La firma de seguridad informática UpGuard reportó el hallazgo de una base de datos de 146 GB, vinculada con el medio digital Cultura Colectiva, que contiene cerca de 540 millones de datos de usuarios de Facebook. La base se encontraba almacenada en servidores de Amazon Web Service, sin el debido resguardo, ya que permitía la descarga pública de los archivos.

Entre los datos hallados se encuentran listas de amigos, likes, números de identificación, comentarios, reacciones y nombres de cuenta de un número no identificado de usuarios de la app de Cultura Colectiva en la red social. La firma asegura haber notificado al medio en dos ocasiones (10 de enero de 2019 y 14 de enero de 2019), sin recibir respuesta.

Posteriormente, UpGuard avisó a Amazon Web Services el 28 de enero; la empresa respondió haber notificado al dueño del servidor. La firma intentó advertir a AWS una vez más el 21 de febrero; en esta ocasión, Amazon reviró que “buscarían otras formas potenciales de manejar la situación”. Fue hasta que el medio Bloomberg (que publicó el hallazgo este 3 de abril) contactó a Facebook que la base de datos fue asegurada.

Cultura Colectiva reaccionó a la noticia con un comunicado en el que sostiene que “todos los datos públicamente disponibles que nos comparte Facebook (…) es [información] pública, no sensible y es información que cualquier usuario de Facebook puede ver”. El medio también desestima que haya existido algún riesgo para la privacidad, pues asegura que en la base de datos “no se incluía información privada o confidencial, como correos electrónicos o contraseñas”.

No obstante, además de que los datos almacenados de manera insegura por parte de Cultura Colectiva sí constituyen datos personales según la legislación mexicana, e incluso podrían revelar aspectos sensibles como afiliaciones políticas o religiosas, UpGuard destaca que, si bien estos datos fueron generados por la actividad de los usuarios en Facebook, no es responsabilidad de la red social el resguardo de esta información compartida, ya que estas terceras partes (como Cultura Colectiva) “se vuelven responsables de la seguridad” de estos datos.

Por su parte, Facebook comunicó su posición oficial señalando que “las políticas de Facebook prohíben explícitamente el almacenamiento de información de Facebook en bases de datos públicas. Una vez que fuimos notificados de este tema, trabajamos en conjunto con Amazon para remover dichas bases de datos. Estamos comprometidos con trabajar para proteger en conjunto con los desarrolladores los datos de las personas que usan la plataforma.”

Frente a esta revelación, en R3D consideramos indispensable que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) haga uso de sus facultades e inicie una investigación de oficio sobre el resguardo negligente de esta base de datos por parte de Cultura Colectiva y también respecto de la responsabilidad de Facebook frente al acceso a datos de sus usuarios por parte de terceros.

Imagen de Cultura Colectiva design team (CC BY-SA 4.0)