Ex ingeniero de Meta investigado por más de 30,000 fotos privadas de Facebook

Ex ingeniero de Meta investigado por más de 30,000 fotos privadas de Facebook

      En resumen: Un exingeniero de Meta en Londres está bajo investigación criminal tras supuestamente construir un programa para extraer alrededor de 30,000 fotos privadas de Facebook mientras eludía los controles de seguridad de la plataforma, lo último en una serie de fallos de privacidad y seguridad que han surgido de la empresa en los últimos cuatro años. Los sistemas de seguridad internos de Meta están diseñados para prevenir precisamente este tipo de abuso: el acceso no autorizado a los datos de los usuarios por parte de las personas que construyeron la plataforma. Según la Policía Metropolitana y la Asociación de Prensa, no lo impidieron aquí. Un hombre de unos 30 años, un exingeniero de Meta que vive en Londres, fue arrestado en noviembre de 2025 bajo sospecha de acceso no autorizado a material informático según la Ley de Uso Indebido de Ordenadores. Desde entonces ha sido liberado bajo fianza y debe presentarse ante la policía en mayo de 2026. El caso, que salió a la luz esta semana, está siendo manejado por la Unidad Especializada en Cibercrimen de la Policía Metropolitana tras una remisión del FBI.

      Cómo supuestamente funcionó la violación

      Se cree que el ingeniero escribió un programa que podía extraer imágenes privadas de cuentas de Facebook mientras eludía los controles de seguridad que Meta utiliza para marcar accesos internos sospechosos. El resultado, según los investigadores, fue la extracción de alrededor de 30,000 fotografías pertenecientes a usuarios que no habían hecho públicas esas imágenes. Meta dijo a la BBC que la violación fue descubierta hace más de un año, colocando el descubrimiento antes de abril de 2025, después de lo cual la empresa dijo que despidió inmediatamente al empleado y remitió el asunto a las autoridades.

      Los mecanismos de cómo el programa evitó la detección no han sido divulgados públicamente ni por Meta ni por la Policía Metropolitana. Lo que está claro en la cronología es que transcurrió un período de varios meses entre el descubrimiento de la violación y el arresto en noviembre de 2025, consistente con una investigación interjurisdiccional que involucró al FBI antes de que la remisión llegara a las autoridades británicas. Meta dijo que desde entonces ha notificado a los usuarios de Facebook cuyas imágenes fueron descargadas y ha mejorado sus sistemas de seguridad para abordar la vulnerabilidad.

      Una empresa con un largo historial de fallos de seguridad

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! La investigación se suma a un catálogo de problemas de privacidad y seguridad que han seguido a Meta durante años, y que los reguladores han considerado consistentemente lo suficientemente graves como para justificar sanciones financieras sustanciales. Meta invirtió decenas de miles de millones en la expansión de infraestructura de IA a lo largo de 2025, pero esa inversión no la ha aislado de una acumulación igualmente significativa de responsabilidad regulatoria.

      En noviembre de 2022, la Comisión de Protección de Datos de Irlanda, que actúa como el regulador principal de GDPR de Meta en la Unión Europea, multó a la empresa con €265 millones tras una investigación sobre la recolección de datos que expuso los detalles personales de hasta 533 millones de usuarios de Facebook. Los datos, incluidos nombres, números de teléfono y direcciones de correo electrónico, habían aparecido en un foro de hacking en línea en abril de 2021. La DPC encontró que Meta había fallado en implementar la protección de datos por diseño y por defecto como se requiere bajo los Artículos 25(1) y 25(2) del GDPR.

      Dos años después, en septiembre de 2024, el mismo regulador regresó con una multa adicional de €91 millones tras encontrar que Meta había almacenado inadvertidamente las contraseñas de aproximadamente 600 millones de usuarios de Facebook e Instagram en texto plano en sus sistemas internos, sin cifrado ni ninguna protección criptográfica. Las contraseñas nunca fueron expuestas a partes externas, pero la falta de asegurar internamente violó múltiples disposiciones del GDPR, incluido el requisito básico de implementar medidas de seguridad técnica apropiadas. Las dos multas juntas suman €356 millones en sanciones de un solo regulador europeo en un período de tres años.

      Meta también ha enfrentado una creciente presión legal sobre el diseño de sus plataformas. En marzo de 2026, un jurado de Los Ángeles encontró a Meta y Google negligentes en un caso histórico de seguridad en redes sociales, concluyendo que Instagram y YouTube habían sido diseñados de maneras que eran peligrosas para los usuarios más jóvenes, que las empresas eran conscientes de esos riesgos y que no advirtieron a los usuarios sobre el daño. La demandante, una mujer de 20 años conocida públicamente como Kaley, fue compensada con $6 millones en daños, divididos entre $3 millones en daños compensatorios y $3 millones en daños punitivos, siendo Meta responsable del 70% de la responsabilidad total. Ambas empresas dijeron que no estaban de acuerdo con el veredicto y planean apelar.

