Los datos genéticos de 17 millones de personas, en riesgo de venderse

Es, en suma, un pequeño mapa de una muestra de la humanidad que hoy apenas vale céntimos. Concretamente, su valor de mercado es de 0,30 dólares por acción. En comparación, Meta, la matriz de Facebook, se cotiza a 580 dólares por acción. Microsoft, a 417. No siempre fue así. De hecho, 23andMe ha perdido el 99,9% de su capitalización bursátil, que llegó a alcanzar los 6.000 millones en su punto máximo, cuando salió a mercado en 2021.

Lleva meses esta empresa que ha acumulado una de las bases de datos más fascinantes de Silicon Valley atormentada por la falta de ingresos y la palmaria ausencia de un modelo de negocio. El golpe más contundente, sin embargo, lo recibió el 17 de septiembre, cuando los consejeros independientes presentaron su dimisión inmediata debido a desacuerdos estratégicos con la consejera delegada, Anne Wojcicki.

Esta defendía la necesidad de firmar contratos lucrativos con empresas farmacéuticas para venderles sus datos. De puertas afuera, el objetivo era usar esos árboles genéticos para ayudar a curar el cáncer o enfermedades raras y autoinmunes. En el consejo, preocupaba la mercantilización de los perfiles genéticos.

Tampoco ayudó un hackeo que dejó al desnudo cuán peligrosa puede ser esta información si cae en las manos equivocadas.

Hace un año, en una brecha de seguridad en 23andMe, unos hackers accedieron a datos genéticos y personales de casi siete millones de usuarios, incluyendo información sensible de salud y datos de ascendencia. Los hackers usaron un truco que consiste en probar combinaciones de nombres de usuario y contraseñas que ya fueron robadas de otras páginas.

Como muchas personas usan las mismas contraseñas en varios sitios, los hackers probaron esas contraseñas en las cuentas de 23andMe. Así lograron entrar en algunas de ellas y robar nombres, direcciones y datos genéticos. Una vez dentro de algunas de esas cuentas, aprovecharon una función de 23andMe que permite a los usuarios conectarse con familiares genéticos. Esto les dio acceso a información de los parientes de esas personas, lo que expandió la cantidad de datos robados, llegando a afectar a los siete millones de usuarios en total. Después, los hackers vendieron información perteneciente a un millón de usuarios de ascendencia judía, incluyendo sus nombres, en foros de internet. Esto, justo después del auge de ataques antisemitas tras las agresiones terroristas de Hamás contra Israel. También se vendieron cientos de miles de usuarios con ascendencia china.

Hubo una demanda, aun no resuelta, que alega lo siguiente: «23andMe mintió a sus clientes sobre cómo protegería sus datos, no logró protegerlos adecuadamente de acuerdo con los estándares de la industria, mintió sobre el alcance y la gravedad del ataque, no notificó a sus clientes de ascendencia judía y china que habían sido específicamente atacados, y al final, los expuso a una serie de amenazas».

A los expertos en ciberseguridad les resultó incomprensible, cuando se supo del robo de datos, que 23andMe no tuviera en pie un sistema de verificación de dos factores, dado el tipo de información que atesora. El hecho de que esa información se vendiera en internet revela cuán valiosa es. Más si se le añaden todos los perfiles genéticos que no figuran en los perfiles a los que pueden acceder los usuarios.

Este tipo de empresas que han popularizado el análisis genético parten de un planteamiento muy sencillo: un usuario paga unos 100 dólares por enviar su saliva en un tubito, y en un par de semanas tiene un perfil genético detallado que le adjudica porcentajes étnicos y geográficos. Además, busca conexiones cercanas y distantes entre sus ficheros, ofreciendo conectar con familiares en varios grados de parentesco. También añade recomendaciones médicas, si el cliente las quiere recibir: cánceres hereditarios, riesgo de alzheimer, diabetes, parkinson.

No es un estudio médico y no supone un diagnóstico, sino una evaluación de predisposiciones genéticas basadas en marcadores heredados. Aun así, los resultados pueden tener un impacto significativo en la salud y el bienestar de los usuarios, quienes a menudo toman decisiones importantes basándose en esta información. Según explicó en 2022 Anne Wojcicki, la consejera delegada, «la misión principal de 23andMe es la transparencia y la elección. Es la elección de si quieres obtener tu información genética, la elección de si quieres participar en investigaciones y la elección de no hacer ninguna de estas cosas».

Y ahí está el problema de 23andMe. Tras recibir sus informes con sus mapas y sus perfiles genéticos, el cliente desapareció. La empresa trató de retenerle, con membresías que ofrecen todo tipo de actualizaciones, nuevos informes, más contactos familiares. Pero los clientes no le vieron sentido a tener que pagar entre 70 y 500 dólares al año por tener que estar haciendo constantemente pruebas para definir su perfil genético. (Si se les eriza la piel, si duermen bien o mal, si los espárragos afectan al olor de los orines, ese tipo de cosas).

Con eso, la consejera delegada optó por acercarse a las farmacéuticas, para venderles su bien más preciado: información de clientes. Es en teoría, oro: qué riesgos existen, qué medicamentos podrían ser más efectivos o necesarios, qué combinaciones de medicamentos pueden ser mejores.

En 2018, 23andMe acordó una asociación exclusiva de cinco años para el desarrollo de medicamentos con GlaxoSmithKline (GSK), empresa farmacéutica y biotecnológica con sede en Londres. Esta también invirtió 300 millones de dólares en la compañía. En 2022, GSK ejerció una opción para pagar 50 millones de dólares y extender el contrato exclusivo por otro año. El pasado octubre, GSK pagó a la empresa otros 20 millones de dólares por una licencia de datos que no es exclusiva, y se pueden vender a más farmacéuticas.

Anya Prince, profesora de derecho en la Universidad de Iowa, que se centra en la privacidad genética, explica que esos datos se pueden comercializar porque las protecciones federales de privacidad de la salud en EE.UU. no se aplican en este caso, ya que 23andMe está fuera del ámbito de la atención médica, pues no ofrece atención y tratamiento, sino información. «Si los clientes están realmente preocupados por el uso de sus datos, deben pedir que sus muestras sean retiradas de estas bases de datos bajo esas leyes», asegura.

Unas leyes promulgadas en 1996 en EE.UU. tienen como objetivo proteger la privacidad y seguridad de la información médica de la ciudadanía. Estas regulaciones garantizan que la información médica personal solo sea compartida con el consentimiento del paciente o bajo ciertas condiciones, y establecen normas para proteger los datos de salud almacenados electrónicamente contra accesos ilícitos. Es decir, cada vez que un médico comparte información, el paciente debe dar su consentimiento expreso. En este caso de los perfiles genéticos, no. La empresa puede disponer de los ficheros como considere. Según Prince, un 80% de usuarios de 23andMe no han solicitado que no se venda su información, porque esto suele caer dentro de la letra pequeña.

La consejera delegada, Wojcicki, trató de comprar la empresa y retirarla del mercado, ofreciendo un precio de 40 céntimos por acción. De haberlo logrado, hubiera podido avanzar con planes de comercializar esa información, pero la dimisión de su propio consejo se lo impidió. Cuenta con fondos para ello. Estaba casada con un fundador de Google, Sergei Brin, y se divorciaron por una infidelidad de él en 2015.