Señalización en 23andMe Sede en Sunnyvale, California, EE. UU., El miércoles 27 de enero de 2021.
David Paul Morris | Bloomberg | Getty Images
Las pruebas de ADN se han convertido en una herramienta valiosa para aficionados y genealogistas novatos. Para algunos, aprender que son la décima prima de Paul Revere o el 15 gran sobrino eliminado cuatro veces del último rey de Prusia, vale la pena el riesgo percibido de compartir una muestra de ADN. Pero, ¿qué sucede cuando la empresa que recolecta el ADN se declara en quiebra?
Esa fue la pregunta que se planteó para millones de estadounidenses la semana pasada cuando 23andMe, la compañía que popularizó las pruebas genéticas del consumidor y tenía un respaldo temprano de Google, se declaró en bancarrota, lo que llevó a una ola de llamadas a los estadounidenses a eliminar su ADN de la base de datos de la compañía.
Si bien no está 100 por ciento claro si las llamadas de «eliminar su ADN» estaban justificadas, los expertos en privacidad están alarmados y los estadounidenses que habían tomado la prueba genética tomaron el consejo en serio.
Según los datos de la compañía de análisis de tráfico en línea, SimilingWeb, el 24 de marzo, el día del anuncio de bancarrota, 23andMe recibió 1,5 millones de visitas a su sitio web, un aumento del 526% desde un día anterior. Según SimilarWeb, se realizaron 376,000 visitas para ayudar a las páginas específicamente relacionadas con la eliminación de datos, y se realizaron 30,000 a la página de atención al cliente para el cierre de la cuenta. Al día siguiente, esa cifra aumentó a 1,7 millones de visitas, y Rraffic para la página de ayuda de Delete Data alrededor de 480,000.
Margaret Hu, profesora de derecho y directora del Laboratorio de Democracia Digital de la Facultad de Derecho de William & Mary, cree que los estadounidenses hicieron el movimiento correcto. «Este desarrollo es un desastre para la privacidad de los datos», dijo Hu. En su opinión, la bancarrota 23andMe debería servir como una advertencia de por qué el gobierno federal necesita fuertes leyes de protección de datos.
En algunos estados, señaló Hu, el gobierno está asumiendo un papel activo en el asesoramiento de consumidores. La Oficina del Fiscal General de California insta a los californianos a eliminar sus datos y que 23andMe destruyan muestras de saliva. Pero Hu dice que eso no es suficiente, y dicha guía debe proporcionarse a todos los ciudadanos estadounidenses.
Las posibles implicaciones de seguridad nacional de los datos de 23andMe que caen en las manos equivocadas no son nuevas. De hecho, el Pentágono había advertido previamente al personal militar que estos kits de ADN podrían representar un riesgo para la seguridad nacional.
Exponer el ADN recolectado de los consumidores tampoco es un problema nuevo para 23andMe. En 2023, casi 7 millones de personas que tomaron la prueba genética ya estaban expuestas en una importante violación de datos de 23andMe. La compañía firmó un acuerdo que involucró un acuerdo de $ 30 millones y una promesa de monitoreo de seguridad de tres años.
Pero Hu dice que la bancarrota hace que la empresa y sus datos, especialmente vulnerables ahora.
Investigación de drogas y datos de pruebas genéticas
Una de las cosas notables sobre la mentalidad de los consumidores en los primeros años de la popularización de las pruebas genéticas fue que la mayoría de los usuarios optaron por compartir su ADN con fines de investigación, hasta el 80% en los años en que 23andMe estaba creciendo rápidamente. Luego, a medida que el mercado para la venta del consumidor de los populares kits de prueba de ADN alcanzó la saturación antes de lo esperado, 23andMe se centró más en las asociaciones de investigación y desarrollo con compañías farmacéuticas como una forma de diversificar sus ingresos.
Actualmente, cuando 23andMe vende datos genéticos a otras compañías de investigación, la mayoría se usa en un nivel agregado, como parte de millones de puntos de datos que se analizan en su conjunto. La compañía también elimina la identificación de datos de los datos genéticos, y no se incluye información de registro (como un nombre o correo electrónico). Los investigadores de datos necesitan, como la fecha de nacimiento, se almacenan por separado de los datos genéticos y se comparten con IDS asignadas al azar.
Hu se encuentra entre los expertos interesados en que estas prácticas podrían cambiar por debajo de 23andMe o cualquier nuevo comprador. «En un momento de vulnerabilidad financiera, compañías como las compañías farmacéuticas podrían ver la oportunidad de explotar los beneficios de investigación de los datos genéticos», dijo Hu, y agregó que podrían tratar de renegociar contratos anteriores para extraer más datos de la compañía. «¿La próxima compañía que compra 23andMe hará eso?», Dijo Hu sobre sus políticas de privacidad.
En los últimos días, 23andMe ha dicho que intentará encontrar un comprador que comparta sus valores de privacidad.
23andMe no respondió a una solicitud de comentarios.
Anne Wojcicki, cofundadora y directora ejecutiva de 23andMe presiona el botón, tocando remotamente la campana de apertura de Nasdaq en la sede de la compañía de tecnología de ADN 23andMe en Sunnyvale, California, EE. UU., 17 de junio de 2021.
Peter Dasilva | Reuters
A lo largo de los años desde la fundación de 23andme en 2006, muchos clientes estaban dispuestos a enviar un hisopo para aprender más sobre su historia familiar. Lansing, la residente de Michigan, Elaine Brockhaus, de 70 años, y su familia estaban emocionadas de aprender más sobre su linaje cuando presentaron muestras de su ADN a 23andMe. Pero con la compañía ahora tambaleándose en bancarrota y expertos en privacidad preocupados por lo que les sucede a los millones de personas con muestras de ADN almacenadas, Brockhaus dice que todo ha «causado un poco de alboroto en mi familia».
