Meta, la empresa de Facebook, Instagram y WhatsApp, ha sido multada con 91 millones de euros (aproximadamente 106 millones de dólares) por el Comisionado de Protección de Datos de Irlanda (DPC) tras descubrirse que almacenó contraseñas de usuarios en texto plano, es decir, sin ninguna protección criptográfica. Esta multa a Meta por las contraseñas vulnerables se enmarca dentro del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que exige medidas estrictas para proteger los datos personales de los usuarios.

El problema salió a la luz en abril de 2019, cuando Meta informó al DPC que «cientos de millones» de contraseñas de usuarios de Facebook habían sido almacenadas incorrectamente en sus sistemas internos. A pesar de que la empresa asegura que estas contraseñas no fueron accesibles para terceras partes externas, el simple hecho de que no estuvieran cifradas generó gran preocupación tanto entre los usuarios como entre los reguladores.

La naturaleza del problema era grave: las contraseñas, al no estar cifradas, quedaban vulnerables a un posible acceso por parte de empleados internos o a una eventual fuga de datos en caso de un ciberataque.

La violación del GDPR

El GDPR, implementado en mayo de 2018, establece que las empresas deben proteger adecuadamente los datos personales de sus usuarios y tomar medidas técnicas y organizativas apropiadas para evitar accesos no autorizados. Además, exige que cualquier violación de datos se notifique a las autoridades dentro de un plazo de 72 horas tras su detección. En el caso de Meta, la notificación al DPC se realizó, pero la investigación concluyó que no fue lo suficientemente oportuna ni detallada como para cumplir con los estrictos requisitos del reglamento.

La investigación también reveló que Meta no había implementado medidas adecuadas para proteger las contraseñas contra el procesamiento no autorizado. Además, el DPC destacó que la compañía no mantuvo un registro adecuado del incidente, lo que constituye otra violación del GDPR, que exige a las empresas documentar todas las violaciones de datos personales.

La respuesta de Meta

En respuesta a la multa, Meta emitió un comunicado, a través de su portavoz Matthew Pollard, en el que asegura haber tomado “medidas inmediatas” tras descubrir el error en su proceso de gestión de contraseñas. “Informamos proactivamente a nuestro regulador principal, el Comisionado de Protección de Datos de Irlanda, y hemos colaborado constructivamente con ellos durante toda esta investigación”, afirmó Pollard.

La empresa argumenta que la violación fue resultado de un error humano inadvertido en lugar de una falla sistémica. Sin embargo, este incidente se suma a una serie de problemas de seguridad y privacidad que Meta ha enfrentado en los últimos años, lo que ha erosionado la confianza pública en la gestión de datos por parte de la compañía.

El problema de las contraseñas en texto plano

El almacenamiento de contraseñas en texto plano es una práctica que va en contra de los estándares más básicos de seguridad digital. Las contraseñas, uno de los mecanismos fundamentales para proteger la información personal, deben estar cifradas utilizando técnicas criptográficas que las hagan ilegibles, incluso en caso de que se acceda a ellas sin autorización.

Las contraseñas almacenadas en texto plano son vulnerables a un tipo de ataque conocido como «ataque de diccionario», en el cual los ciberdelincuentes comparan una lista de contraseñas comunes con las almacenadas en una base de datos para obtener acceso a cuentas de usuarios.

No es la primera vez que Meta se enfrenta a multas por violaciones del GDPR. De hecho, ha sido responsable de algunas de las sanciones más elevadas impuestas bajo este reglamento desde su entrada en vigor. Solo en 2023, la compañía fue multada con 1.31 mil millones de dólares por violar las normas sobre la transferencia de datos personales de usuarios fuera de la Unión Europea. Además, en enero de ese mismo año, Meta recibió una multa de 426 millones de dólares por no contar con una base legal válida para procesar datos de usuarios con fines publicitarios en Instagram y Facebook.

 

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre