Irlanda multa a Meta con 91 millones de euros por una filtración masiva de contraseñas

Meta, la empresa matriz de Facebook, ha sido multada con 91 millones de euros por la Comisión de Protección de Datos de Irlanda (DPC) por una grave violación de seguridad de contraseñas que afectó a 36 millones de usuarios de Facebook e Instagram en el Espacio Económico Europeo (EEE).

La violación, descubierta a principios de 2019, implicó que Meta almacenara inadvertidamente las contraseñas de los usuarios en texto sin formato, exponiéndolos a importantes riesgos de seguridad.

La multa pone de relieve el fracaso de Meta a la hora de implementar medidas de seguridad adecuadas y su demora en informar la infracción a los reguladores.

Meta recibe una fuerte multa por importantes fallos de seguridad

En abril de 2019, Meta notificó a la DPC irlandesa que había "almacenado inadvertidamente ciertas contraseñas de usuarios de redes sociales" en un formato desprotegido y legible en sus sistemas internos.

Este descubrimiento provocó una investigación por parte de la DPC, que encontró que las prácticas de almacenamiento de Meta representaban un riesgo de seguridad significativo para los usuarios.

Las contraseñas, almacenadas en texto simple, dejaron millones de cuentas vulnerables a un posible uso indebido por parte de terceros no autorizados que podrían acceder a la información confidencial.

La investigación de la DPC reveló que 36 millones de usuarios en todo el EEE, que incluye la UE, Islandia, Liechtenstein y Noruega, se vieron afectados por la violación.

Aunque Meta afirmó que no había evidencia de que se hubiera accedido a las contraseñas o de que se hubiera hecho un uso indebido de ellas, el regulador consideró que las acciones de la compañía eran insuficientes para proteger los datos de los usuarios y emitió una fuerte multa en respuesta a la violación.

El retraso de Meta eleva la multa

Otro factor crítico en la decisión de la DPC fue la demora en la notificación de la infracción por parte de Meta.

Aunque la compañía descubrió el problema en enero de 2019, no alertó al regulador hasta marzo de ese año, dejando la información personal de millones de usuarios expuesta durante meses sin que se tomaran medidas.

La DPC se apresuró a señalar que la demora en la presentación de informes constituía una violación de las regulaciones GDPR, que requieren que las empresas notifiquen a las autoridades dentro de las 72 horas posteriores a la identificación de tales incidentes.

Este retraso no hizo más que agravar la gravedad de la violación, ya que dio a los actores maliciosos más tiempo para explotar potencialmente la vulnerabilidad.

La DPC calificó de inadecuado el manejo de la situación por parte de Meta y señaló que la falta de medidas de seguridad adecuadas por parte del gigante de las redes sociales contribuyó directamente a la exposición de los datos.

La reacción de Meta y los próximos pasos

En su defensa, Meta explicó que el problema de la contraseña se produjo debido a un error interno y que el problema se resolvió rápidamente después de su descubrimiento.

La empresa afirma que el error afectó sólo a un número limitado de usuarios y notificó proactivamente al DPC una vez identificado el problema.

Meta afirmó además que no había evidencia que sugiriera que las contraseñas fueron accedidas o utilizadas con fines maliciosos.

A pesar de estas garantías, la DPC enfatizó que almacenar contraseñas en texto simple es una grave violación de los principios básicos de ciberseguridad.

La comisión destacó que las mejores prácticas dictan que los datos confidenciales, incluidas las contraseñas, siempre deben almacenarse en un formato cifrado para evitar su uso indebido en caso de acceso no autorizado.

Implicaciones financieras y de reputación para Meta

La multa de 91 millones de euros representa una importante sanción financiera para Meta, pero el daño a su reputación puede ser aún más costoso.

Con un escrutinio cada vez mayor sobre cómo los gigantes tecnológicos manejan los datos personales, particularmente a la luz de las regulaciones GDPR, el incidente se suma a la creciente lista de desafíos que Meta enfrenta en la UE.

La filtración sirve como un duro recordatorio de la importancia de contar con medidas sólidas de ciberseguridad, especialmente cuando se trata de manejar información confidencial de los usuarios.

Esta última multa se suma a una serie de acciones regulatorias tomadas contra Meta por las autoridades europeas.

Dada la enorme base de usuarios y la importante influencia de la empresa, incidentes como estos alimentan aún más las preocupaciones sobre cómo maneja la información personal que le confían millones de personas en todo el mundo.

Fortalecimiento de la supervisión regulatoria

La decisión de la DPC de imponer una multa significativa a Meta envía un mensaje claro a otras empresas que operan en la UE: el incumplimiento de los estándares del RGPD tendrá graves consecuencias.

Además de la sanción financiera, la gestión de la infracción por parte de Meta subraya la necesidad de una mayor supervisión regulatoria en la industria tecnológica.

A medida que los ciberataques y las violaciones de datos se vuelven cada vez más comunes, los reguladores de todo el mundo están intensificando sus esfuerzos para responsabilizar a las empresas por las fallas en la seguridad y la transparencia.

Para Meta, la multa de 91 millones de euros podría ser solo el comienzo, ya que la empresa continúa enfrentando escrutinio sobre sus prácticas de privacidad de datos en múltiples jurisdicciones.