Meta, la empresa matriz de Facebookrecibió una multa sustancial de 251 millones de euros por parte de la Unión Europea luego de una brecha de seguridad crítica revelada en 2018 que comprometió los datos de más de 29 millones de usuarios.
El origen de la brecha de seguridad
La brecha de seguridad detectada en septiembre de 2018 se refería a la función “Ver como” en Facebook. Utilizada por los usuarios para ver su perfil tal como aparece ante otras personas, la función tenía tres errores distintos que los piratas informáticos lograron explotar. Estas fallas técnicas permitieron a los piratas informáticos generar tokens de acceso, que servían como claves digitales para iniciar sesión sin necesidad de contraseña, accediendo así a las cuentas de los usuarios como si fueran sus legítimos propietarios.
Las consecuencias fueron inmediatas y graves: alrededor de 29 millones de perfiles se vieron comprometidos y sus datos personales potencialmente quedaron expuestos. De estas cuentas, casi 3 millones pertenecían a residentes de la Unión Europea, aumentando así la implicación directa de la Comisión Irlandesa de Protección de Datos (DPC).
Naturaleza de los datos comprometidos
La información a la que accedieron los piratas informáticos es variada e incluye datos sensibles como el nombre completo de los usuarios, la dirección de correo electrónico, el número de teléfono, la fecha de nacimiento e incluso la religión, según informes del DPC. Además, para algunas cuentas, la información disponible iba mucho más allá, incluyendo detalles como el sexo, el idioma y la ubicación geográfica reciente de los usuarios.
Este incidente reveló no sólo los peligros inmediatos para los usuarios afectados sino también el alcance de las vulnerabilidades presentes en los sistemas de seguridad de Facebook en ese momento. El mal manejo inicial de este incidente aumentó la gravedad de las consecuencias, que fue un factor decisivo en el monto de la multa impuesta.
Meta reacciones y acciones correctivas.
Tan pronto como se descubrió la infracción, Meta afirmó haber tomado medidas correctivas rápidas para cerrar la falla mientras informaba de manera proactiva a los usuarios afectados, así como a las autoridades reguladoras, incluido el DPC. Sin embargo, a pesar de estas acciones, las autoridades irlandesas dictaminaron que la empresa no había cumplido con ciertos requisitos fundamentales del RGPD, en particular en términos de comunicación y diseño de seguridad desde el principio.
El portavoz de Meta dijo en un comunicado que la empresa tiene intención de apelar esta decisión, argumentando que actuó con rapidez y transparencia una vez identificado el problema. Sin embargo, está claro que esta respuesta no convenció a los reguladores europeos, que vieron este asunto como un ejemplo emblemático de la necesidad de una infraestructura sólidamente protegida por el diseño.
Consecuencias regulatorias y financieras para Meta
Desde que entró en vigor el RGPD, Meta se ha enfrentado a varias sanciones severas. Antes de esta reciente multa de 251 millones de euros, la empresa fue condenada en varias ocasiones por infracciones similares. En mayo de 2023 se impuso una multa récord de 1.200 millones de euros por defectos reiterados en el tratamiento de datos personales. En septiembre de 2024, se reclamó una cantidad adicional de 91 millones de euros por otra brecha de seguridad que afectaba específicamente a las contraseñas de los usuarios.
Estos sucesivos incidentes demuestran una tendencia problemática en Meta en cuanto al cumplimiento de las obligaciones reglamentarias europeas en materia de protección de datos. A pesar de estos desafíos legales y de las multas acumuladas que superan con creces los mil millones de euros desde 2021, el crecimiento económico de Meta apenas parece afectado. El reciente informe financiero correspondiente al tercer trimestre de 2024 muestra unos ingresos que alcanzan los 40.590 millones de dólares, con un notable aumento del 19% interanual.
Aunque el negocio sigue siendo dinámico para Meta, la serie de multas recibidas pone de relieve la presión continua que los reguladores están ejerciendo sobre las grandes empresas de tecnología para aumentar la seguridad y la transparencia para sus usuarios. La persistencia de estas sanciones envía un mensaje claro: las normas de protección de datos deben tomarse en serio, no sólo para evitar sanciones financieras sino también para mantener la confianza de los usuarios.