Meta Multada con €91 Millones por Almacenar Contraseñas de Facebook e Instagram en Texto Plano

La Comisión de Protección de Datos de Irlanda (DPC) ha multado a Meta Platforms Ireland Limited (MPIL) con €91 millones ($100 millones) por almacenar inadvertidamente cientos de millones de contraseñas de usuarios internamente en texto plano.

También ha emitido una reprimenda a la empresa por el asunto.

En marzo de 2019, Meta notificó a la DPC que había almacenado incorrectamente ciertas contraseñas de usuarios de Facebook en texto plano en sus sistemas internos, es decir, sin protección criptográfica o cifrado. También reconoció públicamente el incidente en ese momento.

“Como parte de una revisión de seguridad de rutina en enero, encontramos que algunas contraseñas de usuarios se estaban almacenando en un formato legible dentro de nuestros sistemas de almacenamiento de datos internos. Esto llamó nuestra atención porque nuestros sistemas de inicio de sesión están diseñados para enmascarar contraseñas utilizando técnicas que las hacen ilegibles”, reveló Meta en un comunicado de prensa en marzo de 2019.

Si bien la empresa no reveló cuántos usuarios se vieron afectados por el problema, estimó que notificaría a “cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook” y “millones de usuarios de Instagram”.

En ese entonces, Meta dijo que no encontró evidencia de que las contraseñas estuvieran disponibles para partes externas y que no fueron abusadas internamente ni accedidas de manera inapropiada.

Tras la divulgación del incidente por parte de Meta, la DPC investigó las prácticas de almacenamiento de contraseñas de la empresa en abril de 2019 para evaluar el cumplimiento de MPIL con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

En particular, el gigante tecnológico había infringido cuatro artículos diferentes bajo el GDPR, que incluyen la falta de notificación a la DPC de las violaciones de datos personales, la documentación de las violaciones de datos personales con respecto al almacenamiento de contraseñas de usuarios en texto plano, la falta de uso de medidas técnicas u organizativas apropiadas para salvaguardar los datos de contraseñas de los usuarios contra el procesamiento no autorizado y la utilización de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad continua de las contraseñas de los usuarios.

“Se acepta ampliamente que las contraseñas de los usuarios no deben almacenarse en ‘texto plano’ considerando los riesgos de abuso que surgen de personas que acceden a tales datos. Debe tenerse en cuenta que las contraseñas objeto de consideración en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios”, dijo Graham Doyle, Comisionado Adjunto de la DPC, en un comunicado.

La DPC también dijo en un comunicado de prensa: “El GDPR requiere que los controladores de datos implementen medidas de seguridad apropiadas al procesar datos personales, teniendo en cuenta factores como los riesgos para los usuarios del servicio y la naturaleza del procesamiento de datos. Para mantener la seguridad, los controladores de datos deben evaluar los riesgos inherentes al procesamiento e implementar medidas para mitigar esos riesgos.”

En respuesta a las violaciones anteriores del GDPR, la DPC ha impuesto una multa de €91 millones ($100 millones) a Meta y una reprimenda de acuerdo con el Artículo 58(2)(b) del GDPR. La agencia publicará la información completa y más información relacionada con el incidente a su debido tiempo.

Reaccionando a la multa de la DPC, Meta dijo en un comunicado compartido con Associated Press: “Tomamos medidas inmediatas para corregir este error, y no hay evidencia de que estas contraseñas hayan sido abusadas o accedidas de manera inapropiada. Señalamos proactivamente este problema a nuestro regulador principal, la Comisión de Protección de Datos de Irlanda, y hemos colaborado constructivamente con ellos a lo largo de esta investigación.”