Datos privados sobre la salud de 500.000 voluntarios del proyecto UK Biobank fueron puestos a la venta en Alibaba

El gobierno británico confirmó que información sensible de uno de los proyectos científicos más importantes del mundo fue puesta a la venta en China. Aunque los datos están desidentificados, el incidente —provocado por investigadores «en conflicto»— enciende alertas sobre la seguridad de las infraestructuras nacionales de datos de salud.

No es novedad en ninguna parte del mundo la crisis de confianza sobre la seguridad informática de los datos privados relacionados a la salud ciudadana de las entidades públicas y privadas. Sin ir más lejos, el año pasado en la Argentina hubo episodios donde varias entidades privadas vieron vulnerados los datos de miles de pacientes a lo largo y ancho del país.

El día de hoy, el gobierno inglés confirmó que el ecosistema datos y salud enfrenta una crisis de confianza tras confirmarse que la información médica de los 500.000 participantes del UK Biobank fue ofrecida para su venta en el portal de comercio electrónico chino Alibaba.

La noticia, validada por el ministro de Tecnología del Reino Unido, Ian Murray y la responsable de datos informáticos, la Dra. Nicola Byrne, marca un punto de inflexión en la gestión de activos biotecnológicos, ya que no se trató de un ciberataque externo, sino de un «incumplimiento de contrato» por parte de académicos acreditados.

El UK Biobank es una piedra angular de la investigación moderna. Durante dos décadas, ha recopilado secuencias de ADN, registros médicos y escaneos corporales completos de voluntarios de entre 40 y 69 años, facilitando más de 18.000 publicaciones científicas que han impulsado detecciones tempranas de cáncer, demencia y Parkinson. La filtración de este tesoro de información pone en jaque la arquitectura de seguridad que sostiene la innovación en ciencias de la vida.

A diferencia de los ataques de ransomware tradicionales, el ministro Murray explicó ante el Parlamento que esta situación no ocurrió por una brecha técnica: «Esto fue una descarga legítima realizada por una organización legítimamente acreditada. Ese es el problema que se ha identificado». Según los informes, los datos fueron listados por investigadores vinculados a tres instituciones académicas que, tras el incidente, han sido suspendidas del sistema.

Anatomía del compromiso: ¿Qué información llegó al mercado?

Si bien el Director Ejecutivo del Biobank, el Profesor Sir Rory Collins, aseguró en un mensaje a los voluntarios que los datos no contienen nombres, direcciones ni números de teléfono, la profundidad de la información «desidentificada» sigue siendo motivo de preocupación para los expertos en ciberseguridad.

Los datos listados en Alibaba incluían:

• Secuencias genéticas y medidas de muestras biológicas.
• Estilo de vida, hábitos y estatus socioeconómico.
• Género, edad, mes y año de nacimiento.

La científica jefa del Biobank, la Profesora Naomi Allen, expresó su indignación ante la BBC, señalando directamente a los responsables: «En última instancia, es culpa de estos investigadores renegados. Están dando una mala reputación a la comunidad científica mundial». A pesar de las disculpas oficiales, expertos como Will Richmond-Coggan advierten que la naturaleza detallada de estos perfiles aún conlleva el riesgo de «reidentificación» de los participantes.

Medidas de contingencia y sanciones

Ante lo que la oposición británica calificó como una «traición profunda», el UK Biobank ha implementado restricciones severas de forma inmediata. Entre las decisiones centrales se destacan:

1. Suspensión temporal del acceso a la plataforma de investigación.
2. Límites estrictos al tamaño de los archivos que pueden ser extraídos del sistema.
3. Monitoreo diario de exportaciones de archivos para detectar comportamientos sospechosos.
4. Investigación forense liderada por la junta directiva para determinar el alcance total del daño.

Por su parte, Alibaba retiró los listados rápidamente tras la cooperación de los gobiernos británico y chino. El ministro Murray informó que, según la información disponible, no se concretaron compras desde los tres listados identificados en la web.

El impacto en la confianza pública y la infraestructura

El incidente ha reabierto el debate sobre los costos de mantenimiento de la infraestructura de datos. La Profesora Elena Simperl, del King’s College de Londres, señaló que los costos de custodia de datos suelen tratarse como algo secundario, cuando son «absolutamente esenciales» para impulsar la innovación.

Sin embargo, el daño más crítico podría ser intangible. Graeme Stewart, de la firma de ciberseguridad Check Point Software, advirtió que una pequeña caída en la participación de voluntarios, motivada por el miedo a la privacidad, podría afectar la calidad y confiabilidad de la investigación a gran escala en el futuro.

En Argentina, donde el sistema de salud aún procesa las lecciones de los severos ataques a servicios de datos ocurridos el año pasado, este incidente en el Reino Unido refuerza la urgencia de legislar no solo contra los hackers, sino sobre la responsabilidad ética y penal de los profesionales que acceden a la información sensible de los ciudadanos.

Fuente: BBC