- Millones de contraseñas se almacenaron en texto plano por Meta durante varios años.
- La multa asciende hasta los 91 millones de euros.
La Comisión Irlandesa de Protección de Datos ha impuesto una multa de 91 millones de euros a la tecnológica Meta tras descubrirse un fallo de seguridad en 2019 por el cual se reveló que estaban almacenando por error millones de contraseñas en texto plano en sus sistemas. La investigación mostró que en las redes sociales de Facebook e Instagram se estaban incumpliendo cuatro artículos diferentes del Reglamento General de Protección de Datos de la Unión Europea.
➡️ Te puede interesar: La UE acusa a Meta de incumplir la ley europea al exigir un pago por no usar datos personales
El organismo de protección de datos de Irlanda culpó a la matriz de violar datos personales. Asimismo, solicitó documentar las violaciones de datos personales relativas al almacenamiento de contraseñas de usuarios en texto plano y aplicar las medidas necesarias para preservar la confidencialidad de las claves de los usuarios. Meta se defiende asegurando que no hay evidencia de accesos indebidos o abusos internos de esas claves, pese a que hubo una transgresión de la privacidad que llevó a una exposición de un subconjunto de contraseñas en texto plano en Facebook.
➡️ Te puede interesar: Las contraseñas más filtradas en la Dark Web y consejos para que la tuya no esté en la lista
Según una investigación en 2019, algunas contraseñas son de 2012. Además, un trabajador de alto rango confirmó que «unos 2 mil ingenieros o desarrolladores realizaron aproximadamente nueve millones de consultas internas sobre elementos de datos que contenían contraseñas de usuario en texto plano». Un tiempo más tarde, Meta confirmó que millones de contraseñas de Instagram también se guardaron en texto plano.
No deben guardarse en texto plano
Graham Doyle, comisionado adjunto de la Comisión Irlandesa de Protección de Datos, aseguró en rueda de prensa que «es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen de las personas que acceden a dichos datos». Además, confirmó que «hay que tener en cuenta que las contraseñas, objeto de consideración en este caso, son especialmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios». Meta ya ha confirmado que implementó las medidas necesarias de manera inmediata para subsanar el fallo, y aseguró que colaborará con el organismo competente para solventar el problema.
¿Qué peligro supone esta práctica?
El almacenamiento de contraseñas en texto plano representa un grave riesgo para la seguridad de los sistemas y los usuarios. La principal amenaza es que, si un atacante logra acceder a la base de datos o al sistema de almacenamiento, podrá leer directamente todas las contraseñas sin ningún tipo de protección. Esto facilita en gran medida el acceso no autorizado a las cuentas de los usuarios, pudiendo comprometer todo el sistema si se obtienen credenciales de administrador. Además, como muchas personas reutilizan contraseñas en diferentes servicios, el impacto de una filtración puede extenderse más allá del sistema comprometido inicialmente.
➡️ Te puede interesar: Un usuario filtra 10 mil millones de contraseñas en un foro de piratería
Otro riesgo es la pérdida de confidencialidad y confianza. Al almacenar las contraseñas sin cifrar, se viola el principio básico de protección de datos sensibles, lo que puede tener graves consecuencias legales y reputacionales para la organización. También se dificulta la atribución de acciones a usuarios específicos, ya que las contraseñas en texto plano pueden ser fácilmente manipuladas o falsificadas. Esto compromete la capacidad de establecer responsabilidades y puede tener implicaciones en sectores donde se requiere un alto nivel de seguridad y trazabilidad.
➡️ Si quieres adentrarte en el mundo de la Ciberseguridad y la Inteligencia, te recomendamos los siguientes programas formativos:
- Curso de Experto en Ciberinteligencia
- Máster Profesional de Analista de Inteligencia
- Curso-Certificado de Analista IMINT (Inteligencia de Imágenes)
- Curso de Experto en Detección de la Desinformación y Fake News
- Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
- Curso de Concienciación en Ciberseguridad
- Curso de Director de Ciberseguridad