La asociación de consumidores Facua ha pedido a la Agencia Española de Protección de Datos que evalúe un fallo de seguridad en Change.org que permitía suplantar identidades para firmar y comentar peticiones, una "brecha" que la plataforma participativa niega que sea de alto riesgo.

Facua alega que con solo introducir un nombre, un apellido y una dirección de correo electrónico en cualquiera de sus peticiones y pulsar el botón para firmar, la plataforma identificaba si el correo pertenecía a una de las millones de personas dadas de alta en la plataforma y daba por válida la firma.

Así, aunque el nombre y apellido introducidos fueran falsos, la supuesta adhesión a la petición por parte del titular de la cuenta pasaba a ser pública sin solicitarle antes que la validase.

Además, de acuerdo a la organización de consumidores, la plataforma revelaba al suplantador el nombre y apellidos del usuario vinculado a la dirección de correo electrónico que había introducido, su localidad, profesión y fotografía de perfil.

A partir de esa primera firma, de acuerdo a Facua, la suplantación podía continuar desarrollándose firmando un número ilimitado de peticiones y publicando comentarios en ellas y de esta manera cualquier usuario de Change.org podía aparecer vinculado a peticiones relacionadas con reivindicaciones que resultasen incluso contrarias a sus creencias u opiniones políticas.

Por su parte, Change.org ha respondido en una nota de prensa: "No ha habido una brecha de seguridad que requiera notificación a nuestros usuarios según el reglamento general de protección de datos".

De acuerdo a la normativa europea, sólo se exige dicha comunicación a los afectados si el incidente entrañara alto riesgo para los derechos y libertades de las personas, por ejemplo, en caso de acceso ilícito a datos de usuarios y contraseñas de un servicio.

La plataforma -subraya el comunicado- dedica "considerable tiempo y esfuerzo para garantizar la seguridad de la plataforma, el respeto de las políticas de uso y el cumplimiento de las normas legales".

Change.org reconoce que la plataforma puede ser mal utilizada, como por ejemplo, con la suplantación de identidad, pero precisa que desde 2017 "hemos recibido menos de 20 solicitudes de nuestros usuarios en España -menos del 0,00001 por ciento- solicitando la eliminación de su firma por considerar que ellos no habían firmado una petición determinada".

"A pesar de que el número de estos incidentes es extremadamente bajo, contamos con una serie de medidas destinadas a prevenir este tipo de mal uso de Change.org, medidas que seguimos mejorando en la actualidad", añade.

"El 21 de noviembre de 2018, recibimos una comunicación de Facua que nos alertaba de una potencial vulnerabilidad", y ese mismo día "nuestro equipo de producto e ingeniería modificó los protocolos de autenticación para iniciar y firmar peticiones".

Por otra parte, "ayer informamos de forma proactiva a la Agencia Española de Protección de Datos sobre esta queja y las medidas que hemos puesto en marcha en respuesta a la misma".