Demanda violación de datos genéticos 23andMe MDL 3098 — acuerdo y quiebra guía 2026

Demanda por Violación de Datos 23andMe MDL 3098: Acuerdo de $30M y Quiebra 2026

Daylongs · 26 de mayo de 2026 · 10 분 소요

#MDL 3098 #demanda 23andMe #violación de datos #privacidad datos genéticos #ADN privacidad #demanda colectiva #Chapter 11 quiebra #credential stuffing

Sus Datos de ADN Fueron Vendidos en Foros Criminales

La mayoría de las violaciones de datos involucran credenciales financieras — números de cuenta, contraseñas, datos de tarjetas que pueden cambiarse o monitorearse. La violación de 23andMe de octubre de 2023 fue cualitativamente diferente. Lo que el atacante conocido como “Golem” accedió y vendió fue información de ancestría genética, datos de predisposición a enfermedades y — más perturbadoramente — listas compiladas específicamente identificando usuarios por su herencia étnica y religiosa.

Para aproximadamente 1 millón de usuarios identificados como judíos asquenazíes y aproximadamente 100,000 usuarios identificados como étnicamente chinos, esto no fue una violación de privacidad genérica. Fue una compilación dirigida de individuos definidos por su herencia biológica — un conjunto de datos con profundo potencial de uso indebido.

Las consecuencias legales fueron inmediatas. El MDL 3098 consolidó casos ante el Juez Edward M. Chen en el Distrito Norte de California. Se negoció un acuerdo de $30 millones, anunciado en septiembre de 2024 y aprobado finalmente el 30 de enero de 2026. Luego, el 26 de marzo de 2025, 23andMe presentó solicitud de quiebra Chapter 11, activando una suspensión automática que suspendió el MDL y envió los reclamos del acuerdo al tribunal de quiebras en Missouri.

Esta guía está escrita específicamente para residentes hispanohablantes en Estados Unidos afectados por esta violación.

Este artículo es solo para fines informativos y no constituye asesoramiento legal.

MDL 3098: Estructura del Caso y Cronología

Datos del MDL 3098:

Campo	Detalle
Nombre completo	In re: 23andMe, Inc., Customer Data Security Breach Litigation
Número de caso	3:24-md-03098-EMC
Tribunal	Tribunal Federal del Distrito Norte de California (N.D. Cal.)
Juez a cargo	Hon. Edward M. Chen
Monto del acuerdo	$30 millones fondo no reversible
Aprobación final otorgada	30 de enero de 2026
Suspensión automática efectiva	26 de marzo de 2025
Tribunal de quiebras	Distrito Este de Missouri (E.D. Mo.)

Cronología verificada:

Fecha	Evento
1 de octubre de 2023	Publicación inicial en foro por hacker “Golem”
6 de octubre de 2023	Divulgación oficial de 23andMe
2024	MDL 3098 establecido en N.D. Cal.
Septiembre 2024	Acuerdo de $30 millones anunciado
Enero 2024	Demanda colectiva separada por listas de etnias curadas
30 de enero de 2026	Aprobación final del acuerdo MDL 3098
26 de marzo de 2025	Quiebra Chapter 11 de 23andMe — suspensión automática activada

Cómo Funcionó el Ataque: Credential Stuffing

Los atacantes obtuvieron bases de datos de combinaciones de usuario/contraseña filtradas de otros sitios web (como LinkedIn, Adobe u otros servicios) y usaron herramientas automatizadas para probar esas credenciales contra 23andMe. Los usuarios que reutilizaban contraseñas en múltiples sitios eran vulnerables.

La posición inicial de 23andMe fue que sus propios sistemas no fueron “hackeados” — más bien, usuarios con credenciales comprometidas en otras plataformas fueron el punto de entrada. Los críticos y abogados de los demandantes respondieron que esto evadía el punto: 23andMe no implementó controles de seguridad que habrían prevenido o detectado el credential stuffing a escala, como autenticación multifactor (MFA) obligatoria, detección de anomalías y limitación de intentos de inicio de sesión.

