¿Cómo puede una empresa que se dedica a algo tan delicado como es el análisis y pruebas de ADN olvidarse de que tenía una base de datos “heredada” de 2,1 millones de personas? Para rematar lo ocurrido, un ataque a sus sistemas terminó con el robo de estos datos confidenciales.
La historia tuvo lugar en 2021, cuando unos delincuentes irrumpieron en su red y sustrajeron datos personales de millones de personas, pero no se ha sabido hasta ahora, cuando se ha conocido que la empresa de pruebas genéticas, DNA Diagnostics Center (DDC), llegó a un acuerdo conciliatorio con los fiscales generales de los estados de Ohio y Pensilvania después de que se expusieran los números de seguro social de 45.000 residentes de los dos estados, y cada uno de los estados recibió $ 200.000.
Sin embargo y como decíamos, el ataque expuso los datos de un total de más de 2,1 millones de personas que se habían sometido a pruebas genéticas en todo Estados Unidos. Hablamos de una compañía que ha brindado consultas con expertos en ADN en casos que incluyen el juicio de OJ Simpson, el caso de paternidad de Anna Nicole Smith o el caso de herencia de Prince. DDC ofrece pruebas de paternidad, pruebas de inmigración, pruebas veterinarias de ADN y pruebas forenses.
Tras las posteriores demandas y pagos que ha tenido que realizar DDC por el robo, la compañía también acordó reforzar sus prácticas de seguridad digital, alegando que ni siquiera sabía que tenía los datos robados porque estaban almacenados en una base de datos antigua.
Al parecer, una base de datos “heredada” que DDC había acumulado hace años y luego aparentemente olvidó que tenía. En 2012, la compañía había comprado otra firma forense, Orchid Cellmark, acumulando las bases de datos de la firma junto con la venta. Posteriormente, DDC afirmó que no sabía que los datos estaban incluso en sus sistemas, alegando que un inventario anterior de sus bóvedas digitales no arrojó ninguna señal de la información de millones de personas que luego fue impulsada por el hacker en cuestión.
Según explicó en las demandas a la empresa el fiscal general de Ohio, Dave Yost:
«La negligencia no es una excusa para permitir que se roben los datos de los consumidores. Estamos orgullosos de asociarnos con Pensilvania para garantizar que los datos personales de los ciudadanos se mantengan privados, lo que los consumidores esperan con razón. Cuanta más información personal tengan acceso estos delincuentes, más vulnerable se vuelve la persona cuya información fue robada. Es por eso que mi Oficina tomó medidas con la asistencia del Fiscal General Yost en Ohio.»
Entre otras cosas y además de los pagos de las demandas, DDC deberá contratar a un CISO profesional para supervisar su programa de seguridad de la información, realizar evaluaciones ocasionales de riesgos de seguridad de su red, mantener un inventario de activos actualizado, diseñar e implementar “medidas de seguridad razonables” para proteger sus datos y desarrollar un plan para responder a “actividades de red sospechosas dentro de su red dentro de los medios razonables”.