Es noticia
Chapuza en Change.org: seis años de firmas falsas y robo de identidad a sus usuarios
  1. Tecnología
denunciada ante la AEPD

Chapuza en Change.org: seis años de firmas falsas y robo de identidad a sus usuarios

Change.org, la mayor web de movilización ciudadana en la red, llevaba al menos seis años permitiendo la creación de campañas con firmas falsas y suplantación de identidad.

Foto:

Change.org, la mayor web de movilización ciudadana a través de firmas 'online', permitió durante al menos seis años la creación de campañas con firmas falsas y la suplantación de identidad de sus usuarios. La web, creada por el estadounidense Ben Rattray y cuyo jefe en España entre septiembre de 2011 y marzo de 2017 fue el actual secretario de Estado de Agenda Digital, Francisco Polo, no solo no pedía verificación de email a la hora de firmar o crear una petición, un problema denunciado (y no solucionado) desde el lanzamiento oficial de su actividad en España en 2012. Además, si conocías el correo de algún usuario dado de alta en la web, era posible crear, firmar y comentar peticiones en su nombre. El fallo, notificado recientemente a Change.org por varios usuarios y verificado por Teknautas, ha sido solucionado ahora por la compañía, aunque solo "parcialmente".

"Hagan posible este ensayo clínico contra el cáncer en España": 455.000 firmas. "Autoricen el cambio de nombre de mi hijo transexual en el Registro Civil de Calatayud": 152.000 firmas. "Fin al matrato en la perrera de Barcelona": 34.000 firmas. Son solo algunas de las decenas de campañas activas en este momento en Change.org. A juzgar por el número de firmas enviadas, la web es un hervidero de activismo 'online'. La realidad es que un porcentaje indeterminado de esas participaciones son falsas. Hasta ahora, lo único que pedía el sistema para firmar era un nombre, apellido y un email. Sin embargo, no verificaba que ese correo fuera auténtico. Podías inventarte uno o usar el real de otra persona y listo, firma enviada. En el primer caso el sistema acababa detectándolo al cabo de unos días, en el segundo no.

Foto: (Foto: Reuters)

Ahora, tras varios años de quejas por parte de varios usuarios, ha sido una denuncia de la asociación Facua la que ha hecho reaccionar a la compañía con sede en San Francisco y presencia en 18 países. "Hemos probado y certificado ante notario ambos problemas: que era posible firmar con emails falsos o emails reales de otras personas, y que si conocías el correo de un usuario dado de alta, podías robarle su identidad y firmar y comentar en su nombre. Por ejemplo, imagina alguien que firma en nombre de un político de derechas para apoyar una campaña pro-aborto. Esta compañía tiene una de las mayores bases de datos de correos eléctronicos de toda España, al nivel de las grandes operadoras, y durante años no ha protegido los datos de sus usuarios", explica a Teknautas Rubén Sánchez, portavoz de Facua.

placeholder Francisco Polo, actual secretario de Estado de Agenda Digital y director en España de Change.org entre septiembre de 2011 y marzo de 2017. (Foto: Enrique Villarino)
Francisco Polo, actual secretario de Estado de Agenda Digital y director en España de Change.org entre septiembre de 2011 y marzo de 2017. (Foto: Enrique Villarino)

Change.org asegura contar con más de 12 millones de usuarios activos en nuestro país. En su web se crean 600 nuevas campañas por semana con cientos de miles de firmas. El problema es que, tal y como estaba creda la plataforma hasta ahora, sin un sistema de verificación de emails, esas cifras son irreales y, según Sánchez, tremendamente hinchadas. "Han estado generando titulares falsos en prensa desde hace años. 200.000 personas apoyan esta causa, 300.000 apoyan esta otra. Ellos mismos sabían que para llegar a esas cifras no podían obligar a la gente a verificar su email, el número de firmas sería muchísimo menor. Y el fallo no solo lo tenían en España, era en la plataforma a nivel mundial. Han tenido a los ingenieros de EEUU buscando una solución en la última semana", señala.

