Meta, la empresa matriz de Facebook, ha sido multada con 91 millones de euros por la Comisión de Protección de Datos de Irlanda. ¿La razón? Almacenar contraseñas de usuarios sin cifrado, lo que puso en riesgo la seguridad de millones de cuentas.
Publicado por: Karoll Zarate Pedraza
Meta, la empresa matriz de Facebook, ha sido sancionada con una multa de 91 millones de euros por la Comisión de Protección de Datos de Irlanda (DPC), luego de que se descubriera que almacenó contraseñas de usuarios sin cifrado en sus sistemas internos. Esta sanción es el resultado de una investigación que inició en abril de 2019, cuando Meta notificó a la DPC sobre una vulnerabilidad en la que las contraseñas de algunos usuarios de redes sociales se habían almacenado de manera insegura.
El fallo de la DPC subraya que Meta cometió una grave infracción al no proteger adecuadamente la información de sus usuarios, una violación directa del Reglamento General de Protección de Datos (RGPD). El almacenamiento de contraseñas en “texto simple”, sin ninguna forma de cifrado o protección criptográfica, representa un riesgo significativo, ya que permite potencialmente el acceso no autorizado a cuentas sensibles, lo que pone en peligro la integridad y la confidencialidad de los datos personales. Lea: Estos fueron los momentos finales de Carlos ‘El mocho’ Sánchez
Detalles de la investigación
La investigación de la DPC se centró en determinar si Meta Platforms Ireland Limited (MPIL), la entidad que gestiona las operaciones de Facebook en Europa, había implementado las medidas de seguridad necesarias para proteger las contraseñas almacenadas de acuerdo con los requisitos del RGPD. A pesar de que no hubo indicios de que las contraseñas llegaran a manos de terceros, la DPC concluyó que Meta había fallado en garantizar un nivel adecuado de seguridad.
La investigación también evaluó si Meta había cumplido con sus obligaciones de notificación y documentación de la vulnerabilidad, como exige el RGPD. El informe destaca que las contraseñas almacenadas en texto legible sin protección son particularmente sensibles, ya que podrían permitir el acceso directo a cuentas de redes sociales de los usuarios si se produjera una violación de seguridad.
La decisión final, tomada por los comisionados de protección de datos Dr. Des Hogan y Dale Sunderland, no solo impuso una multa de 91 millones de euros a Meta, sino que también emitió una reprimenda oficial a la compañía por su gestión inadecuada de datos personales.
Contexto de multas previas
Esta no es la primera vez que Meta enfrenta sanciones por el manejo inadecuado de los datos de los usuarios. En mayo de 2023, la DPC impuso una multa récord de 1.200 millones de euros a la empresa por la transferencia indebida de datos entre Europa y Estados Unidos, violando las normativas del RGPD. Esa sanción se destacó como la multa más alta jamás impuesta bajo esta ley europea de privacidad. Le puede interesar: Estos fueron los momentos finales de Carlos ‘El mocho’ Sánchez
Asimismo, en 2022, Meta fue multada con 265 millones de euros después de que datos personales de 533 millones de usuarios de Facebook en 106 países fueran publicados en un foro de piratería. Estos datos, que habían sido “extraídos” de la plataforma años antes, incluían información como números de teléfono y correos electrónicos.
La respuesta de Meta
Tras la sanción, Meta respondió a través de su portavoz, Matthew Pollard, afirmando que el problema con las contraseñas se había detectado durante una revisión de seguridad en 2019. En un comunicado enviado a medios como TechCrunch, Pollard explicó que la compañía había tomado “medidas inmediatas” para corregir el error en su sistema de gestión de contraseñas. El portavoz aseguró que no había evidencia de que las contraseñas fueran accedidas de forma indebida o que se hubiera abusado de ellas.
Publicidad
“Durante una revisión de seguridad en 2019, descubrimos que un subconjunto de contraseñas de usuarios de Facebook se registraba temporalmente en un formato legible dentro de nuestros sistemas de datos internos. Tomamos medidas inmediatas para corregir este error y no hay evidencia de que se haya abusado de estas contraseñas o se haya accedido a ellas de forma indebida”, señaló Pollard.
Meta también destacó que había notificado de manera proactiva a la DPC sobre el problema y que colaboró plenamente con la investigación desde el inicio. En su declaración, la empresa reconoció la importancia de mantener altos estándares de seguridad para proteger los datos personales de sus usuarios.
