La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 251 millones de euros (263 millones de dólares estadounidenses) a Meta, la empresa matriz de Facebook, debido a una falla en la protección de datos ocurrida en 2018, que resultó en el hackeo de más de 29 millones de cuentas de Facebook a nivel global.
El ataque ocurrió debido a una falla en la función ‘Ver como’, que generaba un token de acceso con permisos al perfil de otros usuarios. Los atacantes explotaron esta vulnerabilidad, accediendo a millones de cuentas. Facebook detectó la anomalía por un aumento inusual en la actividad de carga de videos y desactivó la función afectada.
Dicho fallo permitió a los atacantes acceder a información personal de los usuarios, incluyendo nombres completos, correos electrónicos, números de teléfono, ubicaciones, lugares de trabajo, fechas de nacimiento, publicaciones en las cronologías, grupos a los que pertenecían los usuarios y datos personales de menores de edad.
“Esta medida de cumplimiento subraya la importancia de incorporar los requisitos de protección de datos desde el diseño y desarrollo, ya que no hacerlo puede exponer a las personas a riesgos y daños significativos, incluyendo la vulneración de derechos y libertades fundamentales”, declaró Graham Doyle, comisionado adjunto del DPC.
De acuerdo con el regulador irlandés, que actúa en representación de la Unión Europea (UE), la filtración de datos afectó a unas 29 millones de cuentas de Facebook, de las cuales aproximadamente tres millones pertenecían a usuarios con residencia en Europa. Por su parte, según Associated Press, Meta planea apelar la decisión.
Esta no es la primera vez que Meta, la empresa de Mark Zuckerberg, enfrenta sanciones por parte de la Comisión de Protección de Datos de Irlanda (DPC). A lo largo de los años, ha acumulado varias multas significativas por incumplimientos relacionados con la privacidad y la protección de datos.
El 2 de septiembre de 2021, la DPC sancionó a WhatsApp, la aplicación de mensajería propiedad de Meta, con una multa de 225 millones de euros (267 millones de dólares) por no proporcionar a los ciudadanos de la Unión Europea información adecuada y transparente sobre cómo recopilaba, utilizaba y compartía sus datos con Meta.
El 15 de marzo de 2022, Meta fue nuevamente sancionada por la DPC con una multa de 17 millones de euros (18,6 millones de dólares). Esto se debió a que el organismo recibió 12 notificaciones de infracciones de datos que, según TechCrunch, afectaron a hasta 30 millones de usuarios entre junio y diciembre de 2018.
En septiembre de 2022, Instagram, también propiedad de Meta, fue multado con 405 millones de euros (402 millones de dólares) por el manejo inadecuado de datos de adolescentes en la Unión Europea, en violación del Reglamento General de Protección de Datos (RGPD), según informó el medio The Verge, citando a Caolmhe McGuire, portavoz de la Comisión de Protección de Datos.
El 28 de noviembre de 2022, la DPC concluyó una investigación que llevó a una multa de 265 millones de euros (276 millones de dólares) contra Meta. Esta sanción se relacionó con una filtración de datos que expuso información personal de más de 533 millones de usuarios de Facebook, según el investigador de seguridad Alon Gal.
A comienzos de enero de 2023, la DPC impuso a Meta sanciones por un total de 390 millones de euros (413 millones de dólares). De este monto, 210 millones correspondían a violaciones de privacidad relacionadas con Facebook, y 180 millones a infracciones similares vinculadas a Instagram, ambas en violación del RGPD.
En septiembre de 2024, tras una investigación iniciada en abril de 2019, Meta fue multada con 91 millones de euros por no proteger adecuadamente las contraseñas de los usuarios y por demorarse en notificar al regulador sobre el problema.