Servicios de pruebas de ADN como 23andMe, Ancestry.com y MyHeritage están facilitando que las personas aprendan sobre su herencia étnica y composición genética. Las personas también pueden usar los resultados de las pruebas genéticas para conectarse con familiares potenciales mediante el uso de sitios de terceros, como GEDmatch, donde pueden comparar sus secuencias de ADN con otras en la base de datos que han subido los resultados de las pruebas.

Pero también es posible un final menos feliz. Investigadores de la Universidad de Washington han descubierto que GEDmatch es vulnerable a múltiples tipos de riesgos de seguridad. Un adversario puede usar solo una pequeña cantidad de comparaciones para extraer los marcadores genéticos sensibles de alguien. Un usuario malintencionado también podría construir un perfil genético falso para hacerse pasar por un familiar de alguien.

El equipo publicó sus hallazgos el 29 de octubre. Los investigadores también aceptaron esta investigación en el Simposio de seguridad de redes y sistemas distribuidos y presentarán estos resultados en febrero en San Diego.

"La gente piensa que los datos genéticos son personales, y lo es. Es literalmente parte de su identidad física, "dijo el autor principal Peter Ney, investigador postdoctoral en la Escuela de Ingeniería y Ciencias de la Computación Paul G. Allen de la Universidad de Washington. "Esto hace que la privacidad de los datos genéticos sea particularmente importante. Puede cambiar su número de tarjeta de crédito, pero no puede cambiar su ADN".

El uso generalizado de los resultados de las pruebas genéticas para la genealogía es un fenómeno relativamente reciente. Los beneficios iniciales pueden haber ocultado algunos riesgos subyacentes, dicen los investigadores.

"Cuando tenemos una nueva tecnología, ya sean automóviles inteligentes o dispositivos médicos, nosotros, como sociedad, comenzamos con '¿Qué puede hacer esto por nosotros?' Luego comenzamos a mirarlo desde una perspectiva adversaria, "dijo el coautor Tadayoshi Kohno, profesor de la Escuela Allen. "Aquí estamos viendo este sistema y preguntando:'¿Cuáles son los problemas de privacidad asociados con el intercambio de datos genéticos en línea?'"

Para buscar problemas de seguridad, el equipo creó una cuenta de investigación en GEDmatch. Los investigadores cargaron perfiles genéticos experimentales que crearon mezclando y comparando datos genéticos de múltiples bases de datos de perfiles anónimos. GEDmatch asignó a estos perfiles una identificación que las personas pueden usar para hacer comparaciones uno a uno con sus propios perfiles.

Para las comparaciones uno a uno, GEDmatch produce gráficos con información sobre la coincidencia de los dos perfiles. Un gráfico es una barra para cada uno de los 22 cromosomas no sexuales. Cada barra cambia de longitud dependiendo de qué tan similares sean los dos perfiles para ese cromosoma. Una barra más larga muestra que hay más regiones coincidentes, mientras que una serie de barras más cortas significa que hay regiones cortas de similitud intercaladas con áreas que son diferentes.

El equipo quería saber si un adversario podría usar esa barra para descubrir una secuencia de ADN específica dentro de una región del perfil de un objetivo. como si el objetivo tiene o no una mutación que lo haga susceptible a una enfermedad. Para esta búsqueda, el equipo diseñó cuatro "perfiles de extracción" que podrían usar para comparaciones uno a uno con un perfil de destino que crearon. En función de si la barra se mantuvo en una sola pieza, lo que indica que el perfil de extracción y el objetivo coincidían, o si se dividió en dos barras, lo que indica que no había coincidencia, el equipo pudo deducir la secuencia específica del objetivo para esa región.

"La información genética se correlaciona con afecciones médicas y potencialmente otros rasgos profundamente personales, "dijo el coautor Luis Ceze, profesor de la Escuela Allen. "Incluso en la era del intercambio excesivo de información, Es muy probable que este sea el tipo de información que uno no quiere compartir con fines legales, razones médicas y de salud mental. Pero a medida que más información genética se vuelve digital, los riesgos aumentan ".

A continuación, los investigadores se preguntaron si un adversario podría utilizar una técnica similar para adquirir el perfil completo de un objetivo. El equipo se centró en otro gráfico de GEDmatch que describe qué tan bien coinciden los perfiles al mostrar una línea de píxeles de colores que marcan qué tan bien coincide cada segmento de ADN en la consulta con el objetivo:verde para una coincidencia completa, amarillo para media coincidencia, cuando una hebra de ADN coincide pero no la otra, y rojo para no coincidencia.

Luego, el equipo jugó un juego de 20 preguntas:crearon 20 perfiles de extracción que usaron para comparaciones uno a uno en un perfil objetivo que crearon. Según cómo cambiaron los colores de los píxeles, pudieron extraer información sobre la secuencia objetivo. Para cinco perfiles de prueba, los investigadores extrajeron aproximadamente el 92% de las secuencias únicas de una prueba con aproximadamente un 98% de precisión.

"Así que básicamente, todo lo que el adversario debe hacer es cargar estos 20 perfiles y luego hacer 20 comparaciones individuales con el objetivo, ", Dijo Ney." Podrían escribir un programa que automáticamente haga estas comparaciones, descarga los datos y devuelve el resultado. Eso tomaría 10 segundos ".

Una vez que se expone el perfil de alguien, el adversario puede usar esa información para crear un perfil para un pariente falso. El equipo probó esto creando un niño falso para uno de sus perfiles experimentales. Debido a que los niños reciben la mitad de su ADN de cada padre, El perfil del niño falso tenía sus secuencias de ADN que coincidían a medias con el perfil de los padres. Cuando los investigadores hicieron una comparación uno a uno de los dos perfiles, GEDmatch estimó una relación entre padres e hijos.

Un adversario podría generar cualquier relación falsa que quisiera cambiando la fracción de ADN compartido, dijo el equipo.

"Si a los usuarios de GEDmatch les preocupa la privacidad de sus datos genéticos, tienen la opción de eliminarlo del sitio, ", Dijo Ney." La elección de compartir datos es una decisión personal, y los usuarios deben ser conscientes de que puede existir cierto riesgo cuando comparten datos. La seguridad es un problema difícil para las empresas de Internet en todos los sectores ".

Antes de publicar sus resultados, los investigadores compartieron sus hallazgos con GEDMatch, que ha estado trabajando para resolver estos problemas, según el equipo de GEDmatch. Los investigadores de la UW no están afiliados a GEDmatch, sin embargo, y no puedo comentar sobre los detalles de las correcciones.

"Apenas estamos empezando a arañar la superficie, "Dijo Kohno." Estos descubrimientos son tan fundamentales que es posible que la gente ya esté haciendo esto y no lo sabemos. Lo responsable de nosotros es divulgar nuestros hallazgos para que podamos involucrar a una comunidad de científicos y legisladores en una discusión sobre cómo mitigar este problema ".