Meta, la empresa matriz de Facebook, ha sido sancionada con una multa de 91 millones de euros por una violación significativa de seguridad relacionada con el almacenamiento indebido de contraseñas de los usuarios. La Comisión de Protección de Datos de Irlanda (DPC, por sus siglas en inglés), encargada de supervisar el cumplimiento de las leyes de privacidad en Europa, fue la entidad responsable de imponer esta sanción a la gigante tecnológica Meta.
El motivo de la multa a Meta radica en el almacenamiento inadvertido de las contraseñas de ciertos usuarios de Facebook en formato de «texto simple» dentro de los sistemas internos de Meta, lo que significa que dichas contraseñas no contaban con ninguna protección criptográfica ni cifrado. Este error en Meta expuso potencialmente la información sensible de millones de usuarios, aunque la DPC aclaró que “estas contraseñas no se pusieron a disposición de terceros”.
Esta multa es solo una de las muchas sanciones que Meta ha enfrentado bajo el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, lo que resalta la magnitud de los desafíos en torno a la privacidad y la protección de datos que enfrenta la empresa.
En este artículo de ITD Consulting, exploraremos en profundidad las razones detrás de la multa, las consecuencias del incidente, la respuesta de Meta y cómo este evento se sitúa en el contexto de los esfuerzos más amplios de la compañía para cumplir con las normativas de privacidad.

¿Por qué fue multada Meta?
La multa impuesta a Meta, equivalente a 91 millones de euros, fue el resultado de una infracción relacionada con el almacenamiento inseguro de las contraseñas de usuarios en sus sistemas internos. Todo comenzó en marzo de 2019, cuando Meta Platforms Ireland Limited (MPIL), la entidad que gestiona las operaciones de Facebook en Europa, notificó a la Comisión de Protección de Datos de Irlanda que había almacenado, de manera inadvertida, contraseñas de ciertos usuarios en «texto simple».
En términos simples, esto significa que las contraseñas de Meta no estaban protegidas por ningún tipo de cifrado o mecanismo de seguridad criptográfico, lo que las dejaba expuestas a posibles riesgos de seguridad.
Aunque Meta aseguró que las contraseñas no fueron accesibles para terceros ni utilizadas de manera indebida, la gravedad de la situación no pasó desapercibida para las autoridades regulatorias. En abril de 2019, la DPC inició una investigación exhaustiva para determinar si MPIL había cumplido con el RGPD en relación con la protección de contraseñas y la implementación de medidas de seguridad adecuadas en Meta.
Una de las principales preocupaciones fue evaluar si Meta había adoptado las medidas necesarias para proteger las contraseñas según los riesgos inherentes al procesamiento de datos sensibles.
La DPC también examinó si Meta había cumplido con su obligación de notificar correctamente cualquier violación de datos personales, tal como lo exige el RGPD, que estipula que las empresas deben informar de cualquier incidente de seguridad dentro de un plazo de 72 horas desde que se detecta la violación.
A pesar de que las contraseñas de Meta no se hicieron accesibles a terceros, la falta de cifrado o cualquier forma de protección adecuada constituye una infracción grave bajo el RGPD. Esta regulación establece claramente que las empresas deben implementar medidas de seguridad robustas para mitigar los riesgos asociados con el procesamiento de datos personales.
Como resultado, la sanción de 91 millones de euros impuesta a Meta refleja la importancia de garantizar un nivel de seguridad adecuado en todo momento y de cumplir con las obligaciones de notificación cuando se produce un incidente relacionado con la seguridad de los datos.
El RGPD y su aplicación en el caso de Meta
El Reglamento General de Protección de Datos (RGPD) es una legislación emblemática de la Unión Europea que busca garantizar la protección de los datos personales de los ciudadanos europeos. Esta normativa impone estrictos requisitos a las empresas que manejan datos personales, exigiéndoles que implementen medidas adecuadas para proteger la información de los usuarios contra accesos no autorizados y posibles abusos.
En el caso de Meta, la DPC determinó que la empresa no cumplió con los principios de «integridad y confidencialidad» estipulados en el RGPD. En particular, el artículo 32 del RGPD exige que las empresas adopten medidas de seguridad técnicas y organizativas adecuadas para garantizar un nivel de seguridad acorde con el riesgo que supone el procesamiento de datos personales.
