Una brecha de seguridad expuso más de un millón de perfiles de ADN en una importante base de datos de genealogía
El 19 de julio, los entusiastas de la genealogía que utilizan el sitio web GEDmatch para cargar su información de ADN y encontrar parientes para completar sus árboles genealógicos se llevaron una desagradable sorpresa. De repente, más de un millón de perfiles de ADN que se habían ocultado a los policías que utilizaban el sitio para encontrar coincidencias parciales con el ADN de la escena del crimen estaban disponibles para que la policía los buscara.
La noticia ha socavado los esfuerzos de Verogen, la empresa de genética forense que compró GEDmatch el pasado mes de diciembre, para convencer a los usuarios de que protegería su privacidad a la vez que se dedicaba a un negocio basado en el uso de la genealogía genética para ayudar a resolver crímenes violentos.
Una segunda alarma se produjo el 21 de julio, cuando MyHeritage, un sitio web de genealogía con sede en Israel, anunció que algunos de sus usuarios habían sido objeto de un ataque de suplantación de identidad para obtener sus datos de acceso al sitio, aparentemente dirigido a las direcciones de correo electrónico obtenidas en el ataque a GEDmatch apenas dos días antes.
En un comunicado enviado por correo electrónico a BuzzFeed News y publicado en Facebook, Verogen explicó que el repentino desenmascaramiento de los perfiles de GEDmatch que se suponía que estaban ocultos a las fuerzas del orden fue «orquestado a través de un sofisticado ataque a uno de nuestros servidores a través de una cuenta de usuario existente».»
Publicidad
«Como resultado de esta brecha, se restablecieron todos los permisos de usuario, haciendo que todos los perfiles fueran visibles para todos los usuarios. Esto fue así durante aproximadamente 3 horas», dice el comunicado. «Durante este tiempo, los usuarios que no optaron por el emparejamiento de las fuerzas del orden estaban disponibles para el emparejamiento de las fuerzas del orden y, a la inversa, todos los perfiles de las fuerzas del orden se hicieron visibles para los usuarios de GEDmatch.»
La genealogía genética investigativa explotó en la escena en abril de 2018 con el arresto de Joseph James DeAngelo, presuntamente el Asesino del Estado Dorado. DeAngelo se declaró culpable de 13 asesinatos y admitió docenas de otros crímenes el mes pasado. Los investigadores habían cotejado parcialmente el ADN encontrado en la escena de un doble asesinato de 1980 con perfiles en GEDmatch que pertenecían a familiares lejanos del autor. A través de una minuciosa investigación, construyeron árboles genealógicos que finalmente convergieron en DeAngelo.
Desde entonces, docenas de presuntos asesinos y violadores han sido identificados de forma similar. Pero esto ha provocado una gran división dentro del mundo de la genealogía. Mientras que algunos genealogistas colaboran ahora con la policía, otros argumentan que la privacidad genética se ha visto comprometida.
La solución de GEDmatch, que siguió a un controvertido incidente en el que el sitio web dobló sus propias reglas para permitir a la policía investigar una agresión violenta menos grave, fue que los usuarios tuvieran que optar explícitamente por la búsqueda por parte de las fuerzas del orden. Alrededor de 280.000 de los 1,45 millones de perfiles habían optado por ello antes del hackeo, según Verogen. La brecha del domingo cambió la configuración para que todos los 1,45 millones de perfiles de ADN estuvieran habilitados para las búsquedas de las fuerzas del orden.
Publicidad
Los genealogistas de ambos lados de este debate tan controvertido dijeron a BuzzFeed News que temían que las nuevas brechas de seguridad desalentaran a la gente a poner sus perfiles de ADN en línea, lo que perjudicaría tanto a la comunidad de genealogía en línea como a los esfuerzos para resolver casos sin resolver.
«Esto es un nivel completamente nuevo de maldad», dijo a BuzzFeed News Leah Larkin, una genealogista de Livermore, California, que es una defensora abierta de la privacidad genética.
«A largo plazo, si la gente decide que tiene menos confianza en GEDmatch y esto conduce a más eliminaciones de perfiles, eso no es algo bueno», dijo a BuzzFeed News CeCe Moore, genealogista principal de la empresa Parabon NanoLabs, que trabaja con la policía para resolver crímenes violentos.
No está claro si las fuerzas del orden buscaron algún perfil no autorizado. Sin embargo, Moore dijo a BuzzFeed News que su equipo, que es responsable de la mayoría de las identificaciones de sospechosos criminales hechas a través de la genealogía genética hasta ahora, estaba desconectado en ese momento. «No vimos nada que no deberíamos haber visto», dijo.
El servicio normal en GEDmatch se había reanudado brevemente después del hackeo inicial, pero el 20 de julio, Moore se dio cuenta de que los permisos de todos los perfiles habían sido cambiados de nuevo, esta vez bloqueando las búsquedas de las fuerzas del orden en toda la base de datos, pero haciendo visibles los perfiles marcados como «Investigación», que se supone que están ocultos de todas las búsquedas.
El sitio fue rápidamente desconectado y reemplazado con el mensaje: «El sitio gedmatch está fuera de servicio por mantenimiento – Actualmente no hay tiempo estimado de llegada».
«Estamos trabajando con una empresa de ciberseguridad para llevar a cabo una revisión forense exhaustiva y ayudarnos a implementar las mejores medidas de seguridad posibles», decía el comunicado de Verogen, que se hizo público tras el segundo incidente.
Publicidad
La brecha es embarazosa para Verogen, que los usuarios esperaban que aportara un enfoque más profesional a la privacidad genética cuando compró el sitio hace siete meses. Antes de Verogen, GEDmatch fue fundada y dirigida por dos entusiastas de la genealogía, Curtis Rogers y John Olson.
Aún así, el comunicado de la empresa tranquilizó a los usuarios: «No se ha descargado ni comprometido ningún dato de los usuarios»
.