Cuando se da a conocer una nueva tecnología en cualquier sector, la sociedad y la comunidad científica comienza a plantear varias interrogantes sobre su utilidad, y sobre todo, sobre su seguridad, aunque cada quien asuma sus riesgos haciendo o no uso de ella posteriormente.

Tal es el caso de los servicios de pruebas de ADN como 23andMe, Ancestry.com y MyHeritage, por medio de los cuales las personas pueden contactar a sus parientes, y además conocer su origen étnico y su composición genética.

También están sitios web de terceros como GEDmatch, que permiten a sus usuarios comparar sus datos de ADN con los de otros individuos que hayan cargado los suyos a su base de datos, y de esta forma ponerse en contacto con parientes potenciales.

Pero aunque suene genial, esto también puede ser útil para aquellos con intenciones más oscuras. Una investigación reciente ha descubierto en GEDmatch una serie de vulnerabilidades de seguridad graves dignas de considerar antes de recurrir a sus servicios. Entre ellas, la posibilidad de suplantación genética de un pariente.

“La gente piensa que los datos genéticos son personales, y lo es. Literalmente es parte de su identidad física”, dice el autor principal Peter Ney, investigador postdoctoral en la Escuela de Ciencias e Ingeniería Informática Paul G. Allen de la Universidad de Washington.

“Esto hace que la privacidad de los datos genéticos sea particularmente importante. Puedes cambiar el número de tu tarjeta de crédito pero no puedes cambiar tu ADN”.

El coautor Tadayoshi Kohno, profesor de la Escuela Allen, ha planteado una pregunta clave en torno a este tema:  ‘¿Cuáles son los problemas de privacidad asociados con el intercambio de datos genéticos en línea?’

Es posible detectar vulnerabilidades

Adn, Molécula, Medicina
Es posible extraer información cromosómica de los perfiles registrados en GEDmatch para detectar propensión a enfermedades y otras vulnerabilidades.

El equipo de investigación creó una cuenta en GEDmatch, a la cual cargaron perfiles genéticos experimentales que crearon a partir de la combinación de datos genéticos de diferentes perfiles anónimos.

El sitio se encarga de proporcionar una identificación que las personas pueden usar para compararse uno a uno con sus propios perfiles, produciendo gráficos con datos sobre la cantidad de los dos perfiles coincidentes. En estos, una barra representa cada uno de los 22 cromosomas no sexuales, y su longitud cambiará de acuerdo a la similitud de los dos perfiles. Mientras más larga, más coincidente, mientras que más corta implica que hay regiones cortas de similitud intercaladas con áreas que son diferentes.

A partir de ello, se puede saber si alguien padece o es propenso a una enfermedad. El equipo quería saber si esta barra de cromosomas podría descubrir una secuencia de ADN específica dentro de una región del perfil del individuo objetivo, como una mutación que lo haga susceptible a una enfermedad. Para probar esta posibilidad, diseñaron cuatro perfiles de extracción, y comprobaron que en efecto se podía deducir la secuencia específica del objetivo para esa región.

Adquirir el perfil completo de un individuo

Los investigadores también se preguntaron si un adversario podría aplicar una técnica similar para adquirir el perfil completo de un objetivo. Usaron como referencia una línea de píxeles de colores que marca qué tan bien coinciden los perfiles en cada segmente de ADN: verde para cuando coinciden completamente, amarillo para media coincidencia, cuando una cadena de ADN igualado pero no el otro, y rojo cuando no hay coincidencia.

Entonces crearon 20 perfiles de extracción que compararon con un perfil objetivo que crearon, y pudieron extraer información sobre la secuencia objetivo. Para cinco perfiles de prueba, lograron extraer aproximadamente el 92 por ciento de las secuencias únicas de una prueba con aproximadamente el 98 por ciento de precisión.

“Así que, básicamente, todo lo que el adversario debe hacer es cargar estos 20 perfiles y luego hacer 20 comparaciones individuales con el objetivo. Podrían escribir un programa que haga estas comparaciones automáticamente, descargue los datos y devuelva el resultado. Eso llevaría 10 segundos”.

Los criminales pueden hacerse pasar por familia

Adn, Hacia Adelante, Mujer, Chica, La Cara, Artificial
En GEDmatch alguien podría crear un perfil falso de un niño con la mitad de la información genética de otro perfil y atribuir la paternidad a este.

Cuando ya posee toda esa información, el adversario puede crear un perfil perfectamente creíble para un pariente falso. Y de hecho, lo probaron creando un niño falso con la mitad de las secuencias de ADN del perfil del padre, y al comparar ambos GEDmatch confirmó una relación padre-hijo.

“Si los usuarios de GEDmatch tienen dudas sobre la privacidad de sus datos genéticos, tienen la opción de eliminarlos del sitio. La elección de compartir datos es una decisión personal, y los usuarios deben tener en cuenta que puede haber algún riesgo cada vez que comparten datos. La seguridad es un problema difícil para las compañías de Internet en todas las industrias”.

Tenemos pues que el uso generalizado de los resultados de las pruebas genéticas para la genealogía, a pesar de ser reciente, ya ha arrojado peligros que pueden opacar sus beneficios.

Referencia:

Genotype Extraction and False Relative Attacks: Security Risks to Third-Party Genetic Genealogy Services Beyond Identity Inference. https://dnasec.cs.washington.edu/genetic-genealogy/ney_ndss.pdf