El ex jefe de seguridad de Twitter denunció “deficiencias atroces” en la seguridad y privacidad de la red social

Twitter sufre graves problemas de seguridad que amenazan la información personal de sus usuarios, las inversiones de sus accionistas e incluso la seguridad nacional, según la denuncia presentada por el ex jefe de seguridad de la compañía que señala que la firma engañó a los reguladores del gobierno para ocultar las deficiencias.

El ex funcionario es el reconocido hacker Peiter “Mudge” Zatko, uno de los mayores expertos en ciberseguridad que fue contratado para reforzar el sector a fines de 2020 tras un ataque, pero fue despedido a inicios de 2022. El mes pasado, presentó ante las autoridades la denuncia, que fue revelada este martes por The Washington Post y CNN.

Los reportes de Zatko señalan un entorno caótico e imprudente que permite el acceso sin supervisión a miles de sus empleados a los controles centrales y la información sensible. Además, apunta que la empresa no toma suficientes esfuerzos en combatir el spam y hasta señala que podría haber trabajadores que provienen de agencias de inteligencia del extranjero.

La denuncia llega en un momento muy delicado para la empresa, enfrascada en una batalla legal con el empresario Elon Musk, el hombre más rico del mundo, que busca romper un acuerdo de 44.000 millones de dólares para comprar la plataforma. El dueño de Tesla sostiene que Twitter ha subestimado el número de bots y que los informes que presenta a los accionistas son inexactos, argumentos con los que podría librarse judicialmente del precontrato de adquisición.

John Tye, abogado de Zatko a través de la fundación Whistleblower Aid, aseguró a CNN que el experto no ha estado en contacto con Musk y que Zatko comenzó la denuncia antes que el empresario manifieste su interés en adquirir la empresa.

Entre las acusaciones más graves, “Mudge” afirma que Twitter violó los términos de un acuerdo de 11 años con la Comisión Federal de Comercio al afirmar falsamente que tenía un plan de seguridad sólido. Solo hace unos meses la empresa fue multada con 150 millones por violar dicho pacto, que prohíbe hacer declaraciones falsas sobre la seguridad de los datos personales de sus 238 millones de usuarios diarios.

Según detalla el experto, la mitad de los servidores de la empresa funcionaban con software anticuado y vulnerable, y miles de empleados seguían teniendo un acceso interno amplio y mal controlado al software principal de la empresa, lo que en el pasado ha permitido hackeos de cuentas de los ex presidentes Barack Obama y Donald Trump, entre otros usuarios de alto perfil.

También, apunta que la compañía prioriza el crecimiento de usuarios sobre la reducción del spam, con bonos de hasta 10 millones de dólares para los ejecutivos si se aumenta el número de cuentas, pero ninguna recompensa explícita por la eliminación de contenido automatizado.

“Me sentí éticamente obligado (a hacer la denuncia). No es un paso ligero para dar”, declaró Zatko al Post, que consiguió los documentos a través de fuentes del Congreso. Desde el Comité de Inteligencia del Senado indicaron que están tratando de organizar una reunión con Zatko para discutir los detalles de la situación, por los potenciales problemas de seguridad nacional.

En este aspecto, Zatko dijo que Twitter habría sido obligado por el gobierno de India a contratar a uno de sus agentes de inteligencia, con acceso a datos de los usuarios en una época de intensas protestas sociales en el país asiático.

A través de un comunicado, la empresa respondió a las acusaciones, que calificó de inexactas. “La seguridad y la privacidad han sido durante mucho tiempo las principales prioridades de la empresa en Twitter”, expresó una vocera. También acusaron a Zatko de estar “buscando oportunistamente infligir daño a Twitter, sus clientes y sus accionistas” y asegu´ro que fue despedido después de 15 meses “por su mal desempeño y liderazgo”.

En cambio, la versión de Zatko es que lo despidieron poco después del cambio de dirección de la empresa, cuando presentó al nuevo CEO las graves fallas de seguridad.

Según repasó, durante su trabajo nunca obtuvo respuestas directas cuando averiguaba sobre la prevalecnia de los bots y el spam. Citando a una fuente sensible de la empresa, Twitter tenía miedo de determinar esa cifra porque “dañaría la imagen y la valoración de la empresa” y que las herramientas de la empresa para detectar el spam son mucho menos robustas de lo que afirma públicamente la empresa.

Empleados contactados por el Washington Post indicaron que Zatko apenas pudo hablar seis veces con el entonces CEO, Jack Dorsey, su jefe directo, llamadas en las que el director solo pronunciaba algunas palabras.

La situación, afirma Zatko, empeoró con la llegada del nuevo CEO, Parag Agrawal, ya que le impidió dar detalles del sector en una primera reunión de la junta directiva y solo le permitió una prsentación ante el Comité de Riesgos, más reducido. Allí, Zatko informó que la reunión podría haber sido fraudulenta, desencedenando una investigación del Comité de Auditoría. Dos semanas después, fue despedido.

Aún después de su salida, presentó en febrero en un informe escrito sus preocupaciones que también fue adjuntado en la denuncia. “Twitter es gravemente negligente en varias áreas de la seguridad de la información. Si no se corrigen estos problemas, los reguladores, los medios de comunicación y los usuarios de la plataforma quedarán sorprendidos cuando inevitablemente se enteren de la grave falta de fundamentos de seguridad de Twitter”, señaló.

Según dijo al Washington Post, espera que al traer un nuevo escrutinio, mejor los protocolos de la compañía. “Sigo creyendo que esta es una plataforma tremenda, y que hay un enorme valor y un enorme riesgo, y espero que al mirar atrás, el mundo sea un lugar mejor, en parte gracias a esto”, comentó.

David C. Vladeck, que era director de la oficina de protección del consumidor de la Comisión Federal de Comercio en el momento del acuerdo, dijo que si se demuestran las acusaciones de Zatko, la empresa podría enfrentarse a importantes sanciones, potencialmente de cientos de millones de dólares. “Es posible que el tipo de problemas a los que se enfrentó Twitter hace once años sigan recorriendo la empresa”, añadió al Post Vladeck, que ahora es profesor de Derecho en Georgetown.

Twitter recibe presiones de Wall Street sobre la transparencia de sus números, ya que si las cuentas pertenecen en mayor medida a bots y no a usuarios reales, se trata de perfiles que no ven anuncios y hacen a la empresa menos monetizable.

SEGUIR LEYENDO: