La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 91 millones de euros a Meta, la empresa matriz de Facebook, por almacenar contraseñas de usuarios en “texto plano”, sin ningún tipo de protección criptográfica.
Esta vulneración, detectada en 2019, supone una grave infracción del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, según indicó el regulador irlandés en un comunicado.
La práctica del “texto plano” implica que las contraseñas de los usuarios no estaban cifradas, lo que permitía a cualquier empleado de Meta acceder a información confidencial de forma directa, violando los principios básicos de seguridad y privacidad que exige el RGPD.
Aunque la compañía asegura que las contraseñas no fueron expuestas a terceros, la falta de protección adecuada es considerada una violación seria de los derechos de los usuarios.
Incidente descubierto en 2019
Meta fue la primera en notificar este problema a las autoridades en marzo de 2019, admitiendo que “había almacenado inadvertidamente ciertas contraseñas de usuarios de medios sociales” en formato sin cifrado.
La DPC inició una investigación en abril de ese mismo año, evaluando las medidas de seguridad que Meta había implementado para proteger los datos de sus usuarios y si la empresa cumplió con su obligación de notificar adecuadamente el incidente.
El informe concluyó que Meta no solo falló en informar de manera oportuna el almacenamiento inadecuado de contraseñas, sino que también incumplió en implementar medidas de seguridad adecuadas y en documentar las violaciones de datos que comprometían la privacidad de sus usuarios. Además de la multa económica, la DPC emitió una reprimenda formal a la empresa.
Declaraciones de la Comisión de Protección de Datos
El comisario adjunto del CPD, Graham Doyle, señaló que el almacenamiento de contraseñas en texto plano “es ampliamente reconocido como una práctica insegura, dada la vulnerabilidad de los datos ante accesos no autorizados“.
También destacó que las contraseñas en cuestión “permiten acceder directamente a las cuentas de redes sociales de los usuarios”, lo que aumenta significativamente los riesgos de abuso.
Meta ha enfrentado múltiples sanciones en Europa por violaciones de la privacidad. En mayo de 2023, fue multada con 1.200 millones de euros por transferir ilegalmente datos de usuarios europeos de Facebook a Estados Unidos.
En 2021, fue penalizada con 405 millones de euros por la gestión inadecuada de los datos de menores en Instagram.
A principios de 2023, la empresa fue sancionada con 390 millones de euros por la falta de una base legal para procesar datos de usuarios en Instagram y Facebook con fines publicitarios.
Con esta nueva multa de 91 millones de euros, Meta refuerza su posición como la empresa tecnológica con el mayor número de sanciones en Europa por incumplimientos del RGPD, un recordatorio de la importancia de la protección de datos personales en la era digital.