La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 91 millones de euros (101,5 millones de dólares) a Meta tras concluir una investigación sobre una brecha de seguridad ocurrida en 2019. Esta brecha se produjo cuando la empresa, por error, almacenó las contraseñas de los usuarios en texto plano, lo que significa que no estaban cifradas ni protegidas adecuadamente.
En un comunicado inicial, Meta reveló que había detectado en enero de ese año contraseñas almacenadas incorrectamente en sus servidores. Sin embargo, un mes después, la compañía actualizó su información, indicando que millones de contraseñas de Instagram también estaban almacenadas en este formato fácilmente legible.
Aunque Meta no especificó cuántas cuentas se vieron afectadas, un alto empleado reveló a Krebs on Security que el incidente involucraba hasta 600 millones de contraseñas. Algunas de estas contraseñas habían estado almacenadas sin cifrar en los servidores de la empresa desde 2012, y se informó que hasta 20.000 empleados de Facebook podían acceder a ellas. A pesar de esto, la DPC aclaró que ninguna de estas contraseñas fue accesible a personas externas.
La investigación de la DPC concluyó que Meta había violado varias normativas del Reglamento General de Protección de Datos (GDPR). Determinó que la empresa no notificó de manera oportuna a la comisión sobre la brecha en el almacenamiento de contraseñas en texto plano y tampoco documentó adecuadamente estos incidentes. Además, la DPC señaló que Meta no implementó las medidas técnicas necesarias para garantizar la seguridad de las contraseñas de los usuarios, exponiéndolas a posibles accesos no autorizados.
El subcomisionado de la DPC, Graham Doyle, subrayó en un comunicado que es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, dada la facilidad con la que pueden ser abusadas por personas no autorizadas. Enfatizó que estas contraseñas eran particularmente sensibles, ya que permitían el acceso a las cuentas de redes sociales de los usuarios.
Además de la multa, la DPC emitió una reprimenda a Meta, aunque aún no se conocen los detalles exactos de lo que implicará esta medida adicional. Se espera que cuando la comisión publique su decisión final, se arroje más luz sobre las consecuencias completas de este caso para la empresa.