El hecho de que Meta almacenara las contraseñas en texto simple sin cifrado representó una clara violación de estos principios, ya que dicha práctica expuso innecesariamente la información sensible de millones de usuarios.
Es importante señalar que el RGPD también establece requisitos en cuanto a la notificación de incidentes de seguridad. Según el reglamento, las empresas deben informar a las autoridades regulatorias dentro de las 72 horas siguientes a la identificación de una violación de seguridad que afecte a datos personales. Aunque Meta notificó a la DPC sobre el incidente, la investigación reveló que no lo hizo dentro del plazo estipulado, lo que supuso una infracción adicional de la normativa.
En resumen, la multa de 91 millones de euros refleja la gravedad de las violaciones de seguridad y la falta de medidas adecuadas por parte de Meta en cuanto a la protección de las contraseñas de los usuarios.
Esta sanción a Meta pone de relieve la importancia del cumplimiento riguroso del RGPD para garantizar la seguridad y la privacidad de los datos personales en un mundo cada vez más digitalizado.
La investigación de la DPC: ¿qué reveló?
La investigación que llevó a cabo la Comisión de Protección de Datos de Irlanda tras la notificación de Meta en 2019 reveló varios aspectos preocupantes en la gestión de seguridad de la empresa.
Según los informes, «cientos de millones» de contraseñas de usuarios fueron almacenadas en texto simple en los servidores de Meta, lo que representaba un riesgo considerable para la privacidad de los datos de los usuarios.
El principal problema detectado por la DPC fue la ausencia de cifrado en el almacenamiento de las contraseñas. El cifrado es una técnica esencial para proteger datos sensibles, ya que convierte la información en un formato ilegible para cualquier persona que no posea la clave de descifrado.
Al no emplear ninguna forma de cifrado, Meta puso en riesgo la integridad y confidencialidad de los datos, ya que, en teoría, cualquier persona con acceso no autorizado a los servidores de la empresa podría haber accedido a las contraseñas almacenadas.
Además, la investigación también reveló fallos en la documentación y notificación del incidente. El RGPD establece que las empresas no solo deben notificar cualquier violación de seguridad dentro de las 72 horas, sino también documentar adecuadamente la naturaleza del incidente y las medidas correctivas adoptadas. En este caso, Meta no cumplió con estos requisitos, lo que agravó aún más la situación.
La DPC destacó que este tipo de violaciones de seguridad son especialmente graves cuando afectan a contraseñas, ya que estas credenciales permiten el acceso a cuentas personales de los usuarios en redes sociales, donde se almacena información aún más sensible.
Como señaló Graham Doyle, comisionado adjunto de la DPC, “es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando personas no autorizadas acceden a dichos datos”.
Respuesta de Meta ante la multa
Tras la imposición de la multa de 91 millones de euros, Meta emitió un comunicado en el que minimizó la gravedad del incidente, refiriéndose a él como un “error” en sus procesos de gestión de contraseñas. Según un portavoz de la empresa, Meta tomó «medidas inmediatas» para corregir el problema una vez que fue detectado durante una revisión de seguridad en 2019.
En su declaración, Meta aseguró que el problema solo afectó a un “subconjunto” de usuarios de Facebook y que no había evidencia de que las contraseñas se hubieran utilizado de manera indebida o se hubieran accedido a ellas sin autorización. La empresa Meta también señaló que notificó de manera proactiva a la DPC sobre el problema y colaboró con las autoridades regulatorias durante toda la investigación.
Sin embargo, a pesar de los esfuerzos de Meta por restar importancia al incidente, la multa refleja la gravedad de la situación y los riesgos potenciales que implicaba el almacenamiento de contraseñas en texto simple.
Aunque no hubo pruebas de que las contraseñas de Meta se hubieran utilizado de manera indebida, el hecho de que estuvieran almacenadas sin protección adecuada durante un período de tiempo considerable expuso a millones de usuarios a riesgos innecesarios.

El impacto de la multa en Meta y la industria tecnológica
La sanción impuesta a Meta es solo una de las muchas que la empresa ha enfrentado en los últimos años en relación con violaciones de privacidad y seguridad de datos. Bajo el RGPD, las autoridades de protección de datos de la UE tienen el poder de imponer multas significativas a las empresas que no cumplan con las normativas de protección de datos.
