California demanda a 23andMe por filtración masiva de datos genéticos

El Fiscal General de California, Rob Bonta, ha presentado una demanda contra Chrome Holding Co., anteriormente conocida como la popular compañía de pruebas genéticas 23andMe, por una grave falla de seguridad en 2023 que resultó en la filtración de datos de casi 7 millones de usuarios. La acción legal, anunciada este 29 de mayo de 2026, acusa a la empresa de no haber protegido adecuadamente la información personal y genética de sus clientes, la cual terminó siendo vendida en la dark web.

Una Falla de Seguridad con Consecuencias Devastadoras

La demanda se centra en la brecha de seguridad ocurrida en octubre de 2023, la cual afectó a aproximadamente 855,000 californianos y a millones más en todo el país. Según la fiscalía, los ciberdelincuentes utilizaron una técnica conocida como "credential stuffing", aprovechando nombres de usuario y contraseñas filtradas de otras plataformas para acceder a las cuentas de 23andMe. Una vez dentro, explotaron una función de la plataforma llamada "DNA Relatives" para acceder a los perfiles de millones de usuarios conectados.

La información comprometida es de naturaleza extremadamente sensible, incluyendo datos sobre salud, predisposiciones genéticas, ascendencia, etnia y parientes biológicos. De manera alarmante, los datos robados se pusieron a la venta en la dark web, con los hackers destacando específicamente la información perteneciente a usuarios de origen asiático y judío, en un contexto de crecientes crímenes de odio.

Acusaciones de Negligencia y Engaño

La investigación del Fiscal General Bonta concluyó que 23andMe no implementó medidas de seguridad básicas y razonables para proteger la delicada información que manejaba. La demanda alega que la compañía ignoró señales de alerta, como un aumento sospechoso en los intentos de inicio de sesión meses antes de que se detectara la brecha. Además, se acusa a la empresa de engañar a los consumidores y al público sobre la gravedad del incidente, afirmando inicialmente que sus sistemas no habían sido vulnerados.

"23andMe recolectó datos genéticos de millones de personas, falló en su obligación bajo la ley de California de mantener esa información segura, y luego mintió a los consumidores sobre la severidad de su brecha de datos de 2023", declaró el Fiscal Bonta en un comunicado.

Implicaciones Legales y el Futuro de la Privacidad Genética

La demanda invoca violaciones de múltiples leyes de California, incluyendo la Ley de Privacidad de la Información Genética (GIPA) y la Ley de Privacidad del Consumidor de California (CCPA). Este caso subraya la creciente preocupación sobre la seguridad de los datos genéticos, que, a diferencia de una contraseña o un número de tarjeta de crédito, son irremplazables y permanentes.

El caso contra 23andMe, que se declaró en bancarrota en marzo de 2025, sienta un precedente importante sobre la responsabilidad que tienen las empresas del sector de la biotecnología en la custodia de la información más personal de sus clientes. El resultado de esta demanda podría tener un impacto duradero en cómo las compañías de pruebas genéticas manejan la ciberseguridad y la transparencia con sus usuarios.