El sistema usado por la popular plataforma de recogida de firmas Change.org permitía, hasta la semana pasada, 'suplantar' la identidad de cualquier persona dada de alta en dicho servicio para simular que ha firmado una petición. Esto es lo que ha denunciado la asociación de consumidores Facua ante la Agencia Española de Protección de Datos (AEPD), que pide forzar a Change.org para que borrar las firmas no comprobables y para que comunique a todos los afectados esta situación, aparte del inicio de un procedimiento sancionador contra la plataforma.

En virtud de este supuesto 'error' de seguridad, similar al denunciado hace más de cinco años por Ricardo Galli, Facua constató cómo "bastaba con entrar en cualquiera de las peticiones abiertas en Change.org e introducir una dirección de correo electrónico que estuviera vinculada a un usuario inscrito en su plataforma". 

"Con sólo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmarla, Change.org identificaba si el e-mail pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma", añade Facua. "Aunque el nombre y apellido introducidos fueran falsos", remarca la asociación, "la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase".

"A partir de esa primera firma, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas", asegura Facua. "De esta manera, cualquier usuario de Change.org podía aparecer vinculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas".

Así, Facua subraya que Change.org estaba dando por válidas y hacía públicas las firmas sin necesidad de que el titular de la dirección de correo electrónico hubiese validado que efectivamente había firmado y, en su caso, comentado una petición.

Change.org reacciona

Público supo de la existencia de la amenaza de denuncia el pasado día 22 de noviembre, un día después de que Facua lo comunicase a Change.org,  y se puso enseguida en contacto con la plataforma de recogida de firmas. Una semana más tarde, el 30 de noviembre, este diario recibió una respuesta de dicha plataforma en la que fuentes oficiales aseguraban "que no ha habido una brecha de seguridad, según se describe en el artículo 4 (12) del Reglamento General de Protección de Datos (RGPD) relacionado con las incidencias que plantean". "Lo hemos estudiado con nuestros asesores legales en España y ellos nos han confirmado este punto", incidieron.

No obstante, sí reconocieron haber "tomado medidas" al ampliar los supuestos de verificación, de modo que: 

1) Cualquier nuevo usuario que firme una petición no pueda registrar su firma sin una verificación.

2) Cualquier usuario existente que firme una petición no pueda registrar su firma sin una verificación.

3) Cualquier usuario existente deba verificar su cuenta para iniciar una petición.

Eso sí, Change.org comentó a este diario que están "introduciendo medidas para que cualquier petición iniciada por un nuevo usuario requiera verificación".

El 3 de diciembre, horas antes de la publicación de esta noticia, la plataforma publicó un comunicado en el que asegura que desde 2017 han "recibido menos de 20 mensajes –representando un 0.00001% de los mismos– solicitando eliminar su firma porque no habían firmado una petición en concreto". "En Change.org sufrimos intentos de suplantación de identidad al igual que el resto de grandes plataformas digitales", añade, y asegura haber solicitado a la AEPD "su asesoramiento sobre las medidas adicionales que pudieran ser necesarias para garantizar el respeto de los derechos de nuestros usuarios".

No es suficiente para Facua

Desde Facua saludaron estas medidas, pero las estimaron insuficientes. 

Así, exigen a la plataforma "que elimine todas las firmas y comentarios en peticiones publicadas en Change.org que no hayan sido verificadas expresamente por los usuarios (es decir, firmas que no se hayan efectuado por usuarios logueados en la web)".

"De lo contrario", apuntan, "se estarán manteniendo adhesiones y comentarios de usuarios que han podido ser víctimas de suplantaciones, y además relacionadas con cuestiones en las que los datos están especialmente protegidos, al estar vinculados a ideología política, religión, etc".

Además, Facua cree que "sí ha podido producirse una vulneración del Reglamento General de Protección de Datos (RGPD), por lo que debería efectuarse tanto la comunicación a la AEPD como a la totalidad de usuarios de Change.org". Por tanto, la asociación de consumidores ha denunciado el 3 de diciembre a la plataforma ante Protección de Datos.

La asociación considera que Change.org ha vulnerado los artículos 6 y 32 del RGPD al haber facilitado la publicación de firmas y comentarios de usuarios sin recabar su consentimiento y no haber establecido los sistemas de protección necesarios para impedir que terceras personas pudieran suplantar sus identidades y tener acceso a sus datos.

También entiende que ha incumplido el artículo 9 del Reglamento al haber tratado datos especialmente protegidos, relativos a opiniones y creencias políticas, sindicales, religiosas... sin las medidas de protección adecuadas.

Dudas sobre la denuncia

Según la opinión de Samuel Parra, experto en protección de datos de la firma ePrivacidad, "esa comunicación que exige Facua no procede". "Parece que ha calado que el RGPD obliga a comunicar cualquier brecha de seguridad a los interesados y a la Agencia (artículos 34 y 33), pero lo que dice la norma es esa comunicación se ha de realizar cuando la brecha entrañe un alto riesgo para la libertad y los derechos de los afectados", algo que hay que analizar caso por caso.

Así, en esta ocasión no es que se haya 'hackeado' la base de datos de Change.org ni nadie ha descargado los datos de la gente, sino que se podía acceder a algunos nombres y apellidos, de los que desconocemos incluso si son reales, así como los votos y poco más. "Honestamente, no creo que el acceso a estos datos entrañe un alto riesgo para la libertad y los derechos de los afectados", añade. Además, tampoco procede esa comunicación si ya se han tomado medidas para impedir nuevos accesos a esos datos en un futuro.

"No estaríamos pues ante una brecha de seguridad tal y como la describe el Reglamento", añade Parra. "Sí creo que debería ser necesario que se verifiquen las cuentas de correo antes de que el sistema las acepte, algo que no es nuevo en el caso de Change.org", recuerda, aunque "el objeto de la protección de datos no tiene que ver con posibles suplantaciones de identidad".