En el caso de Meta, la multa de 91 millones de euros representa una fracción relativamente pequeña de sus ingresos anuales, que en 2023 ascendieron a 134.900 millones de dólares.
Sin embargo, la multa envía un mensaje claro a Meta y otras empresas tecnológicas sobre la importancia de cumplir con las normativas de privacidad. Las autoridades regulatorias están cada vez más comprometidas con hacer cumplir las leyes de protección de datos, y las empresas que no tomen en serio la seguridad de los datos se enfrentarán a sanciones considerables.
Este incidente con Meta también subraya la creciente importancia de la ciberseguridad y la protección de datos en un entorno digital cada vez más complejo.
Además de las sanciones monetarias, la multa también afecta la reputación de Meta, una empresa que ha sido objeto de escrutinio constante debido a sus prácticas en torno a la privacidad. Los usuarios están cada vez más preocupados por cómo se maneja su información personal, y las empresas tecnológicas están bajo presión para demostrar que pueden proteger los datos sensibles de manera efectiva. Incidentes como el almacenamiento de contraseñas en texto simple erosionan la confianza de los usuarios y refuerzan la percepción de que las grandes empresas tecnológicas priorizan el crecimiento y los ingresos por encima de la privacidad de los usuarios.
El papel de la DPC y la aplicación del RGPD
La Comisión de Protección de Datos de Irlanda (DPC) ha estado en el centro de muchas investigaciones de alto perfil relacionadas con la privacidad de datos, debido a que muchas empresas tecnológicas, incluidas Meta, Google y Apple, tienen su sede europea en Irlanda.
Esto coloca a la DPC en una posición crucial para aplicar el RGPD en toda Europa y garantizar que estas grandes corporaciones cumplan con las estrictas regulaciones sobre la protección de datos.
La DPC ha enfrentado críticas en el pasado por no imponer sanciones suficientemente fuertes o actuar con la rapidez adecuada. Sin embargo, la multa impuesta a Meta demuestra que la DPC está intensificando sus esfuerzos para garantizar el cumplimiento del RGPD y no dudará en imponer sanciones importantes cuando sea necesario.
Esta acción con Meta es una señal de que las empresas que operan en Europa deben tomar en serio sus responsabilidades bajo el RGPD y deben implementar las medidas de seguridad necesarias para proteger los datos de los usuarios.
Desde la implementación del RGPD en 2018, las multas impuestas a empresas que infringen la normativa han aumentado de manera constante. El caso de Meta, junto con otros incidentes de alto perfil, como las sanciones impuestas a Google por violaciones similares, demuestra que el RGPD es una herramienta efectiva para responsabilizar a las empresas tecnológicas por sus prácticas de privacidad y seguridad.
Lecciones aprendidas y el camino a seguir
El incidente que llevó a la multa de 91 millones de euros a Meta ofrece varias lecciones importantes tanto para la empresa como para la industria tecnológica en su conjunto. Primero y más importante, subraya la necesidad de implementar medidas de seguridad adecuadas para proteger la información sensible de los usuarios.
El almacenamiento de contraseñas en texto simple es un error fundamental de seguridad que podría haberse evitado fácilmente con prácticas de seguridad estándar, como el uso de algoritmos de hash para cifrar las contraseñas.
En segundo lugar, el incidente destaca la importancia de cumplir con los plazos de notificación establecidos en el RGPD. Meta falló no solo en proteger adecuadamente las contraseñas de los usuarios, sino también en cumplir con su obligación de notificar de manera oportuna a las autoridades sobre la violación de seguridad.
Las empresas deben tener procedimientos claros y bien definidos para identificar y responder rápidamente a los incidentes de seguridad para minimizar el daño y cumplir con los requisitos regulatorios.
Finalmente, la multa refuerza la importancia de la transparencia y la responsabilidad en el manejo de datos personales. Las empresas deben ser proactivas al abordar los problemas de privacidad y seguridad, y deben estar dispuestas a asumir la responsabilidad cuando cometen errores.
Los usuarios confían en que las empresas protegerán su información personal, y cualquier falla en hacerlo puede tener consecuencias graves no solo en términos de sanciones financieras, sino también en la confianza del consumidor.
