Se habrá enterado de que, debido a un error de la compañía en 2019, distintos datos personales de 533 millones de usuarios de la red social en todo el mundo están disponibles en internet. De todos ellos, se calcula que casi 11 millones pertenecen a cuentas de España, una de las cuales podría ser la mía.

El martes, tres días después de que la filtración fuera descubierta por el experto ciberseguridad Alon Gal, quien encontró los datos en un foro de bajo nivel, Facebook emitió un comunicado en el que afirma: "Los actores malintencionados no obtuvieron estos datos pirateando nuestros sistemas, sino extrayéndolos de nuestra plataforma antes de septiembre de 2019", y añade: "La extracción de datos mediante funciones destinadas a ayudar a las personas infringe nuestros términos".

Con estas frases, la red social responsabiliza directamente a quien perpetrara la extracción para librarse de la culpa. Sin embargo, como bien señala, una extracción no es lo mismo que un hackeo. Mientras que un hackeo representa un ataque deliberado para sortear o romper las medidas de seguridad de un sistema informático, la extracción o raspado web (web scraping) consiste en crear un código que permita obtener información pública de forma automática.

Es como si fuera a recoger manzanas, pero, en lugar de cogerlas una a una, diseñara una máquina que lo hiciera por mí de forma masiva y automática (máquina que, por cierto, existe). O sea, que fuera quien fuera el que extrajo los datos de Facebook, pudo hacerlo gracias al mal diseño de una función, elaborado por la propia red social.

De hecho, en su comunicado admite: "cuando nos dimos cuenta de cómo los actores malintencionados usaban esta función en 2019 […] hicimos cambios para evitarlo".

No estoy defendiendo a quien quiera que fuera responsable de la extracción. Aunque el conjunto de datos ahora esté disponible públicamente, en su día, parece que el ladrón lo puso a la venta en la web oscura para que los compradores pudieran perpetrar delitos informáticos, como la suplantación de identidad y las campañas de envío de spam. Además, como afirma la red social, el uso de la técnica viola los términos de su servicio y, en este caso, sería ilegal en EEUU de acuerdo con su Ley de Delito y Fraude.

Con estos argumentos, Facebook parece estar intentando echar balones fuera para no responsabilizarse de esta "negligencia absoluta sobre nuestros datos", como la describe Gal. Porque, aunque el uso de la red social sea gratuito, la compañía no solo vive de nuestra información, también es la que debe asegurarse de que nadie pueda robarla ni usarla para fines contrarios a sus políticas, que es justo lo que ha pasado.

Por suerte, en Europa hay bastante más protección respeto a la privacidad de los internautas. La Comisión de Protección de Datos (CPD) de Irlanda, donde Facebook tiene su sede en nuestro continente, ya está investigando si la filtración se produjo antes o después de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la UE.

En caso de que así sea, se podrían emprender acciones legales contra la compañía. El reglamento establece que los servicios de internet deben garantizar la seguridad de los datos por defecto y contempla sanciones para las compañías que no informen de inmediato sobre posibles brechas de seguridad.

Sin embargo, el organismo afirma que "no ha recibido ninguna comunicación proactiva de Facebook".

Pero, dado que la CPD sospecha que algunos de los datos filtrados son posteriores al RGPD y que la red social no informó del fallo en su función cuando lo descubrió en 2019, todo apunta a que se enfrenta a otro gran embrollo. Este no es ni de lejos su primer escándalo de privacidad y, dado su largo historial, pongo la mano en el fuego por que tampoco será el último. Eso sí, con la mala suerte que tengo con la tecnología últimamente, seguro que me toca.