Datos genéticos, el nuevo tesoro que codician los cibercriminales

Millones de usuarios de la empresa estadounidense de biotecnología 23andme, dedicada a la realización de estudios personalizados del genoma del cliente, han sufrido una filtración de información especialmente sensible, con la que los cibercriminales, además, ya están mercadeando en la 'dark web' por precios que se mueven entre 1 y 10 dólares.

De acuerdo con los mensajes que se están compartiendo en los foros de compraventa del internet oscuro, y han recogido medios especializados estadounidenses, la filtración ha podido afectar a la mitad de los clientes de 23andme, esto es, aproximadamente, unos 7 millones de usuarios. Un millón de ellos, de acuerdo con 'NBC', son de ascendencia judía asquenazí, que es como se denomina a aquellos que se asentaron en territorios de Europa central y oriental. El medio especializado 'Wired', además, apunta que entre los afectados podrían encontrarse empresarios como Elon Musk, Mark Zuckerberg o el cofundador de Google Sergey Brin.

Entre la información que ha quedado al aire en los foros del cibercrimen figuran nombre completo, sexo y fotografías, así como datos médicos y de ascendencia étnica proporcionados por la biotecnológica después de la elaboración de los pertinentes estudios. Un tesoro de datos con el que los cibercriminales tienen todo a favor para hacer negocio, tal y como reconocen varios expertos en ciberseguridad consultados por ABC.

«Estamos hablando de un paquete de datos que puede ser realmente goloso. No creo que los delincuentes tengan demasiados problemas para conseguir compradores», explica Marc Rivero, analista e investigador de amenazas de la empresa de ciberseguridad Kaspersky. Y hay, en concreto, dos grandes peligros a los que los usuarios deben prestar especial atención.

El análisis del ADN puede ayudar a conocer el estado de salud de una persona e, incluso, su predisposición a desarrollar alguna enfermedad con los años. Esta información, sensible hasta el extremo, puede determinar de forma dramática la vida de una persona. Por ejemplo, puede provocar que en un proceso de selección de personal, ante la duda, una compañía se decida a apostar por un candidato que, aparentemente, no corra riesgo de sufrir una enfermedad grave en el medio plazo. Asimismo, puede llevar a que una aseguradora, después de conocer el estudio genético del paciente, opte por no extenderle una póliza por miedo a perder dinero en el proceso. O bien, que el precio que se le pide sea más alto que en otros casos.

«Ese es el principal riesgo para todos los usuarios que se vean afectados por la filtración de 23andme u otra compañía similar», señala Josep Albors, jefe de investigación y concienciación de la empresa de ciberseguridad ESET. «Al final, las aseguradoras son empresas que lo que hacen es analizar riesgos. Un estudio genético les permite saber perfectamente con quién pueden hacer negocio y con quién no. No sería raro que algunos usuarios afectados por esta filtración se encuentren con que, directamente, no pueden acceder a seguros en el futuro», completa el experto.

De acuerdo con 23andme, el robo de datos se ha producido, directamente, en las cuentas de aquellos clientes que habían empleado contraseñas reutilizadas por ellos mismos en otros servicios. Esta técnica, conocida como raspado, es muy habitual entre los cibercriminales. Por eso los expertos en ciberseguridad llevan tiempo alertando sobre la importancia de cuidar las claves haciéndolas siempre únicas e inteligibles.

Y es que, al final, no es lo mismo perder el acceso a una cuenta de redes sociales como Instagram, que sufrir, además de esta, la violación del correo electrónico corporativo, de la banca online y de la plataforma en la que almacenas datos médicos. Y todo por repetir la misma credencial en varios sitios distintos y, además, dejarla tal cual durante largos periodos de tiempo, cuando lo ideal es cambiarla, al menos, un par de veces al año.

En casos como el que afecta a la biotecnológica, los expertos apuntan que tampoco sería extraño que los propios pacientes comiencen a ser víctimas de ciberestafas dirigidas tanto por los criminales originales que se han hecho con sus datos como por aquellos que han pujado por tener acceso a la información en el internet oscuro. Teniendo en cuenta que los delincuentes tienen los correos de las víctimas, e información muy sensible, la probabilidad de que parte de los afectados pasen por el aro y paguen rescates son altas. Desde luego, mucho más que cuando el internauta recibe el clásico correo genérico lleno de faltas de ortografía en el que se le dice que, supuestamente, su cuenta de la banca online ha sido cerrada por un presunto problema de seguridad.

«Pueden intentar extorsionar directamente, de eso no hay duda. Sobre todo a las víctimas más suculentas o influyentes que tienen más que perder y una mayor capacidad económica», dice Albors. El analista de ESET remarca que, los criminales detrás de este 'hackeo' «estadísticamente» tienen una base de datos con la que operar y hacer buen negocio de esta forma; por mucho que la mayoría de los clientes no pique el anzuelo y se niegue a pagar, habrá un porcentaje que, víctima de la preocupación, esté dispuesto a pasar por el aro: «Si se dedican a mandar correos y pedir rescates, sin duda van a conseguir un retorno económico».

El sector de la salud lleva años figurando entre los más afectados por la actividad del cibercrimen. Especialmente desde los tiempos más duros de la pandemia, en los que muchos grupos organizados redoblaron sus esfuerzos para secuestrar centros sanitarios sobrepasados por la emergencia. De acuerdo con un reciente estudio de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) hubo 40 incidentes de ciberseguridad en firmas del sector de la salud europeas. Durante todo 2022 apenas se alcanzaron las 84, lo que indica que la tendencia va a al alza.

Efectivamente, en los últimos meses ha habido varios ataques sonados, como el que afectó al Hospital Clínic de Barcelona y que se saldo con el robo de 4,5 terabytes de datos pertenecientes a pacientes y su posterior filtración después de que el centro se negase a pagar los poco menos de 5 millones de euros que reclamaba la organización detrás del robo. Asimismo, a finales de 2022, un grupo cibercriminal aparentemente relacionado con Rusia pidió un rescate de 10 millones de dólares a la aseguradora australiana Medibank después de robar datos de millones de pacientes con problemas de salud mental, alcoholismo y adicciones, así como a mujeres que se han sometido a un aborto

«Los ciberdelincuentes siempre buscan información sensible, porque es la que mejor pueden monetizar. Cuanto más detallada sea, más dinero van a conseguir en el mercado negro. Por eso se ataca cada vez más al sector de la salud», señala Raul Guillén, director de estrategia de la empresa de ciberseguridad Trend Micro.

Casi la mitad de los ataques sufridos por el sector sanitario, y que han sido analizados por ENISA, perseguían principalmente la exfiltración de datos clínicos de los pacientes. Y esto pasa, precisamente, porque permiten que el cibercriminal no solo se dirija a la clínica o al hospital atacado en busca de un buen botín, sino también al propio paciente, que puede estar dispuesto a pagar de su propio bolsillo el rescate de turno o, incluso, presionar a la empresa que ha perdido los datos para que se pliegue a las exigencias. Por otro lado, está el efecto reputacional y de negocio que puede tener en una compañía el hecho de ser víctima de una filtración de datos de sus clientes. Las pérdidas generadas pueden ser millonarias..