¿Qué deben hacer las empresas para evitar sanciones similares?
El caso de Meta sirve como un recordatorio claro para todas las empresas que manejan datos personales sobre la importancia de implementar medidas de seguridad sólidas y cumplir con las normativas de privacidad. A continuación, se presentan algunas recomendaciones clave para evitar sanciones similares a la del caso de Meta:
1. Implementar cifrado robusto
Las contraseñas y otros datos sensibles deben cifrarse utilizando algoritmos fuertes que conviertan la información en un formato ilegible sin la clave de descifrado. Esto asegura que, incluso si los datos se ven comprometidos, no podrán ser utilizados por actores malintencionados.
2. Realizar auditorías de seguridad periódicas
Las empresas deben revisar regularmente sus sistemas de seguridad para identificar posibles vulnerabilidades y corregirlas antes de que se conviertan en problemas graves. Las auditorías de seguridad también pueden ayudar a garantizar que se sigan las mejores prácticas en la protección de datos.
3. Capacitar al personal en ciberseguridad
Los empleados son una línea de defensa crucial contra las amenazas de seguridad. Las empresas deben proporcionar capacitación regular sobre ciberseguridad para que los empleados comprendan los riesgos y sepan cómo responder adecuadamente a incidentes de seguridad.
4. Desarrollar un plan de respuesta a incidentes
Las empresas deben tener un plan claro para responder a incidentes de seguridad, incluyendo procedimientos para identificar y mitigar los daños, así como para notificar a las autoridades y a los usuarios afectados en los plazos establecidos por el RGPD.
5. Cumplir con los requisitos de notificación del RGPD
Si se produce una violación de seguridad que afecta a datos personales, las empresas deben notificar a las autoridades de protección de datos dentro de las 72 horas siguientes. Esta notificación debe incluir una descripción detallada del incidente, las medidas adoptadas para mitigar el impacto y cualquier acción correctiva que se haya implementado.
6. Fomentar una cultura de privacidad y seguridad
Las empresas deben adoptar una mentalidad de «privacidad por diseño» en la que la protección de los datos de los usuarios sea una prioridad en todos los aspectos de sus operaciones. Esto incluye integrar prácticas de seguridad desde el inicio en el desarrollo de productos y servicios.
7. Monitoreo continuo de los sistemas
El monitoreo constante de los sistemas de seguridad es esencial para detectar amenazas en tiempo real y responder a ellas antes de que causen un daño significativo. Las empresas deben utilizar herramientas avanzadas de monitoreo y análisis para identificar actividades sospechosas y posibles violaciones de seguridad.
8. Colaboración con autoridades regulatorias
En caso de una violación de seguridad, las empresas deben cooperar plenamente con las autoridades regulatorias para resolver el problema de manera eficiente. La transparencia y la colaboración pueden ayudar a mitigar las consecuencias y demostrar el compromiso de la empresa con la protección de los datos.

La multa de 91 millones de euros impuesta a Meta por la violación de seguridad relacionada con el almacenamiento indebido de contraseñas destaca los riesgos que enfrentan las empresas cuando no adoptan las medidas adecuadas para proteger la información de los usuarios.
El RGPD es una herramienta poderosa que permite a las autoridades reguladoras como la DPC responsabilizar a las empresas por sus fallas en la protección de datos, y este caso sirve como un recordatorio para todas las organizaciones sobre la importancia de cumplir con las normativas de privacidad.
A medida que la tecnología sigue avanzando y las empresas gestionan volúmenes cada vez mayores de datos personales, la ciberseguridad y la privacidad seguirán siendo áreas de enfoque clave.
Las organizaciones deben estar dispuestas a invertir en medidas de seguridad sólidas, adoptar un enfoque proactivo en la gestión de riesgos y garantizar la transparencia en el manejo de los datos de los usuarios. Solo de esta manera podrán evitar sanciones significativas y mantener la confianza de los usuarios en un entorno digital en constante evolución.
Si quieres conocer más de medidas de ciberseguridad para evitar incidentes como el de Meta y sanciones así de grandes, escríbenos a [email protected]. Tenemos un equipo dedicado a brindarte las mejores soluciones de ciberseguridad.