Attaullah Baig, exjefe global de ciberseguridad de WhatsApp, ha presentado una demanda federal contra Meta, acusando a la empresa de fallos críticos en la protección de datos personales que habrían comprometido la privacidad de millones de usuarios. La denuncia expone un preocupante panorama de negligencia interna, acceso no controlado a datos sensibles y falta de respuesta ante incidentes de seguridad reportados durante años.

Acceso irrestricto a datos sin registros ni auditoría

Según la demanda presentada el 8 de septiembre de 2025 en San Francisco, más de 1,500 ingenieros de Meta podían acceder sin restricciones a datos confidenciales de los usuarios, incluidos contactos, direcciones IP, fotos de perfil y otros elementos sensibles. Baig asegura que no existían controles efectivos ni registros de auditoría sobre estas acciones, lo que contraviene prácticas básicas de gobernanza de datos y principios de privacidad por diseño.

Ausencia de un SOC 24/7 y miles de incidentes ignorados

La denuncia también destaca que WhatsApp no contaba con un Centro de Operaciones de Seguridad (SOC) con monitoreo permanente, lo que dificultaba la detección temprana y respuesta ante amenazas. Baig afirma que se producían más de 100,000 incidentes diarios relacionados con suplantación de identidad y accesos indebidos a cuentas, los cuales eran reportados internamente sin recibir atención ni acciones correctivas.

Entre los ejecutivos señalados por su presunta inacción se encuentran Will Cathcart, responsable directo de WhatsApp, y Mark Zuckerberg, CEO de Meta.

Repercusiones internas y despido controvertido

Baig también denunció haber sufrido represalias por insistir en la mejora de la seguridad, incluyendo evaluaciones negativas, advertencias verbales y, finalmente, su despido en febrero de 2025. Por su parte, Meta sostiene que su salida fue legítima, respaldada por evaluaciones de ingenieros senior y validada por el Departamento de Trabajo de EE.UU.

Bajo la lupa de la FTC desde Cambridge Analytica

Este nuevo caso se enmarca en el contexto de la orden de consentimiento impuesta por la Comisión Federal de Comercio (FTC) en 2020, tras el escándalo de Cambridge Analytica. Dicha orden obliga a Meta a mantener controles de privacidad estrictos hasta el año 2040. La demanda de Baig podría implicar nuevas investigaciones y sanciones por posibles violaciones a ese acuerdo.

¿Está Meta fallando en su promesa de proteger la privacidad?

Este caso pone en evidencia las tensiones crecientes entre la innovación tecnológica y la protección de datos personales. La posibilidad de que miles de empleados accedan a información privada sin supervisión efectiva representa un riesgo no solo legal y reputacional, sino también de seguridad nacional.

Expertos ya sugieren la necesidad de una auditoría independiente que evalúe el modelo de privacidad de WhatsApp, revise el cumplimiento con marcos regulatorios (como GDPR y la orden de la FTC) y proponga acciones de mejora tangibles.