Exjefe de seguridad de WhatsApp presenta demanda por fallas de privacidad en Meta

Un ex empleado de Meta presentó una demanda acusando a la empresa de permitir “fallos sistémicos de ciberseguridad” en WhatsApp que ponen en riesgo la privacidad de los usuarios.

La denuncia, presentada el lunes ante el Tribunal de Distrito de EE. UU. para el Distrito Norte de California, proviene de Attaullah Baig, exjefe de seguridad de WhatsApp. Baig alega que Meta tomó represalias en su contra después de que expresara sus preocupaciones, incluso directamente al director ejecutivo Mark Zuckerberg, sobre graves fallas en la aplicación de mensajería.

Exjefe de seguridad de WhatsApp afirma que Meta ignoró los riesgos de privacidad

La demanda, presentada ante el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California, alega que, tras incorporarse a WhatsApp en 2021, Baig descubrió fallos de seguridad que infringían las leyes federales de valores y las obligaciones de Meta en virtud de un acuerdo de privacidad.

El caso surge en el contexto de las amplias batallas legales de Meta, incluyendo su reciente solicitud a un juez federal estadounidense para que desestime la demanda antimonopolio presentada ante la FTC. En dicho caso, se acusa a Meta de consolidar ilegalmente su poder en el mercado de las redes sociales mediante la adquisición de Instagram y WhatsApp.

En su defensa, Meta argumenta que la FTC no ha aportado pruebas suficientes de que los acuerdos fueran anticompetitivos o perjudiciales para los consumidores. La empresa sostiene que Instagram y WhatsApp han prosperado bajo su propiedad, beneficiándose de importantes inversiones, mayor seguridad y funciones mejoradas. Como ya informó Cryptopolitanrestrictiva de mercado de la FTC defi, señalando que plataformas como TikTok, YouTube y Reddit compiten directamente por la atención de los usuarios.

En el caso actual, Baig afirmó que, en una prueba de seguridad realizada con el equipo central de Meta, descubrió que aproximadamente 1500 ingenieros de WhatsApp tenían acceso ilimitado a datos confidenciales de los usuarios y podían transferirlos o robarlos sin ser detectados ni quedar registrados en los archivos de auditoría. Meta refutó las acusaciones de Baig en un comunicado y trató de minimizar su cargo y responsabilidades.

“Lamentablemente, este es un ejemplo habitual: un exempleado es despedido por bajo rendimiento y luego hace públicas declaraciones distorsionadas que tergiversan el trabajo continuo de nuestro equipo”, escribió el portavoz. “La seguridad es un ámbito conflictivo, y nos enorgullecemos de consolidar nuestratrontrayectoria en la protección de la privacidad de las personas”

El grupo de denunciantes Psst.org representa a Baig junto con el bufete de abogados Schonbrun, Seplow, Harris, Hoffman & Zeldes.  Si bien la demanda no alega que los datos de los usuarios se hayan visto directamente comprometidos, afirma que Baig advirtió repetidamente a sus superiores que las deficiencias de ciberseguridad de WhatsApp creaban graves riesgos de incumplimiento normativo.

Los problemas citados son la falta de un centro de operaciones de seguridad disponible las 24 horas, adecuado para el tamaño de la plataforma, sistemas inadecuados para tracel acceso de los empleados a los datos de los usuarios y la ausencia de un inventario completo de los sistemas de almacenamiento de datos, lo que hace imposible la protección adecuada y la divulgación regulatoria.

Los abogados de Baig argumentan en la demanda que sus superiores criticaron repetidamente su trabajo y que comenzó a recibir “comentarios negativos sobre su desempeño” apenas tres días después de su divulgación inicial sobre ciberseguridad.

A finales del año pasado, Baig informó a la SEC sobre las supuestas deficiencias en ciberseguridad defila omisión de informar a los inversores sobre los riesgos importantes en este ámbito, según consta en la demanda. Un mes después, Baig envió a Zuckerberg la segunda de dos cartas, informándole que había presentado la denuncia ante la SEC y que solicitaba medidas inmediatas para abordar tanto las deficiencias subyacentes en materia de cumplimiento normativo como las represalias ilícitas.

Meta niega las acusaciones y califica la demanda como un ataque "distorsionado" a su historial

En enero, según la demanda, Baig presentó una queja ante la Administración de Seguridad y Salud Ocupacional, señalando “las represalias sistémicas” que supuestamente recibió después de las revelaciones de seguridad.

Al mes siguiente, la denuncia indica que Meta despidió a Baig por "bajo rendimiento". Esto ocurrió durante los despidos de febrero de la empresa, que afectaron al 5% de su plantilla.

La demanda argumenta que el momento y las circunstancias del despido de Baig muestran una clara relación con su actividad protegida. Este se produjo poco después de que presentara sus informes regulatorios externos, poniendo fin a más de dos años de presuntas represalias sistémicas por sus revelaciones sobre ciberseguridad y presionando para el cumplimiento de la ley federal y las órdenes regulatorias.

Los abogados de Baig dijeron que el lunes presentó una notificación para trasladar sus reclamos relacionados con la SEC a un tribunal federal y que ya había agotado todos los recursos administrativos antes de continuar con el caso.