### California Toma Acción Contra 23andMe El Fiscal General de California, **Rob Bonta**, ha iniciado acciones legales contra **23andMe**, que ahora opera como **Chrome Holding Co.**, citando la incapacidad de la empresa para proteger adecuadamente los datos de los clientes, lo que provocó una brecha significativa en 2023. La brecha comprometió la información sensible de aproximadamente 7 millones de usuarios, incluyendo 855,541 residentes de California. ### Detalles y Consecuencias de la Brecha El incidente salió a la luz en octubre de 2023, cuando actores maliciosos comenzaron a ofrecer registros robados de **23andMe** a la venta y filtraron muestras de datos para verificar la autenticidad de la información sustraída. La empresa confirmó la brecha, atribuyéndola a un ataque de credential stuffing que explotó cuentas con contraseñas débiles. Los atacantes inicialmente se dirigieron a usuarios de la función 'DNA Relatives' antes de obtener acceso a un rango más amplio de cuentas. En total, la brecha expuso datos genéticos, predisposiciones de salud, detalles de ascendencia, parientes biológicos y coincidencias de ADN de aproximadamente 6.9 millones de usuarios. ### Alegaciones de Negligencia y Declaraciones Engañosas La demanda alega que **23andMe** no implementó medidas de seguridad razonables para prevenir ataques de credential stuffing y perdió oportunidades para detectar la intrusión. También afirma que la empresa no identificó un error de codificación en la función 'DNA Relatives' que contribuyó a la exposición generalizada de datos. Además, el Fiscal General acusa a **23andMe** de hacer declaraciones engañosas sobre sus estándares de seguridad antes de la brecha y de minimizar la gravedad del incidente después. La empresa inicialmente sugirió que los datos expuestos eran en gran parte públicos y culpó a los usuarios por la reutilización de contraseñas, negando cualquier brecha en sus propios sistemas. ### Violaciones Legales y Posibles Sanciones El Fiscal General argumenta que las acciones de **23andMe** violaron varias leyes de California, incluyendo la Ley de Privacidad de Información Genética de California, la Ley de Seguridad de Datos Razonable de California, la Ley de Privacidad del Consumidor de California (**CCPA**), la Ley de Publicidad Engañosa y la Ley de Competencia Desleal. La demanda busca una orden judicial para prevenir futuras violaciones y sanciones legales que van desde $1,000 hasta $7,500 por violación. ### Quiebra e Investigaciones en Curso Esta demanda sigue a desafíos legales e investigaciones previas, incluyendo multas de varios millones de dólares que contribuyeron a que **23andMe** se declarara en bancarrota. La oficina del Fiscal General ha aclarado que los procedimientos de bancarrota y la venta propuesta de datos genéticos de los californianos son independientes de esta acción legal.