Meta almacenó contraseñas de millones de usuarios en texto plano hace años. Ahora deberá pagar una multa millonaria en la UE

0
91

Han
pasado
casi
cinco
años
y
medio
desde
que
la
Comisión
de
Protección
de
datos
de
Irlanda
(CPD)
iniciara
una
investigación
sobre
Facebook,
Inc.,
el
conglomerado
de
empresas
de
redes
sociales
que
ahora
conocemos
como

Meta
Platforms,
Inc
.
El
procedimiento
tuvo
lugar
poco
después
de
que
se
conociera
que

Facebook
e
Instagram
habían
almacenado
millones
de
contraseñas
de
sus
usuarios
en
texto
plano
,
es
decir,
en
un
formato
legible
por
empleados
de
la
empresa.
Ahora,
el
organismo
encargado
de
garantizar
el
cumplimiento
del
Reglamento
General
de
Protección
de
Datos
(RGPD)

ha
dado
a
conocer
su
decisión
final
.


Multa
de
91
millones
de
euros
.
Las
compañías
que
operan
en
la
Unión
Europea
deben
prestar
especial
atención
a
la
protección
de
la
información
personal
de
los
usuarios.
Cometer
un
error
en
este
sentido
puede
costarles
bastante
caro.
Un
claro
ejemplo
de
ello
es
lo
que
acaba
de
suceder
con
Meta,
que
ha
recibido
una
multa
de
91
millones
de
euros
por
infringir
el
RGPD
con
el
mencionado
problema
de
seguridad.
La
decisión,
tomada
el
26
de
septiembre
por
los
Comisionados
de
Protección
de
Datos,
Dr.
Des
Hogan
y
Dale
Sunderland,
llega
acompañada
de
una
advertencia
formal
para
evitar
futuras
infracciones
de
este
tipo.


La
polémica
de
la
notificación
.
El
RGPD
no
solo
obliga
a
las
compañías
a
tratar
adecuadamente
los
datos
de
sus
usuarios,
sino
que
también
requiere
que
los
reguladores
sean
notificados
en
caso
de
un
problema
de
seguridad
o
una
brecha.
Así
lo
establece
el
artículo
33,
que
señala
que
la
notificación
debe
producirse
“sin
demora”.

Meta
notificó
a
la
CPD
del
incidente
en
marzo
de
2019

y
también
puso
en
marcha
un
esquema
para
informar
a
los
usuarios
afectados.
La
CPD,
sin
embargo,
señala
Meta
no
cumplió
debidamente
con
esta
obligación.
Conoceremos
todos
los
detalles
cuando
se
publique
el
informe
completo
más
adelante.

Por
lo
pronto,
sabemos
que
la
multa
y
la
sanción
responden
a
que
la
compañía
liderada
por
Mark
Zuckerberg
no
notificó
debidamente
el
incidente,
tampoco
documentó
correctamente
lo
sucedido,
no
utilizó
las
medidas
de
seguridad
adecuadas
para
proteger
a
las
contraseñas
contra
el
“tratamiento
no
autorizado”
y
no
implemento
medidas
adecuadas
para
“garantizar
un
nivel
de
seguridad
adecuado
al
riesgo”.
El
comisionado
Graham
Doyle
dijo
que
“es
bien
sabido
que
no
se
deben
almacenar
las
contraseñas
de
los
usuarios
en
texto
sin
cifrar,
ya
que
esto
conlleva
riesgos
de
que
alguien
acceda
y
haga
un
mal
uso
de
esa
información”.


Las
contraseñas
no
salieron
de
Meta
.
Tanto
la
CPD
como
Meta
coinciden
en
un
punto
muy
importante:
las
contraseñas
no
tuvieron
una
exposición
a
terceros.
Es
decir,
si
bien
se
almacenaron
en
texto
plano
durante
un
período
determinado
de
tiempo,
nadie
fuera
de
la
compañía
puso
acceder
a
ellas.
Tampoco
se
ha
encontrado
evidencia
de
que
las
contraseñas
hayan
sido
utilizadas
de
manera
inapropiada.
El
problema,
según
la
compañía,
fue
solucionado
rápidamente.
Además,
impulsaron
una
serie
de
medidas
de
seguridad
adicionales
para
reducir
el
uso
de
contraseñas
por
parte
de
los
usuarios.


Por
qué
la
Comisión
de
Protección
de
datos
de
Irlanda
.
El
Comité
Europeo
de
Protección
de
Datos
(CEPD)
está
compuesto
por
una
veintena
de
miembros
como
la
Agencia
Española
de
Protección
de
Datos
(AEPD).
Sin
embargo,
las
acciones
de
la
CPD
son
relevantes
por
varios
motivos.
En
primer
lugar,
la
sede
europea
de
Meta,
Meta
Platforms
Technologies
Ireland
Limited,
se
encuentra
en
Irlanda.
En
segundo
lugar,
la
CPD
trabaja
en
conjunto
con
sus
pares
con
el
objetivo
de
garantizar
el
cumplimiento
del
RGPD
de
manera
general.
Hace
un
año,
por
ejemplo,

la
CPD
multó
a
TikTok
con
45
millones
de
euros
.

Imágenes
|
Meta
(1,

2
)
|

Christian
Lue

En
Xataka
|

La
CNMC
multa
a
Booking
con
413
millones
de
euros:
la
mayor
sanción
de
la
historia
de
España
por
abuso
de
posición
de
dominio