Change.org, la mayor web de movilización ciudadana en la red, llevaba al menos seis años permitiendo la creación de campañas con firmas falsas y suplantación de identidad.

El sistema usado por la plataforma de recogida de firmas permitía a cualquier persona, de forma aleatoria, “suplantar” a un usuario con una dirección de correo válida y registrada con anterioridad.

La empresa ha reforzado el proceso de verificación.

Suplantación de identidad y firmas falsas

La web no pide verificación de email a la hora de firmar o crear una petición, un problema denunciado (y no solucionado) desde el lanzamiento oficial de su actividad en España en 2012.

Además, si conocías el correo de algún usuario dado de alta en la web, era posible crear, firmar y comentar peticiones en su nombre.

“Hagan posible este ensayo clínico contra el cáncer en España”: 455.000 firmas. “Autoricen el cambio de nombre de mi hijo transexual en el Registro Civil de Calatayud”: 152.000 firmas. “Fin al matrato en la perrera de Barcelona”: 34.000 firmas.

Son solo algunas de las decenas de campañas activas en este momento en Change.org.

A juzgar por el número de firmas enviadas, la web es un hervidero de activismo ‘online’.

La realidad es que un porcentaje indeterminado de esas participaciones son falsas.

Hasta ahora, lo único que pedía el sistema para firmar era un nombre, apellido y un email. Sin embargo, no verificaba que ese correo fuera auténtico. Podías inventarte uno o usar el real de otra persona y listo, firma enviada. En el primer caso el sistema acababa detectándolo al cabo de unos días, en el segundo no.

Por ejemplo, imagina alguien que firma en nombre de un político de derechas para apoyar una campaña pro-aborto.

Esta entidad dispone de una de las mayores bases de datos de correos eléctronicos de toda España, al nivel de las grandes operadoras. Y durante años no ha protegido los datos de sus usuarios.

Denuncia de Facua

Tras varios años de quejas por parte de varios usuarios, ha sido una denuncia de la asociación Facua la que ha hecho reaccionar a la compañía.

Change.org asegura contar con más de 12 millones de usuarios activos en nuestro país.

En su web se crean 600 nuevas campañas por semana con cientos de miles de firmas. El problema es que, tal y como estaba creada la plataforma hasta ahora, sin un sistema de verificación de emails, esas cifras son irreales y tremendamente hinchadas. Y el fallo no solo lo tenían en España, era en la plataforma a nivel mundial.

La solución ha pasado por implantar un sistema de verificación de email.

Deberás facilitar un correo cada vez que quieras firmar o crear una petición, y en él recibirás automáticamente un mensaje para hacer clic en un enlace y verificar esa dirección. Algo tan sencillo como esto llevaba sin implementarse desde la creación de Change.org en 2007.

Y no parece que se haya tratado de un despiste, sino de una decisión consciente.

El negocio de esta empresa es el tratamiento de tus datos. No nos fiamos de Facebook, que tiene miles de millones para implantar medidas de seguridad, ¿nos vamos a fiar de estos?

Ahora, más de cinco años después, la compañía, que obtiene ingresos de las aportaciones de sus usuarios, ha tomado por fin cartas en el asunto.

Para Facua la introducción de un sistema de verificación de email no es suficiente.

La asociación ha denunciado a Change.org ante la Agencia Española de Protección de Datos (AEPD) por no aceptar a comunicar el problema a todos sus usuarios, tal y como pide el RGPD, y por incumplir los artículos 6 y 32 del mismo reglamento por “no proteger los datos de sus usuarios y facilitar la publicación de firmas y comentarios sin el consentimiento de los mismos”.

Denuncia a Change.org por suplantación de identidad y firmas falsas
4.4 (88%) 5 votos