Facua avisa de fallo seguridad que permitía suplantar identidades en Change

La asociación de consumidores Facua ha pedido a la Agencia Española de Protección de Datos (AEPD) que evalúe un fallo de seguridad en la plataforma Change.org que permitía suplantar identidades para firmar y comentar peticiones, según ha informado la organización de consumidores en un comunicado.

Facua ha informado de los hechos a la AEPD, que ha confirmado que ha recibido esta comunicación, y ha considerado que se ha producido una vulneración del reglamento general de protección de datos de la UE y que la empresa debe comunicar el problema a todos los usuarios con cuenta en Change.

Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el correo pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma. Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase, según Facua.

Además, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil. A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas y de esta manera cualquier usuario de Change podía aparecer viculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas.

El problema de seguridad también permitía que cualquier persona crease o firmase una petición desde una cuenta de correo propia o ajena que no estuviera dada de alta en Change.org sin que hubiese que validarla, por lo que no era necesario que el titular del correo aceptase el alta mediante la recepción de un mensaje de correo con un enlace para aceptarla.

Según la nota, el pasado 21 de noviembre, FACUA puso estos fallos de seguridad en conocimiento de los responsables de Change.org, que se comprometieron de manera inmediata a tratarlos con la dirección de la empresa en Estados Unidos.

El pasado viernes, el director de Change en España, José Antonio Ritoré, comunicó a la asociación que discrepaban con que hubiesen incurrido en una vulneración de la normativa de protección de datos pero que aceptaban parte de sus demandas para evitar que las suplantaciones de identidad puedan seguir produciéndose.

Así, Ritoré indicó que habían "introducido medidas para que cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación" y que también "deba verificar su cuenta para iniciar una petición". También han modificado el sistema para que cualquier persona que se dé de alta en Change "no pueda registrar su firma sin una verificación" y además, están introduciendo medidas "para que cualquier petición iniciada por un nuevo usuario requiera verificación".

Según Facua, Change no ha aceptado enviar una comunicación a todos sus usuarios para informarles del problema de seguridad que afectaba a la plataforma, tal y como establece el artículo 34 del Reglamento general de protección de datos y que la empresa tampoco ha accedido a eliminar todas las firmas y comentarios de peticiones que se hubiesen producido por parte de usuarios que no estuvieran correctamente "logueados" (con su correo y contraseña).

Ante esto, FACUA puso los hechos en conocimiento de la AEPD ya que considera que Change.org ha vulnerado los artículos 6 y 32 del Reglamento general de protección de datos al haber facilitado la publicación de firmas y comentarios de usuarios sin recabar su consentimiento y no haber establecido los sistemas de protección necesarios para impedir que terceras personas pudieran suplantar sus identidades y tener acceso a sus datos, y además que ha incumplido el artículo 9 del Reglamento al haber tratado datos especialmente protegidos, relativos a opiniones y creencias políticas, sindicales o religiosas sin las medidas de protección adecuadas.

Ni este artículo, ni sus datos, ni su contenido multimedia o relacionado constituyen recomendación alguna o estrategia de inversión. Inversor Ediciones, SLU (incluyendo a sus profesionales, colaboradores y proveedores) declina cualquier responsabilidad relacionada con el uso que usted dé a los contenidos publicados por finanzas.com y/o la revista INVERSIÓN.