El fiscal general de California presentó una demanda el jueves contra la compañía anteriormente conocida como 23andMe, acusando al servicio de pruebas genéticas de no proteger los datos de los clientes durante una violación de 2023.
La filtración de datos afectó a casi 7 millones de personas en todo el país, incluidos más de 850.000 californianos, según un comunicado de Atty. Oficina del general Rob Bonta.
Los datos expuestos contenían material sensible, como información genética sin procesar e informes de salud. Los piratas informáticos pusieron los datos a la venta en la web oscura en 2023, dijo Bonta.
23andMe se declaró en quiebra el año pasado y fue adquirida por TTAM Research Institute, una organización sin fines de lucro dirigida por la ex directora ejecutiva de la compañía, Anne Wojcicki. Bonta presentó una demanda contra Chrome Holding Co., una subsidiaria de TTAM y el nombre de deudor corporativo con el que operaba 23andMe durante la quiebra.
“23andMe recopiló datos genéticos sobre millones de personas, no cumplió con su obligación bajo la ley de California de mantener esa información segura y luego mintió a los consumidores sobre la gravedad de su violación de datos de 2023”, dijo Bonta en un comunicado.
Una investigación de 2023 realizada por el Departamento de Justicia de California encontró que los piratas informáticos pudieron operar dentro de los sistemas de 23andMe durante cinco meses sin ser detectados. 23andMe solo comenzó a investigar una vez que los datos se pusieron a la venta en la web oscura, según la investigación.
Los piratas informáticos utilizaron una táctica común conocida como relleno de credenciales para acceder a los datos, que explota contraseñas débiles y reutilizadas.
«Las empresas, particularmente aquellas que recopilan y mantienen datos personales y genéticos sensibles, pueden y deben saber cómo protegerse contra» el relleno de credenciales, según el comunicado del fiscal general.
Según la denuncia presentada esta semana ante el Tribunal Superior de San Francisco, 23andMe «engañó a los consumidores y no tomó las medidas obvias necesarias para salvaguardar la información personal confidencial de sus clientes».
23andMe se fundó en San Francisco en 2006 y popularizó las pruebas genéticas en el hogar, permitiendo a los clientes enviar una muestra de saliva y recibir un análisis de ADN.
En su apogeo, 23andMe estaba valorada en 6.000 millones de dólares y atrajo la atención de las celebridades, organizando “fiestas de escupitajos” en las que clientes de alto perfil escupían en un tubo para proporcionar su muestra de ADN. Las muestras ayudaron a las personas a descubrir árboles genealógicos completamente nuevos y podrían revelar información de salud importante, como una predisposición genética al cáncer.
Sin embargo, después de su prometedor ascenso, la empresa empezó a ver señales de problemas. Debido a que los usuarios necesitan proporcionar una muestra de ADN sólo una vez para utilizar los servicios de 23andMe, la empresa no logró establecer un modelo de negocio sostenible basado en clientes habituales. Además, 23andMe tuvo dificultades para otorgar licencias de su tecnología a compañías farmacéuticas, lo que podría haber aumentado sus ganancias.
Cuando la empresa se declaró en quiebra en marzo de 2025, había recopilado alrededor de 15 millones de muestras de ADN.
El fiscal general tiene una impugnación legal pendiente por separado en el Tribunal de Quiebras de EE. UU. para el Distrito Este de Missouri con respecto a la venta de información y material genético de californianos en caso de quiebra.
