Meta multado $263M sobre 2018 violación de seguridad que afectó a ~3M usuarios de Facebook de la UE

# Meta multado $263M sobre 2018 violación de seguridad que afectó a ~3M usuarios de Facebook de la UE Natasha Lomas | 5:00 AM PST | 17 Diciembre 2024 ![image](https://hackmd.io/_uploads/HkTt4SBCyg.png) Image Credits: Jakub Porzycki/NurPhoto / Getty Images Meta ha sido multada con 251 millones de euros (alrededor de 263 millones de dólares) en la Unión Europea por una violación de seguridad de Facebook que afectó a millones de usuarios, que la compañía reveló en [septiembre de 2018](https://techcrunch.com/2018/09/28/facebook-says-50-million-accounts-affected-by-account-takeover-bug/). La sanción, emitida el martes por la Comisión de Protección de Datos (DPC) de Irlanda que aplica el Reglamento General de Protección de Datos (GDPR), está lejos de ser [la mayor multa del GDPR con la que Meta ha sido golpeada](https://techcrunch.com/2024/08/10/the-10-largest-gdpr-fines-on-big-tech/) desde que el sistema entró en vigor hace más de cinco años. Aún así, es notable ya que es una sanción sustancial para un solo incidente de seguridad. La brecha se remonta a julio de 2017, cuando Facebook lanzó una función de carga de video que incluía una función "Ver como", que permitía al usuario ver su propia página de Facebook como lo vería otro usuario. Un error en el diseño permitía a los actores maliciosos invocar al cargador junto con la función "Happy Birthday Composer" de Facebook para generar un token de usuario que les daba acceso completo al perfil de Facebook de ese usuario. Luego podrían usar el token para explotar la misma combinación de características en otras cuentas, obteniendo acceso no autorizado a los perfiles y datos de múltiples usuarios, según el DPC. Entre el 14 de septiembre y el 28 de septiembre de 2018, el watchdog dijo que personas no autorizadas utilizaron scripts para explotar esta vulnerabilidad para iniciar sesión en aproximadamente 29 millones de cuentas de Facebook en todo el mundo, alrededor de 3 millones de las cuales estaban basadas en la UE/ Espacio Económico Europeo. Los datos personales afectados por la violación incluyen nombres completos de los usuarios de Facebook, direcciones de correo electrónico, números de teléfono, ubicación, lugares de trabajo, fechas de nacimiento, religión, género, publicaciones en cronologías, grupos en los que eran miembros y datos personales de los niños. Es probable que el amplio alcance de los datos personales afectados haya influido en la cuantía de la multa. # Dos decisiones de ejecución El martes, el regulador irlandés emitió sus decisiones finales sobre dos investigaciones que había abierto en el incidente de 2018: Una decisión cubre la notificación de violación de Meta, ya que el GDPR requiere informes rápidos y completos de incidentes importantes de seguridad, mientras que el otro se refiere a las normas sobre la protección de datos por diseño y por defecto. En ambos casos, el DPC encontró que Meta violó el GDPR del bloque. La sanción total se desglosa del siguiente modo: Meta ha sido multado con € 11 millones en relación con la primera decisión, con el DPC conclusión de que la notificación de incumplimiento de la empresa no incluía toda la información que "podría y debería haber tenido." También señala que la empresa no documentó plenamente los hechos de la violación y las medidas adoptadas para remediar el problema. Además de eso, Meta ha sido multado con 240 millones de euros en relación con la segunda decisión, en la que el DPC confirmó que la compañía violó los principios del GDPR de protección de datos por diseño, ya que no tenía medidas adecuadas para proteger los datos de las personas frente a un procesamiento involuntario. Comentando en una declaración, el comisionado adjunto de la DPC, Graham Doyle, dijo: "Esta medida de aplicación pone de relieve cómo el incumplimiento de los requisitos de protección de datos durante todo el ciclo de diseño y desarrollo puede exponer a las personas a riesgos y daños muy graves, incluido un riesgo para los derechos y libertades fundamentales de las personas. "Los perfiles de Facebook pueden contener, y a menudo lo hacen, información sobre cuestiones tales como las creencias religiosas o políticas, la vida sexual u orientación, y asuntos similares que un usuario puede desear revelar solo en circunstancias particulares. Al permitir la exposición no autorizada de la información del perfil, las vulnerabilidades que subyacen a esta violación ocasionaron un grave riesgo de uso indebido de este tipo de datos." Otro elemento notable de la decisión de los dos comisionados del DPC, el Dr. Des Hogan y Dale Sunderland - que sustituyeron a la comisionada Helen Dixon [a principios de este año](https://techcrunch.com/2023/09/28/dpc-commissioner-job-ad/) - es que no se plantearon objeciones al proyecto de decisión de Irlanda por parte de las autoridades competentes. "El DPC agradece la cooperación y asistencia de sus autoridades de supervisión UE/EEE en este caso", escribió el regulador en un comunicado de prensa. [Los críticos del DPC bajo Dixon acusaron al regulador de no aplicar rutinariamente el GDPR en Meta](https://techcrunch.com/2023/01/19/meta-ads-noyb-epdb-gdpr-complaint/) y otros gigantes tecnológicos. Muchos de los proyectos de decisiones del regulador sobre la gran tecnología en ese momento fueron impugnados por sus pares. Una serie de ejecuciones contra Meta específicamente implicaron largos procedimientos de disputa - con algunos requiriendo decisiones vinculantes del Consejo Europeo de Protección de Datos para concluir el proceso. Por lo tanto, es notable que esta aplicación contra Meta, que el DPC dice fue presentada como un proyecto de decisión al mecanismo de cooperación del GDPR en julio de 2024, haya pasado sin daños. Alcanzada para una respuesta a la pena, la portavoz de Meta, Emily Westcott, envió por correo electrónico una declaración en la que la compañía escribió: "Esta decisión se refiere a un incidente de 2018. Tomamos medidas inmediatas para solucionar el problema tan pronto como fue identificado, e informamos proactivamente a las personas afectadas, así como a la Comisión de Protección de Datos de Irlanda. Contamos con una amplia gama de medidas líderes en la industria para proteger a las personas a través de nuestras plataformas." [En septiembre](https://techcrunch.com/2024/09/27/meta-fined-101-5m-for-2019-breach-that-exposed-hundreds-of-millions-of-facebook-passwords/), el DPC emitió otra decisión contra Meta por una violación de seguridad de 2019. La compañía fue multada con 91 millones de euros por un incidente en el que "cientos de millones" de contraseñas de usuarios habían sido almacenadas en texto plano en sus servidores. Temas: #Europa, Violación de la seguridad de Facebook gdpr, Meta gdpr, Violación de seguridad del RGPD, Privacidad, Social ___ Artículo Original en inglés: https://techcrunch.com/2024/12/17/meta-fined-263m-over-2018-security-breach-that-affected-3m-eu-users/?guccounter=1