El efecto amplificador de DNA Relatives:

Incluso si solo un pequeño número de cuentas fue directamente comprometido, la función “DNA Relatives” de 23andMe permitió a los atacantes ver los perfiles de familiares que habían habilitado el intercambio de perfiles. Esta característica de diseño transformó lo que podría haber sido una violación limitada en una que afectó a aproximadamente 6.9 millones de usuarios — cerca de la mitad de la base total de usuarios de 23andMe en ese momento.

Los Datos Expuestos y Sus Riesgos

Categoría	Descripción	Riesgo Potencial
Ancestría genética	Datos de origen geográfico y étnico	Discriminación, fraude dirigido
Predisposiciones de salud	Datos de riesgo de enfermedades	Discriminación de seguros, estigma
Relaciones familiares	Conexiones DNA Relatives	Divulgación no deseada de vínculos familiares
Nombre y correo	Datos de identidad básicos	Phishing, robo de identidad
Año de nacimiento	Fecha de nacimiento parcial	Ayuda para toma de cuentas
Ubicación	Datos residenciales aproximados	Riesgos físicos

Las listas de etnias curadas:

El hacker compiló y vendió específicamente:

Una lista de aproximadamente 1 millón de usuarios identificados como judíos asquenazíes
Una lista de aproximadamente 100,000 usuarios identificados como étnicamente chinos

Estas compilaciones curadas fueron anunciadas y cotizadas separadamente en foros criminales. Una demanda colectiva separada de enero de 2024 aborda específicamente este aspecto de ataque dirigido por etnia.

El Acuerdo de $30 Millones: Qué Cubre

Estructura del fondo: No reversible significa que los fondos no reclamados no regresan a 23andMe — deben distribuirse a miembros de la clase o a beneficiarios cy pres (organizaciones benéficas que sirven intereses de privacidad o investigación genética).

Elegibilidad para reclamos:

Usuarios en EE.UU. cuya información personal fue incluida en la violación de octubre de 2023
Aproximadamente 6.4 millones de personas naturales en EE.UU. según la documentación del acuerdo

Estructura de recuperación: El acuerdo proporciona compensación base por daño documentado, con premios mejorados para:

Usuarios cuya información de predisposición de salud estaba entre los datos expuestos
Usuarios en las listas de etnias curadas (daños mejorados por violación de privacidad más grave)
Usuarios que pueden documentar robo de identidad real u otro daño concreto

La Quiebra: 11 U.S.C. § 362 y Lo Que Significa Para Usted

23andMe presentó quiebra Chapter 11 el 26 de marzo de 2025. Esto activó la suspensión automática bajo 11 U.S.C. § 362, que detuvo inmediatamente todos los procedimientos civiles pendientes contra el deudor.

Efecto práctico en el MDL 3098:

Todos los procedimientos del MDL 3098 suspendidos
No se pueden presentar nuevas demandas contra 23andMe en tribunales civiles
La distribución del fondo de $30 millones está ahora sujeta a supervisión del tribunal de quiebras en E.D. Missouri

Lo que los usuarios afectados deben hacer:

Para participar en cualquier recuperación, debe presentar una prueba de reclamación con el tribunal de quiebras. El tribunal de quiebras establecerá una fecha límite para reclamos (claims bar date). Perder este plazo generalmente significa exclusión permanente de cualquier recuperación.

La pregunta de venta de datos genéticos:

En quiebra Chapter 11, los activos de una empresa pueden venderse para satisfacer a los acreedores. La base de datos genómica de 23andMe es un activo significativo. Los usuarios que han solicitado la eliminación de datos antes de cualquier venta están en una posición más fuerte para objetar la transferencia de datos.

Teorías Legales en el Litigio de 23andMe

Negligencia (falla en mantener seguridad adecuada): 23andMe tenía el deber de proteger los datos genéticos sensibles de sus usuarios. La falla en requerir MFA, la detección de anomalías insuficiente y la divulgación tardía constituyen supuestamente una violación de ese deber.

Incumplimiento de contrato implícito: Los términos de servicio y la política de privacidad de 23andMe representaron a los usuarios que sus datos genéticos serían protegidos. La violación supuestamente infringió esas representaciones.

Violaciones de leyes estatales de protección de datos: La Ley de Confidencialidad de Información Médica de California (CMIA) puede aplicarse a datos de predisposición de salud. La Ley de Privacidad del Consumidor de California (CCPA) otorga derechos sobre datos personales recopilados de residentes de California.

