Meta, la empresa matriz de Facebook, ha sido sancionada con una multa de 91 millones de euros debido a una violación de seguridad relacionada con el almacenamiento indebido de contraseñas de usuarios. La Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés), entidad responsable de supervisar las actividades de Meta en Europa, fue la encargada de imponer esta sanción.
La empresa almacenó inadvertidamente las contraseñas de ciertos usuarios de Facebook en “texto simple” dentro de sus sistemas internos, lo que significa que no contaban con ninguna protección criptográfica ni cifrado, exponiendo potencialmente la información sensible de los usuarios. La DPC aclara que “estas contraseñas no se pusieron a disposición de terceros”.
Por qué multaron a Meta
Meta debe pagar una multa de 91 millones de euros debido a una infracción relacionada con el almacenamiento inseguro de contraseñas de usuarios en sus sistemas internos.
En marzo de 2019, Meta Platforms Ireland Limited (MPIL), la entidad que gestiona las operaciones de Facebook en Europa, notificó a la Comisión de Protección de Datos de Irlanda (DPC) que había almacenado de manera inadvertida ciertas contraseñas de usuarios en “texto simple”.
Esto significa que las contraseñas no contaban con protección criptográfica ni cifrado, dejando la información vulnerable a posibles riesgos de seguridad, aunque no fue accesible para terceros.
En abril de 2019, la DPC inició una investigación para determinar si MPIL había cumplido con el Reglamento General de Protección de Datos (RGPD). La investigación se centró en evaluar si la empresa había implementado medidas de seguridad adecuadas para proteger las contraseñas de acuerdo con los riesgos inherentes al procesamiento de datos sensibles.
Además, se analizó si MPIL había cumplido con su obligación de documentar y notificar correctamente las violaciones de datos personales a la autoridad reguladora, como lo exige el RGPD.
A pesar de que las contraseñas no se hicieron accesibles a terceros, la falta de cifrado o protección adecuada es una infracción grave según las normativas del RGPD, que requiere que las empresas implementen medidas de seguridad para mitigar los riesgos de procesamiento de datos personales.
La sanción impuesta refleja la importancia de garantizar un nivel de seguridad apropiado y de cumplir con las obligaciones de notificación en caso de incidentes relacionados con datos personales.
“Esta decisión de la DPC se refiere a los principios de integridad y confidencialidad del RGPD. El RGPD exige que los responsables del tratamiento de datos apliquen medidas de seguridad adecuadas al procesar datos personales, teniendo en cuenta factores como los riesgos para los usuarios del servicio y la naturaleza del tratamiento de datos”, indicó la identidad en un comunicado.
Respuesta de Meta ante la multa
Según TechCrunch, cuando se solicitó una respuesta de Meta tras su sanción, el portavoz de la empresa, Matthew Pollard, envió un comunicado por correo electrónico en el que Meta habría minimizado la gravedad del hallazgo.
En su declaración, la empresa habría afirmado tomar “medidas inmediatas” para corregir lo que describió como un “error” en sus procesos de gestión de contraseñas.
El correo electrónico habría descrito la situación de la siguiente manera:
“Como parte de una revisión de seguridad en 2019, descubrimos que un subconjunto de las contraseñas de los usuarios de Facebook se registraban temporalmente en un formato legible dentro de nuestros sistemas de datos internos. Tomamos medidas inmediatas para corregir este error y no hay evidencia de que se haya abusado de estas contraseñas o se haya accedido a ellas de forma indebida”,
“De manera proactiva, hemos señalado este problema a nuestro regulador principal, la Comisión de Protección de Datos de Irlanda, y hemos colaborado con ellos de manera constructiva durante toda esta investigación”.