TECNOLOGIA

Datos del biobanco del Reino Unido de 500.000 voluntarios puestos a la venta en Alibaba después de que los institutos de investigación chinos rompieran el acuerdo de acceso

Foto de Redacción - ACN Redacción - ACN Enviar un correo electrónico 3 horas hace
0 5 7 minutos de lectura

Resumen: Los datos genéticos, médicos y de estilo de vida de los 500.000 voluntarios del biobanco del Reino Unido se pusieron a la venta en Alibaba después de que tres institutos de investigación chinos con acceso legítimo violaran su acuerdo de intercambio de datos. La información no fue identificada, pero incluía secuencias del genoma, diagnósticos hospitalarios y medidas biológicas que, según los expertos, podrían volver a identificarse. Alibaba eliminó los listados antes de que se realizaran ventas, UK Biobank cortó todo acceso a datos externos y la ICO está investigando. Una investigación de marzo ya encontró docenas de filtraciones de datos a través de GitHub.

La plataforma de comercio electrónico de Alibaba en China esta semana puso a la venta datos genéticos, médicos y de estilo de vida de 500.000 voluntarios británicos, confirmó el gobierno del Reino Unido el miércoles, en una violación que no requirió una sola línea de código malicioso. Tres institutos de investigación en China a los que se les ha concedido acceso legal a la base de datos del Biobanco del Reino Unido descargaron los datos y luego los pusieron a la venta. No fue un truco. Fue un incumplimiento de contrato por parte de investigadores confiables, y esta diferencia lo empeora, no lo mejora, porque expone una vulnerabilidad que ningún firewall puede solucionar: todo el modelo de intercambio abierto de datos de investigación supone que todos los que reciben los datos seguirán las reglas.

Ian Murray, Ministro de Estado, dijo a la Cámara de los Comunes que el Biobanco del Reino Unido informó al gobierno el lunes 20 de abril que había identificado tres listas en Alibaba, al menos una de las cuales parecía contener datos sobre 500.000 participantes. Los datos no estaban identificados, lo que significa que no incluían nombres, direcciones, detalles de contacto ni números del NHS. Esto incluyó mediciones de sexo, edad, mes y año de nacimiento, nivel socioeconómico, hábitos de estilo de vida y muestras biológicas. Con el apoyo de los gobiernos del Reino Unido y China, Alibaba eliminó los listados antes de que se realizaran ventas. Se ha revocado el acceso a tres instituciones. UK Biobank ha suspendido todo acceso a datos externos mientras desarrolla una solución técnica para evitar descargas masivas y se ha remitido a la Oficina del Comisionado de Información.

Lo que tiene el Biobanco del Reino Unido

UK Biobank es uno de los recursos de investigación biomédica más valiosos del mundo. Entre 2006 y 2010, reclutó a 500.000 voluntarios de entre 40 y 69 años en toda Gran Bretaña, quienes aceptaron compartir su información de salud y fueron seguidos durante al menos 30 años. La base de datos ahora contiene más de 10 000 variables por participante, incluidas secuencias completas del genoma de los 500 000 voluntarios (publicadas en su totalidad en 2023), biomarcadores de sangre y orina, exploraciones de imágenes del cerebro y el cuerpo, registros de diagnóstico hospitalario, preguntas sobre el estilo de vida del médico de cabecera y descripciones detalladas. Aproximadamente 22.000 investigadores en todo el mundo tienen acceso a datos de investigación aprobados sobre cáncer, enfermedades cardíacas, diabetes, Alzheimer y otras afecciones. El recurso ha producido miles de artículos revisados ​​por pares y se considera la base de la medicina genómica moderna.

💜 de tecnología de la UE

Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. ¡Regístrate ahora!

Los datos se comparten sobre la base de que no están identificados. Los investigadores firman un acuerdo de transferencia de material que prohíbe la redistribución. El modelo depende del cumplimiento de esos acuerdos. Lo que sucedió esta semana es que tres organizaciones rompieron el contrato, y la única razón por la que alguien sabe es que fueron lo suficientemente descarados como para poner los datos a la venta en un mercado público.

Problema de reidentificación

La garantía del gobierno de que la información no contenía nombres ni direcciones es correcta pero incompleta. Una investigación de The Guardian publicada en marzo encontró que los datos del biobanco del Reino Unido no estaban identificados. Se han publicado docenas en línea, y los investigadores publicaron sin darse cuenta conjuntos de datos parciales o completos en la plataforma de código compartido GitHub. Entre julio y diciembre de 2025, UK Biobank emitió 80 avisos legales a GitHub solicitando su eliminación. En un caso, se hizo público un conjunto de datos que contenía millones de diagnósticos hospitalarios y fechas asociadas de más de 400.000 participantes.

The Guardian ha demostrado que los datos no son tan anónimos como parecen. Un periodista pudo identificar los extensos registros de diagnóstico hospitalario de un voluntario y los detalles de una cirugía mayor utilizando solo su mes y año de nacimiento, información que muchas personas comparten en las conversaciones cotidianas. El Dr. Luke Rocher, profesor asociado del Oxford Internet Institute, dijo al artículo que eliminar identificadores "a menudo no garantiza el anonimato" y que conocer el cumpleaños de una persona y la fecha de un evento médico específico puede ser suficiente para identificar sus registros con alta confianza. Una vez identificado, ese registro puede revelar un diagnóstico psiquiátrico, resultados de pruebas de VIH o antecedentes de abuso de sustancias.

Según el RGPD del Reino Unido, los datos sólo son verdaderamente anónimos si el individuo no puede ser identificado por "medios razonablemente posibles". Con conjuntos de datos de este tamaño y riqueza, especialmente aquellos que contienen secuencias genómicas completas, la pregunta no es si la reidentificación es teóricamente posible sino si en la práctica es lo suficientemente difícil como para constituir una protección significativa. Brecha de gobernanza en la seguridad de los datos Los conjuntos de datos se están expandiendo a medida que crecen y las herramientas de inteligencia artificial facilitan las referencias cruzadas. Los expertos en privacidad sostienen que el enfoque del biobanco del Reino Unido, que trata la desidentificación como una salvaguardia suficiente, está en desacuerdo con la realidad de que muchas personas comparten partes de su información de salud en línea, y en la era de los grandes modelos lingüísticos, esas partes se pueden volver a ensamblar.

Un patrón, no un fenómeno

Las salidas a bolsa de Alibaba son la manifestación más dramática de un problema estructural que los biobancos del Reino Unido han estado gestionando con éxito limitado durante meses. La investigación de marzo encontró que las filtraciones de datos ocurrieron docenas de veces, impulsadas por tensiones entre dos mandatos en competencia: las revistas y los financiadores exigen cada vez más a los investigadores que revelen el código utilizado para analizar grandes conjuntos de datos, y ese código a veces incluye los datos en sí, o es suficiente para reconstruirlos. UK Biobank prohíbe esto, pero los encargados de hacer cumplir la ley dependen de descubrir violaciones después del hecho y emitir avisos de eliminación.

La violación también se ajusta a un patrón más amplio de exposición de datos institucionales en todos los ámbitos. En Europa, que IBM ha identificado como la región del mundo más blanco de ataques cibernéticos, el Reino Unido representa el 27% de todos los ataques en el continente. Un ataque de ransomware Synovis en junio de 2024 interrumpió los servicios de patología en todo el sureste de Londres durante semanas después de que el grupo Killeen publicara datos de pacientes de Guy’s and St Thomas' y King’s College Hospital Trust en la web oscura. En agosto de 2022, un ataque de ransomware de software avanzado interrumpió el servicio NHS 111. WannaCry afectó a 80 organizaciones del NHS en 2017. Cada uno de ellos fue un ciberataque tradicional, un adversario externo que explota una vulnerabilidad técnica. Las violaciones de los biobancos son diferentes. El adversario estaba dentro del sistema, acreditado y autorizado, y la vulnerabilidad era el propio modelo de acceso.

