Meta multada por almacenar cientos de millones de contraseñas sin cifrar
Meta, la empresa matriz de Facebook, ha sido sancionada con una multa de 101 millones de dólares por las autoridades irlandesas debido a un grave fallo de seguridad: el almacenamiento de cientos de millones de contraseñas de usuarios en formato de texto plano, un error que permitió que fueran accesibles para miles de empleados de la compañía.
Este incidente ha vuelto a poner en el foco la importancia de la seguridad en la gestión de datos sensibles y el cumplimiento de normativas como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
Contraseñas en texto plano: un grave error de seguridad
El incidente, revelado por Meta en 2019, afectó a las aplicaciones que permiten conectarse a las redes sociales propiedad de la empresa. Estas aplicaciones guardaban las contraseñas de los usuarios en texto plano, lo que significa que no estaban cifradas ni protegidas de ninguna manera, sino almacenadas tal cual, en una base de datos interna.
Este error hizo posible que aproximadamente 2.000 ingenieros de la compañía consultaran esas contraseñas más de 9 millones de veces, lo que evidencia la magnitud del fallo.
Meta afirmó que descubrió esta vulnerabilidad durante una revisión de seguridad rutinaria en sus sistemas internos de almacenamiento de datos. A pesar de asegurar que no encontraron pruebas de que las contraseñas hubieran sido accedidas de forma indebida ni por empleados ni por personas externas a la empresa, el hecho de haber almacenado información tan sensible sin protección durante tanto tiempo levantó serias preocupaciones sobre la seguridad de la compañía.
Por más de tres décadas, las buenas prácticas en la industria tecnológica exigen el uso de métodos criptográficos para proteger contraseñas. El estándar implica cifrar las contraseñas mediante un algoritmo de «hashing», el cual genera una cadena única de caracteres para cada contraseña, asegurando que el texto original no pueda ser revertido de forma directa. Este enfoque garantiza que, en caso de una filtración de datos, las contraseñas no estén disponibles de inmediato para los ladrones.
La multa de la comisión de protección de datos de irlanda
La Comisión de Protección de Datos de Irlanda (DPC) investigó este incidente durante cinco años antes de imponer una multa de 101 millones de dólares a Meta. Según Graham Doyle, comisionado adjunto de la DPC, «es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, dado el riesgo de abuso que surge al acceder a esos datos«.
Además, destacó que las contraseñas involucradas eran particularmente sensibles, ya que permitían acceder a las cuentas personales de los usuarios en redes sociales.
Este incidente se suma a otros problemas legales que Meta ha enfrentado bajo el GDPR. Desde su implementación en 2018, la compañía ha recibido más de 2.230 millones de dólares en multas por diversas violaciones de la normativa. La multa más alta, de 1.340 millones de dólares, fue impuesta por la transferencia de datos de usuarios europeos a servidores en Estados Unidos, una sanción que Meta está apelando.