Específico para los reclamos de listas de etnias curadas: La demanda colectiva separada de enero de 2024 afirma teorías adicionales, incluyendo violación habilitante de discriminación e implicaciones potenciales de derechos civiles por compilar y comercializar datos por identidad étnica/religiosa.

Prescripción e Interacción con la Quiebra

Prescripción estatal para reclamos de violación de datos (referencia — verifique con abogado):

Estado	Prescripción Violación de Datos / Privacidad	Regla de Descubrimiento
California	2 años (CMIA); 3 años (negligencia general)	Sí
Nueva York	3 años	Sí
Texas	2 años	Sí
Florida	4 años (protección al consumidor)	Sí
Illinois	2 años	Sí

La aprobación final del acuerdo MDL (30 de enero de 2026) y la suspensión automática de quiebra (26 de marzo de 2025) crean una postura procesal inusual. Los reclamantes que no han presentado un reclamo deben consultar a un abogado inmediatamente para entender si necesitan presentar en el proceso del acuerdo MDL, el proceso de reclamos de quiebra, o ambos.

Escenario: Un Residente Hispano Afectado

La situación: Un hombre de 35 años, originario de Guatemala, residente legal permanente en Illinois. Usó 23andMe en 2021 para explorar su ancestría y verificar predisposiciones de salud (optó por los informes de salud). Recibió una notificación de violación de 23andMe en octubre de 2023. Sus datos de ancestría mesoamericana y predisposición genética a diabetes tipo 2 pueden haber estado entre los archivos expuestos.

Sus preocupaciones:

Los datos de predisposición a diabetes tipo 2 — si son accedidos por aseguradoras — podrían potencialmente usarse en decisiones de seguro de vida o discapacidad (GINA no cubre estos tipos de seguros)
Como residente guatemalteco de origen indígena maya, su perfil genético es único y potencialmente identificable

Sus opciones legales:

Illinois tiene prescripción de 2 años desde que supo o debería haber sabido de la violación (octubre 6, 2023)
Debe presentar en el proceso del acuerdo MDL (23andmedatasettlement.com) Y presentar prueba de reclamación en el tribunal de quiebras de Missouri
Debe solicitar inmediatamente la eliminación de sus datos genéticos de 23andMe
Debe congelar su crédito como precaución ante robo de identidad

Sobre el estatus migratorio: Este es un litigio civil privado. No tiene ningún efecto sobre el estatus migratorio. Su información no se comparte con USCIS, ICE o ninguna agencia de inmigración.

Protéjase: Pasos Más Allá del Litigio

Solicite la eliminación de sus datos de 23andMe:

Inicie sesión en su cuenta de 23andMe
Vaya a Configuración → Datos de 23andMe → Solicitar eliminación de sus datos
Confirme la solicitud y guarde el correo de confirmación

Monitoree el robo de identidad:

Congele su crédito en los tres burós (Equifax, Experian, TransUnion) — gratuito por ley
Revise su reporte de crédito en annualcreditreport.com
Esté alerta a correos electrónicos de phishing muy personalizados

Lo Que Debe Hacer Ahora

Localice su correo de notificación de violación de 23andMe. Guárdelo y príntielo.
Visite el sitio web oficial del acuerdo. Revise 23andmedatasettlement.com para instrucciones actuales de presentación de reclamos considerando la quiebra.
Presente una prueba de reclamación en la quiebra. Un abogado puede ayudarle a presentar ante el tribunal de quiebras de E.D. Missouri antes de la fecha límite.
Solicite la eliminación de datos de 23andMe. Actúe antes de cualquier venta de activos en quiebra.
Congele su crédito. Protección efectiva y gratuita contra robo de identidad.
Consulte a un abogado. Especialmente si está entre las víctimas de las listas de etnias curadas.

Litigios Relacionados

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Consulte a un abogado calificado para su situación específica. Las leyes varían por estado. Información actualizada a mayo de 2026; la quiebra está en curso y las circunstancias pueden cambiar.

¿Qué ocurrió en la violación de datos de 23andMe?

