOWASP-driven testing, ycompliance-aligned reportsConstruido paraHIPAA, FDA, and MDRlos entornos.

Reserva tu biotecnología hoy

References

1. Wikipedia - 23andMe Datos en línea
2. ArXiv - Análisis de Credenciales y 23andMe
3. EFF - Qué hacer si estás preocupado por la violación de 23andMe
4. Estrategias de riesgo - Comprender la violación de 23andMe y asegurar la ciberseguridad
5. BleepingComputer: 23andMe pagará 30 millones de dólares por violación de datos genéticos
6. La ley de Bloomberg - 23andMe Demise pone la información de ADN de 15 millones de usuarios en bloque de subasta
7. Reuters - 23andMe archiva por la quiebra del capítulo 11 para venderse
8. FTC - 1Health (Vitagene) no protegió los datos de ADN, cambió los términos de privacidad
9. MyHeritage confirma que 92 millones de cuentas de usuarios han sido comprometidas
10. Twingate – Ancestry Data Breach a través de RootsWeb
11. TechTarget – Centro de Diagnóstico de ADN alcanza $ 400K de liquidación después de la violación de datos
12. OWASP ASVS – Requisitos de autenticación (2.1.3)
13. Reuters: 56 millones de huellas dactilares robadas en violación de OPM
14. DarkOwl - 23andMe sufre violación de datos