La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa a Meta, la matriz de Facebook, de 265 millones de euros. El organismo apunta las deficiencias detectadas en la protección de datos personales de los usuarios de su red social.
Con esta nueva sanción a Meta, la compañía ya acumula casi mil millones de euros en multas impuestas por los reguladores europeos por incumplimiento de las normativas vigentes.
En esta ocasión, la multa es consecuencia del fallo que experimentó en sus sistemas de seguridad entre mayo de 2018 y septiembre de 2019. Un fallo que filtró los datos de 533 millones de usuarios y que se publicaron en abril de 2021.
Los datos expuestos incluían información personal, como números de teléfono móvil, ID de Facebook, nombres, sexo, ubicaciones, estados de relación, ocupaciones, fechas de nacimiento y direcciones de correo electrónico.
Todos estos datos se compartieron en un conocido foro de piratería, lo que permitió que los delincuentes los utilizaran para llevar a cabo ataques dirigidos.
En ese momento, Facebook manifestó que los ciberdelincuentes habían recopilado los datos explotando un fallo en su herramienta para «Importar contactos». Esta asociaba números de teléfono con una identificación de Facebook para después, recopilando el resto de la información, crear un perfil para el usuario.
Desde la red social apuntaron que ya habían solucionado el error en 2019 y que los datos se recopilaron antes de estos sucesos.
Sin embargo, una investigación llevada a cabo por la DPC concluyó que Meta (entonces Facebook) infringió los artículos 25(1) y 25(2) del Reglamento General de Protección de Datos (RGPD). Por ello, ha impuesto sendas multas administrativas por 265 millones de euros.
El ‘scrapping’ amenaza de nuevo a Meta
La información de los usuarios no se habría obtenido mediante un ciberataque sino utilizando la técnica del ‘scrapping’, que obtiene los datos a partir de la lectura de un sitio web. Para ello utiliza un software automatizado que permite distribuir la información en foros online.
Desde el regulador irlandés han explicado que, debido a que el conjunto de datos era tan grande y ya había precedentes de ‘scrapping’ en la plataforma y los podrían haber solucionado, han decidido sancionar a la compañía.
En el caso de Meta, la DPC entiende que los ciberdelincuentes utilizaron un fallo en la opción de importar contactos, tanto en Facebook como Instagram, para vincular números de teléfono con la información extraída públicamente. Esto les permitió crear perfiles que contenían información pública y privada.
Para el organismo, estos hechos se agravan teniendo en cuenta los riesgos que conllevan para los usuarios afectados. Y es que, con los datos filtrados, actores malintencionados pueden utilizarlos para llevar a cabo estafas, campañas de spam y phishing.
Con esta sanción, la DPC suma una más a la lista que acumula ante las malas prácticas de las grandes tecnológicas. Actualmente tiene abiertas 40 investigaciones sobre ‘big tech’ como Apple, Google, o Twitter, entre otras, incluida Meta, sobre la que recaen 13 investigaciones.
De hecho, el pasado mes de septiembre, el organismo regulador irlandés ya impuso una multa a Instagram de 405 millones de euros por su gestión de datos de menores. Una multa que Meta ya ha recurrido, algo que no ha sucedido con la de 225 millones para WhatsApp por incumplimiento de los requisitos de transparencia de la UE.
