En la tarde del 25 de septiembre, Facebook descubrió una vulnerabilidad que comprometió la información de 50 millones de usuarios de la red social, y en la mañana del 28 de septiembre, menos de 72 horas después, emitió un comunicado para informar del ataque y las acciones que estaba tomando.
La compañía dijo que la vulnerabilidad que aprovecharon los atacantes está en la función “Ver como” que visualiza para los usuarios cómo luce su cuenta para el resto de la gente.
“Esto les permitió robar tokens de acceso a Facebook que luego podrían usar para hacerse cargo de las cuentas de las personas. Los tokens de acceso son equivalentes a las claves digitales que mantienen a las personas conectadas a Facebook para que no tengan que volver a ingresar su contraseña cada vez que usen la aplicación”, dijo la compañía en el comunicado.
Más allá de que este es el segundo escándalo de filtración de información que enfrenta Facebook después del caso de Cambridge Analytica, hay una gran diferencia entre ambos eventos: una nueva regulación que entró en vigor en mayo pasado que pone sanciones más fuertes para las compañías.
La Regulación General de Protección de Datos Personales (GDPR, por sus siglas en inglés) contiene varias disposiciones y reglas para la recolección, manejo y protección de la información de datos personales que hacen las compañías sobre los ciudadanos de la Unión Europea (UE).
Aunque esta regulación es para proteger a los ciudadanos de la comunidad europea, la regulación tiene alcance mundial, pues no importa que las oficinas centrales y servidores de la compañía se encuentren fuera del continente europeo, pues tendrán que cumplir con la regulación.
No se sabe cuántas de las millones de cuentas de Facebook vulneradas pertenecen a ciudadanos de la UE, pero la compañía actuó con mucha más celeridad por las fuertes sanciones que impone esta regulación.
De acuerdo con GDPR, cuando una compañía sea objeto de un incidente de seguridad que dé lugar a la violación de la confidencialidad, disponibilidad o integridad de los datos personales, debe “notificar a la autoridad sin demora y a más tardar 72 horas después de que hayan tenido constancia de ello” y, dependiendo de la magnitud del ataque, debe informar a los usuarios.
Además del daño reputacional, No cumplir con GDPR puede traer varias consecuencias económicas para las compañías. La multa más baja que contempla GDPR es de 10 millones de euros o 2% de los ingresos anuales a nivel mundial de la compañía infractora.
Mientras que la multa más alta puede ir de los 20 millones de euros hasta el 4% de los ingresos anuales a nivel global. Si Facebook incumple con GDPR en un caso como este, en el que la seguridad de decenas millones de cuentas fue violada, podría pagar hasta 1,597 millones de dólares, el equivalente a 4% de los ingresos mundiales que reportó en 2017.
La actuación de Facebook en este incidente contrasta con el que tuvo con el caso de Cambridge Analytica. Desde diciembre de 2015, reportes de medios internacionales alertaron de que esta consultora poseía y usaba información de millones de usuarios de Facebook sin su consentimiento para fines políticos. En ese entonces, Facebook se negó a comentar y dijo solamente que investigaba el asunto.
Sólo hasta que el escándalo estalló en marzo de 2018 al reportarse cómo Cambridge Analytica usó la información para las campañas del Brexit y las elecciones de Estados Unidos en 2016, Facebook fue objeto de un escrutinio más férreo. Inclusive Mark Zuckerberg, fundador de la red social, tuvo que testificar ante el Congreso estadounidense.