A partir del 1 de octubre de 2023, atacantes usaron 'credential stuffing' — combinaciones de usuario/contraseña filtradas de otros sitios web — para acceder a cuentas de 23andMe. La violación fue divulgada oficialmente por 23andMe el 6 de octubre de 2023. A través de la función 'DNA Relatives' de 23andMe, los atacantes accedieron a perfiles de usuarios conectados que no fueron directamente comprometidos.

¿Qué datos fueron expuestos?

Datos expuestos: información de ancestría genética, datos de predisposición a enfermedades (para usuarios inscritos en informes de salud), nombres, correos electrónicos, años de nacimiento e información de ubicación. El hacker conocido como 'Golem' compiló y vendió listas específicas: aproximadamente 1 millón de usuarios identificados como judíos asquenazíes y aproximadamente 100,000 identificados como de etnia china.

¿Qué es el MDL 3098?

El MDL 3098 es formalmente 'In re: 23andMe, Inc., Customer Data Security Breach Litigation,' Caso No. 3:24-md-03098-EMC, radicado en el Tribunal Federal del Distrito Norte de California ante el Juez Edward M. Chen.

¿Cuál es el monto del acuerdo?

Un fondo de acuerdo no reversible de $30 millones fue anunciado en septiembre de 2024. La aprobación final fue otorgada el 30 de enero de 2026. La quiebra Chapter 11 de 23andMe (presentada el 26 de marzo de 2025) complicó el proceso de distribución.

23andMe se declaró en quiebra — ¿qué pasa con mi reclamo de acuerdo?

El 26 de marzo de 2025, 23andMe presentó solicitud de protección por quiebra Chapter 11. Bajo 11 U.S.C. § 362, la suspensión automática (automatic stay) suspendió inmediatamente los procedimientos del MDL 3098. Los reclamos del acuerdo ahora se procesan a través del tribunal de quiebras en el Distrito Este de Missouri. Los reclamantes deben presentar una prueba de reclamación (proof of claim) en el proceso de quiebra para preservar sus derechos de recuperación.

¿Por qué los datos genéticos son especialmente sensibles?

A diferencia de una contraseña, su ADN no puede cambiarse. Los datos genéticos revelan predisposiciones a enfermedades, antecedentes ancestrales y relaciones familiares. La Ley de No Discriminación de Información Genética (GINA) prohíbe la discriminación en seguros de salud y empleo basada en información genética, pero no cubre seguros de vida, discapacidad ni cuidado a largo plazo.

¿El estatus migratorio afecta mi derecho a presentar un reclamo?

No. Las demandas civiles de privacidad y responsabilidad de datos están disponibles independientemente del estatus migratorio. La información personal de demandas civiles no se comparte con agencias de inmigración. Su derecho a compensación existe con total independencia de su estatus migratorio.

¿Hay abogados que atiendan en español para este caso?

Sí. Los despachos especializados en privacidad de datos y mass tort frecuentemente tienen personal bilingüe. Al contactar, solicite específicamente atención en español. La consulta inicial es gratuita y sin compromiso.

¿Cómo puedo eliminar mis datos genéticos de 23andMe?

Inicie sesión en su cuenta de 23andMe, vaya a Configuración → Datos de 23andMe → Solicitar eliminación de sus datos de 23andMe. Confirme la solicitud y guarde el correo de confirmación. En el contexto de quiebra, solicitar la eliminación antes de cualquier venta puede fortalecer su posición si la base de datos genética de 23andMe es adquirida por un tercero.

¿Qué es la suspensión automática bajo 11 U.S.C. § 362?

Cuando un deudor presenta quiebra Chapter 11, una suspensión automática detiene inmediatamente todos los litigios civiles, cobros y acciones de ejecución contra el deudor. Para los reclamantes de 23andMe, significa que no se pueden presentar nuevas demandas contra la compañía en tribunales civiles — debe participar en el proceso de quiebra para hacer valer sus derechos.

¿Cuánto recibirá cada reclamante?

El fondo de $30 millones dividido entre aproximadamente 6.4 millones de reclamantes elegibles en EE.UU. significa que la recuperación individual de base será modesta. La quiebra complica aún más la distribución. No permita que las estimaciones bajas por persona lo disuadan de presentar — el proceso requiere esfuerzo mínimo y preserva su posición legal.