Multan a Meta con 91 millones de euros por almacenar contraseñas en formato de texto plano
La Comisión de Protección de Datos Irlandesa (DPC por sus siglas en inglés) hizo pública el pasado 27 de septiembre una multa a Meta de 91 millones de euros, como castigo a un fallo de seguridad descubierto en 2019 por el que el gigante de las redes sociales estaba almacenando contraseñas de usuarios de Facebook e Instagram en formato de texto plano.
La sanción, que se impone concretamente a Meta Platforms Ireland Limited (MPIL) se justifica en varios puntos del Reglamento General de Protección de Datos (RGPD) europeo en relación con integridad y confidencialidad que la compañía de Mark Zuckerberg ha infringido.
La información de las contraseñas en texto plano estuvo almacenada en sistemas internos de la compañía, y según aseguran desde Meta, ningún actor externo o hacker tuvo acceso a ellas. No obstante, el mero hecho de guardarlas en este formato sin encriptación conlleva un riesgo a la seguridad ya que, en caso de que un ciberdelincuente accediese a ella, o de producirse una filtración de otro tipo, los datos quedarían expuestos a simple vista.
Según recoge el portal Krebs on Security, algunas de estas contraseñas datan de 2012, y un empleado de alto rango de Meta afirmó que «unos 2000 ingenieros o desarrolladores realizaron aproximadamente nueve millones de consultas internas de elementos de datos que contenían contraseñas de usuario en texto sin formato».
El Comisionado Adjunto de la DPC, Graham Doyle, ha declarado sobre la decisión del organismo que «es un hecho ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Hay que tener en cuenta que las contraseñas que se examinan en este caso son especialmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios».
Es decir, el riesgo no solo viene por posibles filtraciones, sino por el uso que los propios empleados de Meta podrían hacer al tener acceso a las mismas.
Puntos del RGPD quebrantados por Meta
Son 4 los artículos del RGPD que entran en conflicto:
- Artículo 33(1) del RGPD, ya que MPIL no notificó a la DPC una violación de datos personales relacionada con el almacenamiento de contraseñas de usuario en texto sin formato.
- Artículo 33(5) del RGPD, ya que MPIL no documentó las violaciones de datos personales relacionadas con el almacenamiento de contraseñas de usuario en texto sin formato.
- Artículo 5(1)(f) del RGPD, ya que MPIL no utilizó medidas técnicas u organizativas adecuadas para garantizar la seguridad adecuada de las contraseñas de los usuarios contra el procesamiento no autorizado.
- Artículo 32(1) del RGPD, porque MPIL no implementó medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluida la capacidad de garantizar la confidencialidad continua de las contraseñas de los usuarios.
Tal y como explican desde la autoridad de protección de datos, el RGPD exige que los responsables del tratamiento de datos implementen medidas de seguridad adecuadas al procesar datos personales, teniendo en cuenta factores como los riesgos para los usuarios del servicio y la naturaleza del procesamiento de datos.