Los datos médicos vinculados a unos 500.000 ciudadanos británicos se anunciaron brevemente para la venta en línea, lo que desencadenó una investigación gubernamental y renovó las preocupaciones sobre cómo se maneja la información sanitaria sensible.
Los datos se originaron en el UK Biobank, un proyecto de investigación a gran escala que recopila información genética, biológica y sobre el estilo de vida de voluntarios para apoyar estudios sobre enfermedades como el cáncer, la demencia y las afecciones cardíacas.
Según los funcionarios, el conjunto de datos apareció en múltiples listados en plataformas operadas por Alibaba. El gobierno británico confirmó que la información había sido publicitada por varios vendedores, lo que alarmó sobre cómo se había accedido y distribuido los datos.
Aunque los datos expuestos no incluían identificadores directos como nombres, direcciones o números de teléfono, sí contenían detalles sensibles. Estos incluían información sobre género, edad, nacimiento, indicadores socioeconómicos, hábitos de vida y mediciones derivadas de muestras biológicas. Las autoridades advirtieron que incluso los conjuntos de datos anonimizados pueden conllevar riesgos para la privacidad, especialmente cuando se combinan con otras fuentes de datos.
Las investigaciones sugieren que los datos fueron compartidos originalmente con investigadores de tres instituciones académicas bajo acuerdos legítimos. Sin embargo, ahora se cree que esas instituciones están vinculadas a la brecha y se les ha revocado el acceso al conjunto de datos.
Tanto las autoridades británicas como chinas actuaron rápidamente para eliminar los anuncios, y los funcionarios afirmaron que no hay pruebas de que se compraran datos antes de ser retirados. A pesar de ello, el incidente ha sido descrito como una grave violación de confianza, especialmente dado el carácter voluntario de la participación en el proyecto Biobanco.
El caso también ha reavivado las preocupaciones sobre la seguridad de las bases de datos sanitarias a gran escala. Informes previos indicaban que los datos de Biobank habían sido expuestos en línea en múltiples ocasiones, a menudo debido a la mala gestión de conjuntos de datos por parte de los investigadores más que a ciberataques directos.
En respuesta, la organización ha pausado el acceso a su plataforma, ha introducido un seguimiento más estricto de las exportaciones de datos y ha iniciado una investigación completa. Se esperan salvaguardas adicionales para limitar la cantidad de datos que los investigadores pueden descargar y detectar actividades sospechosas más rápidamente.
La brecha pone de manifiesto un problema más amplio al que se enfrentan los sistemas de investigación modernos: equilibrar la colaboración científica abierta con la necesidad de controlar estrictamente los datos personales altamente sensibles.