Dimensión geopolítica

Los datos que aparecen en una plataforma china inevitablemente agudizarán la reacción política. El Reino Unido ha restringido la participación de la tecnología china en infraestructuras críticas durante los últimos cinco años, desde la prohibición de Huawei 5G hasta los poderes de la Ley de Inversión y Seguridad Nacional sobre la adquisición de datos confidenciales. En marzo de 2024, el gobierno acusó a actores vinculados a China de ataques cibernéticos a la Comisión Electoral y a miembros del parlamento. Los piratas informáticos patrocinados por el estado chino han apuntado a los gobiernos occidentales En repetidas ocasiones, el gobierno holandés ha culpado públicamente a Beijing por una campaña que ha comprometido más de 20.000 sistemas.

Murray agradeció al gobierno chino "por la rapidez y seriedad con la que ayudaron a eliminar estas listas", una fuente diplomática que reconoció la cooperación y eludió la pregunta de cómo tres institutos de investigación chinos llegaron a violar simultáneamente su acuerdo de intercambio de datos. El ministro no nombró las instituciones. La ICO dijo que estaba "investigando". La investigación aún debe responder si se trató de una mala conducta oportunista por parte de investigadores individuales o de algo más coordinado.

¿Qué pasará después?

UK Biobank ha suspendido temporalmente todo acceso a su plataforma de investigación y está desarrollando un sistema de verificación automatizado para evitar que los datos de participantes no identificados se extraigan en masa, con el objetivo de que el sistema esté operativo para fines de 2026. La compañía también está imponiendo límites estrictos en el tamaño de los archivos que se pueden mover desde la plataforma. Conor O’Neill, director ejecutivo de la firma de ciberseguridad OnSecurity, dijo que la violación era "un recordatorio de que las fallas de seguridad de los datos rara vez son el resultado de intenciones maliciosas" y señaló "una brecha cultural entre la política y la práctica" en la forma en que los investigadores manejan los datos confidenciales.

D Vulnerabilidad de las instituciones públicas al robo de datos No es nuevo, pero el caso del Biobanco es único porque los datos no fueron robados en ningún sentido convencional. Se entregó bajo contrato a investigadores que rompieron el contrato. 500.000 voluntarios que se inscribieron entre 2006 y 2010 acordaron compartir su información biológica más íntima para avanzar en la ciencia médica. No aceptaron ponerlo a la venta en un sitio de comercio electrónico chino. La diferencia entre un hackeo y un abuso de confianza puede ser legalmente significativa. No es para aquellos cuyos genomas están en esa base de datos.

Source link

Foto de Redacción - ACN Redacción - ACN Enviar un correo electrónico 3 horas hace
0 5 7 minutos de lectura
Foto de Redacción - ACN

Redacción - ACN

Somos un portal de noticias líder en la República Dominicana que se especializa en ofrecer una cobertura informativa integral. Desde eventos políticos y económicos hasta avances científicos y noticias de entretenimiento, este sitio web es tu fuente confiable para mantenerse al día con los acontecimientos más relevantes tanto a nivel nacional como internacional. Además de ofrecer informes actualizados, ACN también se destaca por sus análisis en profundidad y sus entrevistas exclusivas que proporcionan una comprensión más completa de las noticias.

Artículos Relacionados

Foto de La primera oferta de jubilación voluntaria de Microsoft es una compra disfrazada de beneficio.

La primera oferta de jubilación voluntaria de Microsoft es una compra disfrazada de beneficio.

56 minutos hace
Foto de Kostiantyn Gitko sobre la creación de software DevOps a través de estructura, escala y estabilidad

Kostiantyn Gitko sobre la creación de software DevOps a través de estructura, escala y estabilidad

2 horas hace
Foto de El Pentágono selecciona tres empresas de microrreactores para las bases de la Fuerza Aérea a medida que el programa nuclear militar avanza hacia 2030

El Pentágono selecciona tres empresas de microrreactores para las bases de la Fuerza Aérea a medida que el programa nuclear militar avanza hacia 2030

4 horas hace
Foto de Netflix aprueba recompra de acciones por 25.000 millones de dólares después de que las acciones cayeran un 10%

Netflix aprueba recompra de acciones por 25.000 millones de dólares después de que las acciones cayeran un 10%

5 horas hace

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Volver arriba botón