El pasado viernes, la Comisión de Protección de Datos (CPD) de Irlanda impuso una sanción de 91 millones de euros a Meta, la empresa matriz de Facebook e Instagram, tras concluir una investigación relacionada con un fallo de seguridad ocurrido en marzo de 2019. Este fallo reveló que Meta había almacenado por error las contraseñas de los usuarios en texto claro, sin cifrado, comprometiendo gravemente la seguridad de sus sistemas.
Violaciones del RGPD
La investigación del CPD, que comenzó en abril de 2019, determinó que Meta había violado varios artículos clave del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, incluyendo:
• Artículo 33, apartado 1: Meta no notificó de manera oportuna a las autoridades sobre la violación de seguridad.
• Artículo 33, apartado 5: No documentó adecuadamente las violaciones que implicaban el almacenamiento de contraseñas sin protección.
• Artículo 5, apartado 1, letra f): No implementó las medidas técnicas necesarias para garantizar la seguridad de las contraseñas, dejando expuestos los datos personales de los usuarios.
• Artículo 32, apartado 1: No aplicó medidas de seguridad adecuadas para proteger las contraseñas de los usuarios, lo que incrementó el riesgo de acceso no autorizado.
Inicialmente, Meta informó que este fallo de seguridad afectó a un subconjunto de contraseñas de Facebook, las cuales fueron expuestas en texto claro. A pesar de esto, la empresa afirmó que no había evidencia de accesos indebidos o mal uso de las contraseñas expuestas.
Impacto en Instagram y revelaciones adicionales
Un mes después del incidente inicial, Meta admitió que el problema también afectó a millones de contraseñas de usuarios de Instagram, exponiéndolas de manera similar. Los usuarios afectados fueron notificados.
Además, el reconocido blog de ciberseguridad Krebs on Security reveló que algunas de las contraseñas almacenadas en texto claro databan de 2012. Un empleado anónimo dentro de la empresa afirmó que “alrededor de 2.000 ingenieros y desarrolladores realizaron cerca de nueve millones de consultas a bases de datos que contenían estas contraseñas.”
Declaraciones de la CPD
Graham Doyle, comisionado adjunto de la CPD, expresó su preocupación en un comunicado oficial: “Es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto claro, dado el riesgo de abuso que supone el acceso no autorizado. Las contraseñas involucradas en este caso son especialmente sensibles, ya que permiten el acceso directo a las cuentas personales de los usuarios en redes sociales.”
Este incidente ha puesto de nuevo en el centro del debate la importancia de implementar medidas de seguridad robustas en las plataformas digitales, en particular en aquellas que manejan información tan crítica como las contraseñas de los usuarios.
El caso de Meta subraya la necesidad urgente de que las empresas tecnológicas revisen y fortalezcan sus prácticas de ciberseguridad, asegurándose de cumplir con las normativas y proteger los datos de sus usuarios. Esta multa no solo es una penalización económica, sino también un recordatorio del deber que tienen las compañías de garantizar la seguridad y privacidad de la información en la era digital.
Fuentes:
• Irish Data Protection Commission fines Meta Ireland €91 million
• Meta Fined €91 Million for Storing Millions of Facebook and Instagram Passwords in Plaintext
• Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years