California ha demandado a la antigua estructura de la empresa de pruebas de ADN 23andMe por presuntas deficiencias de seguridad y declaraciones engañosas en relación con la filtración de datos que se produjo en 2023.
El 27 de mayo de 2026, el fiscal general Rob Bonta presentó una demanda ante el Tribunal Superior de San Francisco contra Chrome Co., la empresa que actualmente gestiona los activos restantes de 23andMe tras su quiebra.
La demanda presentada por California acusa a 23andMe de no haber aplicado medidas de seguridad razonables para proteger los datos confidenciales y alega el incumplimiento de varias leyes estatales en materia de privacidad y protección del consumidor. Asimismo, acusa a la empresa de realizar declaraciones engañosas sobre sus prácticas de seguridad.
La filtración de 2023 utilizó tácticas tradicionales de «credential stuffing» contra la página de inicio de sesión de 23andMe. Los atacantes operaron dentro de los sistemas durante aproximadamente cinco meses sin que nadie se diera cuenta. El alcance directo de la filtración fue moderado, ya que afectó a unas 14 000 cuentas, pero eso fue todo lo que los atacantes necesitaron para robar los datos de algo menos de siete millones de clientes.
Los intrusos accedieron a esas cuentas a través de «Parientes por ADN», la función estrella de la plataforma, que permitía a los usuarios determinar con quiénes estaban emparentados mediante la similitud del ADN. La demanda alega que un grave error de programación en dicha función permitió a los autores extraer datos de millones de usuarios relacionados por vínculos biológicos.
La defensa basada en culpar a la víctima se convirtió en una prueba
Una vez que se hizo pública la filtración, 23andMe envió una carta a los representantes legales de las víctimas en la que culpaba a los usuarios por reutilizar contraseñas de sitios web que ya habían sido vulnerados anteriormente. Según la empresa, los datos filtrados se habían compartido por voluntad propia de los usuarios y no causarían «perjuicio económico».
Sin embargo, los perjuicios derivados del robo de datos genéticos van mucho más allá de las pérdidas económicas. La información genética sustraída permitió a los ladrones determinar los orígenes genéticos de una persona.
Según se ha informado, los datos se pusieron a la venta en la dark web utilizando esta información como reclamo, lo que permitía a los vendedores ofrecer registros de clientes de origen asiático, americano o de las islas del Pacífico (AAPI) o de origen judío, por ejemplo. La oficina de Bonta señaló que, en aquel momento, la violencia antisemita estaba en aumento.
A pesar de que la carta intentaba culpar a los usuarios, solo unas 14 000 cuentas se vieron directamente afectadas por la reutilización de contraseñas. El resto de los datos se filtraron, al parecer, a través del propio producto de 23andMe. Según la denuncia, el error de programación en «DNA Relatives» dejó al descubierto los datos de cualquier persona que se hubiera suscrito al servicio, y no solo los de quienes estaban vinculados a las 14 000 cuentas afectadas.
¿Puede el Estado reclamar una indemnización por daños y perjuicios?
California pretende imponer sanciones legales que oscilan entre los 1.000 y los 7.500 dólares por infracción. Dado que 855.541 californianos se encuentran entre los usuarios afectados, los costes podrían dispararse rápidamente.
La pregunta es cuánto de esa cantidad recaudará el Estado si gana el caso. 23andMe se acogió al Capítulo 11 de la ley de quiebras en marzo de 2025 y, posteriormente, vendió la mayor parte de sus activos —incluidos los datos genómicos de más de 15 millones de clientes— al TTAM Research Institute, una organización sin ánimo de lucro fundada por la exdirectora ejecutiva de 23andMe, Anne Wojcicki. California y varios otros estados se opusieron a la venta alegando Privacy de la Información Genética, pero un juez federal de quiebras la aprobó. Los estados están ahora apelando esa decisión.
Chrome Co., la sociedad instrumental en la que se ha convertido 23andMe, recibió 305 millones de dólares por esa venta. Pero otros ya se han repartido lo que queda.
Otros organismos reguladores ya han tomado medidas. La Oficina del Comisionado de Información del Reino Unidoimpuso una multa de 2,31 millones de libras esterlinas a 23andMe en junio del año pasado, tras una investigación conjunta con el Privacy de Canadá. Un tribunal federal aprobó inicialmente un acuerdo de demanda colectiva por valor de 30 millones de dólares que abarcaba la mayoría de las reclamaciones de los clientes estadounidenses. Posteriormente, dicho acuerdo se elevó a 50 millones de dólares y recibió la aprobación definitiva en enero de 2026.
Qué pueden hacer los clientes
Si te has hecho la prueba con 23andMe, siguen siendo válidas las medidas de seguridad habituales en caso de filtración. Cambia cualquier contraseña que hayas reutilizado en otros sitios web y activa la autenticación multifactorial siempre que sea posible. El «credential stuffing» solo funciona con nombres de usuario y contraseñas que ya se hayan filtrado en otros sitios. Además, mantente alerta ante los ataques de phishing que mencionen a 23andMe o la propia filtración. Y quizá deberías sopesar las ventajas de utilizar servicios de pruebas de ADN frente a los riesgos de seguridad.
Porque hay un aspecto de todo esto que ninguna multa ni acuerdo puede resolver: los datos genéticos robados y vendidos en la dark web no se pueden recuperar. Las contraseñas se pueden cambiar. El ADN, no.
Navega como si nadie te estuviera mirando.
Malwarebytes Privacy VPN tu conexión y nunca registra lo que haces, así que la próxima noticia que leas no tiene por qué parecerte algo personal.Pruébalo gratis →