      El problema de la amenaza interna

      La investigación en Londres ilustra una categoría de riesgo que las grandes plataformas tecnológicas encuentran particularmente difícil de gestionar: el insider de confianza. Las violaciones externas, en las que los atacantes examinan los sistemas desde fuera de la organización, pueden ser defendidas a través de cortafuegos, limitación de tasas y detección de anomalías. El desafío con las amenazas internas es que la persona que está haciendo la exploración tiene acceso legítimo a los sistemas que está abusando, y puede entender precisamente qué sistemas de monitoreo eludir.

      La afirmación de Meta de haber detectado la violación y actuar rápidamente, despidiendo al empleado y haciendo una remisión a las autoridades, sugiere que sus controles internos finalmente marcaron la actividad inusual, incluso si no la previnieron. Lo que queda sin respuesta es cuánto tiempo funcionó el programa de extracción antes de ser detectado, y cómo 30,000 fotografías pudieron salir de la plataforma sin activar una alerta anterior. Esas preguntas presumiblemente formarán parte de la investigación de la Policía Metropolitana, junto con cualquier cargo criminal que el Servicio de Prosecución de la Corona decida perseguir una vez que concluya el período de fianza.

      Para los usuarios de Facebook cuyas imágenes privadas fueron tomadas, la notificación de Meta habrá sido poco consuelo. Las fotografías eran, por definición, aquellas que esos usuarios habían elegido no hacer públicas. Si eran personales, íntimas o simplemente privadas es desconocido. Lo que se sabe es que ahora están en circulación fuera de la plataforma, y que la persona supuestamente responsable de tomarlas estaba empleada por la empresa que esos usuarios confiaban para protegerlas.

Ex ingeniero de Meta investigado por más de 30,000 fotos privadas de Facebook

Otros artículos

Narwhal Labs recauda 22,9 millones de euros y lanza DeepBlue OS Narwhal Labs recauda 22,9 millones de euros y lanza DeepBlue OS La empresa con sede en Bristol, matriz de Narwhal AI, está construyendo un sistema operativo para conversaciones autónomas con los clientes a través de voz, SMS, correo electrónico y WhatsApp. El CEO Luke Sartain ha liderado anteriormente el Narwhal Media Group. Narwhal Labs, una Bri TikTok está gastando 1.000 millones de euros en un segundo centro de datos en Finlandia. TikTok está gastando 1.000 millones de euros en un segundo centro de datos en Finlandia. TikTok está invirtiendo 1.000 millones de euros en un segundo centro de datos finlandés en Lahti como parte del Proyecto Clover, su programa de soberanía de datos europeo de 12.000 millones de euros. Esta nueva tableta compacta tiene como objetivo el iPad mini con una mejor pantalla y una batería más grande. Esta nueva tableta compacta tiene como objetivo el iPad mini con una mejor pantalla y una batería más grande. La Redmi K Pad 2 de Xiaomi está llegando para el iPad mini con una pantalla de 165Hz, una enorme batería de 9,000mAh y el chipset insignia Dimensity 9500 de MediaTek. Trent AI recauda $13 millones para construir seguridad multiagente Trent AI recauda $13 millones para construir seguridad multiagente La startup de Londres emergió del sigilo el 7 de abril con una solución de seguridad agente en capas y una ronda de financiación inicial respaldada por LocalGlobe y Cambridge Innovation Capital. Sus cofundadores incluyen a un profesor de Cambridge que anteriormente fue director de Amazon. Trent AI recauda $13 millones para construir seguridad multiagente Trent AI recauda $13 millones para construir seguridad multiagente La startup de Londres emergió del sigilo el 7 de abril con una solución de seguridad agente en capas y una ronda de financiación inicial respaldada por LocalGlobe y Cambridge Innovation Capital. Sus cofundadores incluyen a un profesor de Cambridge que anteriormente fue director de Amazon. Trent AI recauda $13 millones para construir seguridad multiagente Trent AI recauda $13 millones para construir seguridad multiagente La startup de Londres emergió del sigilo el 7 de abril con una solución de seguridad agente en capas y una ronda de financiación inicial respaldada por LocalGlobe y Cambridge Innovation Capital. Sus cofundadores incluyen a un profesor de Cambridge que anteriormente fue director de Amazon.

Ex ingeniero de Meta investigado por más de 30,000 fotos privadas de Facebook

Un exingeniero de Meta en Londres fue arrestado en noviembre de 2025 por supuestamente crear un programa para extraer 30,000 fotos privadas de Facebook mientras eludía los controles de seguridad.