La Comisión de Protección de Datos de Irlanda anunció este viernes que Meta tendrá que pagar una multa de 91 millones de euros por almacenar contraseñas de Facebook e Instagram en texto plano; es decir, sin ningún tipo de cifrado que las protegiera. La decisión se ha tomado tras una investigación que se inició en abril de 2019 y que se extendió durante los últimos 5 años.
De acuerdo con los reguladores, el castigo económico responde a que Meta violó múltiples artículos del Reglamento General de Protección de Datos de la Unión Europea (GDPR) al no proteger correctamente las contraseñas de varios cientos de millones de usuarios de Facebook e Instagram.
Si bien 91 millones de euros puede parecer poco para una corporación del calibre de Meta, se suma a otras varias multas que los de Mark Zuckerberg han recibido en Europa en los últimos años.
La firma de Menlo Park recibió un castigo récord de 1.200 millones de euros en mayo de 2023 por utilizar de forma indebida la información de sus usuarios para mostrarles anuncios personalizados. Pero previo a ello, entre septiembre de 2021 y enero de 2023, fue sancionada en múltiples ocasiones por infringir el GDPR, acumulando más de 1.000 millones de euros en penalidades.
El caso del almacenamiento deficiente de las contraseñas de Facebook e Instagram es un capítulo más en la tensa historia que comparten Meta y los reguladores europeos. Además de la multa, los californianos se llevan una reprimenda formal de parte de las autoridades irlandesas.
«Es un hecho ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen del acceso a dichos datos por parte de personas. Hay que tener en cuenta que las contraseñas que se analizan en este caso son especialmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios».
Graham Doyle, comisionado adjunto del organismo irlandés.
La investigación de Irlanda sobre Meta se inició semanas después de que la compañía informara que había almacenado cientos de millones de contraseñas de Facebook e Instagram en texto plano. El fallo se conoció tras una investigación interna que reveló que la información sensible se guardó en una base de datos sin cifrar a la que podían acceder unos 22.000 empleados.
Si bien los de Zuckerberg ratificaron que las contraseñas de Facebook e Instagram nunca estuvieron al alcance de personas ajenas a la firma, sí aparecieron en unos 9 millones de búsquedas de datos realizadas por alrededor de 2.000 ingenieros de Meta.
El calibre del caso también fue motivo de mucho debate. En su momento se estimó que entre 200 y 600 millones de usuarios se vieron afectados por esta situación. La compañía explicó que muchas de las contraseñas de Facebook e Instagram guardadas sin cifrado eran antiguas y databan al menos de 2012. Aun así, tuvo que iniciar una campaña masiva alertando a las cuentas impactadas e invitándolas a cambiar de clave, incluso aunque ya no fueran las mismas que se habían expuesto inadvertidamente.
Todo hace pensar que Meta —o cualquier gran tecnológica— ya no cometerá un error tan grosero en el futuro. Aunque está claro que almacenar contraseñas en texto plano era un fallo increíblemente burdo incluso en 2019. Un fail que añade unos varios millones de euros más a la larga lista de multas que Zuck y compañía han tenido que afrontar en los últimos años.