Dicha solución ha pasado por implantar un sistema de verificación de email. Cada vez que quieras firmar o crear una petición tendrás que aportar un correo en el que recibirás automáticamente un mensaje para hacer clic en un enlace y verificar esa dirección. Algo tan sencillo como esto llevaba sin implementarse desde la creación de Change.org en 2007. Y no parece que se haya tratado de un despiste, sino de una decisión consciente. "El negocio de esta empresa es el tratamiento de tus datos. No nos fiamos de Facebook, que tiene miles de millones para implantar medidas de seguridad, ¿nos vamos a fiar de estos?", explica a Teknautas Ricardo Galli, fundador de Menéame y uno de los primeros en denunciar el problema en febrero de 2013.

placeholder Jose Antonio Ritoré, actual director de Change.org en España.
Jose Antonio Ritoré, actual director de Change.org en España.

En un post publicado en su blog, Galli explicó cómo supo que era posible robar la identidad de usuarios dados de alta en la página: le había ocurrido a él mismo. Alguien usó su email para firmar en su nombre la campaña "Un millón de firmas por la dimisión de la cúpula del PP" surgida a raíz del escándalo de los papeles de Bárcenas. "Por supuesto no había firmado nada. Días después uno de sus directivos vino a verme a Mallorca y me reconoció que su sistema era muy mejorable a nivel de seguridad. Lo único que hicieron fue poner mi correo en una especie de lista VIP para que no ocurriera otra vez. No volví a saber nada más del asunto", explica.

Ahora, más de cinco años después, la compañía, que obtiene ingresos de las aportaciones de sus usuarios, ha tomado por fin cartas en el asunto. Consultados por este medio, su director en España, José Antonio Ritoré, prefiere evitar dar declaraciones y se remite a un comunicado de la empresa publicado anoche a última hora en el que asegura que han "modificado sus protocolos" para resolver el fallo. "Desde 2017 hemos recibido menos de 20 mensajes de nuestros usuarios – representando un 0.00001% de los mismos – solicitando eliminar su firma porque no habían firmado una petición en concreto".

Para Sánchez, de Facua, la introducción de un sistema de verificación de email no es suficiente. La asociación ha denunciado a Change.org ante la Agencia Española de Protección de Datos (AEPD) por no aceptar a comunicar el problema a todos sus usuarios, "tal y como pide el artículo 34 del GDPR europeo", y por incumplir los artículos 6 y 32 del mismo reglamento por "no proteger los datos de sus usuarios y facilitar la publicación de firmas y comentarios sin el consentimiento de los mismos".

placeholder Más de 50.000 personas piden el Premio Nobel de la Paz para 'los Jordis'. (Change.org)
Más de 50.000 personas piden el Premio Nobel de la Paz para 'los Jordis'. (Change.org)

Samuel Parra, jurista especializado en privacidad online, da la razón a Change.org sobre su negativa a comunicar el incidente a sus usuarios o a la AEPD. "Lo pueden hacer si quieren, pero no están obligados. El artículo 34 del GDPR señala que una compañía lo deberá hacer cuando "alto riesgo para los derechos y libertades de las personas físicas", algo que aquí no ocurre", explica a Teknautas. "Otra cosa es la decisión de la empresa de no implantar un sistema de verificación de email hasta hoy. No me parece ético. Eso sí es reprochable. Está claro que si hubieran querido crear un sistema más garantista para la privacidad del usuario lo habrían hecho antes, pero se van a ir de rositas".

El directivo que más tiempo estuvo al frente de Change.org en España fue el actual secretario de Estado de Agenda Digital, Francisco Polo. En total, casi seis años. ¿Por qué no estableció un sistema de verificación de correos, sobre todo cuando algún usuario de reconocido perfil como el creador de Menéame ya se había quejado al respecto? Preguntado por este diario, un portavoz de la secretaría de Estado transmite la respuesta de Polo: "lleva mucho tiempo desvinculado de la empresa. No le corresponde a él responder ahora a este tipo de preguntas".

Change.org, la mayor web de movilización ciudadana a través de firmas 'online', permitió durante al menos seis años la creación de campañas con firmas falsas y la suplantación de identidad de sus usuarios. La web, creada por el estadounidense Ben Rattray y cuyo jefe en España entre septiembre de 2011 y marzo de 2017 fue el actual secretario de Estado de Agenda Digital, Francisco Polo, no solo no pedía verificación de email a la hora de firmar o crear una petición, un problema denunciado (y no solucionado) desde el lanzamiento oficial de su actividad en España en 2012. Además, si conocías el correo de algún usuario dado de alta en la web, era posible crear, firmar y comentar peticiones en su nombre. El fallo, notificado recientemente a Change.org por varios usuarios y verificado por Teknautas, ha sido solucionado ahora por la compañía, aunque solo "parcialmente".

El redactor recomienda