«Disfrutamos de algunos aspectos de 23 y yo», dijo Brockhaus. «Continuamente refinaron y actualizaron nuestro patrimonio a medida que más personas se unían, y podían identificar a grupos genéticamente relacionados», dijo Brockhaus. Ella pudo aprender más sobre los factores de riesgo para la salud que estaban presentes o no presentes en su pasado.
Ahora, su familia ha completado el círculo en la experiencia 23andMe: algunos miembros inicialmente eran reacios a acompañar, y ahora, dice Brockhaus, todos han eliminado sus cuentas.
Un colapso de una empresa única, pero los riesgos cibernéticos cibernéticos
Pero Brockhaus continúa viendo 23andMe dentro de un mercado de salud del consumidor más grande donde los riesgos no son nuevos, y la información de salud se comparte en todo tipo de entornos donde podrían surgir problemas de seguridad. «Cualquiera que envíe a Cologuard o reciba resultados médicos a través del correo está arriesgando a la exposición», dijo Brockhaus. «Nuestras propias identidades pueden ser robadas con algunas pulsaciones de teclas. Por supuesto, esto no significa que debamos levantar las manos y aceptar ser víctimas, pero a menos que queramos cavar agujeros y vivir en ellas tenemos que estar atentos, proactivos, pero no entrar en pánico», agregó.
Jon Clay, vicepresidente de inteligencia de amenazas de la firma de ciberseguridad, Trend Micro, dice que los consumidores de 23andMe necesitan ver la bancarrota como una amenaza. En cualquier proceso de venta, si los datos no se transfieren y protegen de la manera más segura posible, «está en riesgo de ser utilizados por actores maliciosos para varios fines nefastos», dijo.
Clay cree que los datos de 23andMe son increíblemente valiosos para los ciberdelincuentes, no solo porque es permanente e identificable personalmente, sino también porque puede explotarse por robo de identidad, chantaje o incluso fraude médico.
«Los ciberdelincuentes pueden usarlo para atacar a los consumidores con estafas convincentes y tácticas de ingeniería social, como afirmar fraudulentamente que alguien es una sangre en relación con otra persona o para enviar mensajes engañosos sobre sus posibles riesgos para la salud», dijo Clay. «Las organizaciones que se declaran en quiebra deben garantizar que la seguridad y la privacidad de los datos de sus clientes sean críticas, y cualquier intercambio o venta de datos a otros no debe hacerse», agregó.
Pero otros expertos dicen que la lección de 23andMe es menos sobre el colapso de la compañía y la amenaza de la privacidad que se creó que servir como un recordatorio sobre los riesgos cibernéticos coteros relacionados con la información personal.
«Cuando las personas comienzan a hablar sobre datos personales, olvidan dónde ya están sentados sus datos», dice Rob Lee, jefe de investigación y jefe de facultad de Sans Institute, que se especializa en ayudar a las empresas con seguridad de la información y problemas cibernéticos. Ya sea que esté enviando una muestra de sangre a un laboratorio privado o deshacerse de una computadora portátil para actualizar a una nueva, «sus huellas digitales se están dejando ahí para que la gente lo encuentre», dijo Lee. «La gente no entiende el alcance, por lo que hay una discusión más grande por ahí, específicamente sobre dónde van los datos?»
Con la información del ADN, hay ciertos factores legales básicos que las personas deberían sopesar antes de golpear a sí mismas y enviar la muestra.
Según Lynn Sessions, un experto en privacidad de la salud y activos digitales y socio en el bufete de abogados Bakerhostetler, la ley federal que cubre la privacidad de la información del paciente, HIPAA, no se aplica a esta situación, y 23andMe no se consideraría una entidad cubierta de HIPAA, o asociado comercial de uno. Pero hay leyes estatales que se aplican a la información genética que estaría en juego, como en California.
Meredith Schnur, directora gerente y líder de ciberseguridad de la compañía de seguros Marsh, cree que el riesgo de la bancarrota de 23andMe para las personas que enviaron sus hisopos es relativamente bajo. «No causa ninguna consternación adicional o acidez estomacal», dijo Schnur. «Simplemente no creo que abre ningún riesgo adicional que ya no exista», dijo, y agregó que la información de muchas personas «ya afuera».
La semana pasada, una cofundadora de 23andMe, Linda Avey, criticó el liderazgo de la compañía. «Sin el desarrollo continuo de productos centrados en el consumidor, y sin gobernanza, 23andMe perdió su rumbo, y la sociedad perdió una oportunidad clave para promover la idea de la salud personalizada», escribió Avey en una publicación en las redes sociales. «Hay muchos cuentos de advertencia enterrados en la historia de 23andMe», dijo Avey.
La bancarrota en sí es el problema que ahora es difícil de ignorar para los consumidores, y hasta que se complete el proceso de venta, las preguntas permanecerán.
«Cuando está en bancarrota, los valores de privacidad de datos no son en lo que realmente está pensando. Está pensando en vender su empresa al mejor postor», dijo Hu. Ese mejor postor, dice Hu, podría tomar los datos genéticos y los datos del perfil del consumidor y vincularlos al venderlos a otros.
Y esa venta inicial que incluye el ADN de millones de personas solo puede ser la primera de muchas transacciones.
«Podría venderlo, pieza por pieza, indiscriminadamente. Y el comprador de esos datos podría ser un adversario extranjero», dijo Hu. «Es por eso que esto no es solo un desastre de privacidad de datos. También es un desastre de seguridad nacional».
