Exejecutivo de Twitter denuncia políticas de ciberseguridad insensatas y negligentes

Twitter tiene problemas de seguridad importantes que suponen una amenaza para la información personal de sus usuarios, para los accionistas de la compañía, para la seguridad nacional y para la democracia, según una polémica revelación de un informante.

La revelación, enviada el mes pasado al Congreso y a las agencias federales, describe un entorno caótico e imprudente en una empresa mal gestionada que permite a demasiados miembros de su personal acceder a los controles centrales de la plataforma y a la información más sensible sin una supervisión adecuada. También sostiene que algunos de los principales ejecutivos de la empresa han tratado de encubrir las graves vulnerabilidades de Twitter, y que uno o más empleados actuales podrían estar trabajando para un servicio de inteligencia extranjero.

El denunciante, que ha accedido a ser identificado públicamente, es Peiter "Mudge" Zatko, que hasta ahora era el jefe de seguridad de la empresa, que dependía directamente del CEO. Zatko afirma además que la dirección de Twitter ha engañado a su propio consejo de administración y a los reguladores gubernamentales sobre sus vulnerabilidades de seguridad, incluidas algunas que supuestamente podrían abrir la puerta al espionaje o la manipulación extranjera, al hackeo y a las campañas de desinformación. El denunciante también alega que Twitter no elimina de forma fiable los datos de los usuarios después de que éstos cancelan sus cuentas, en algunos casos porque la empresa ha perdido el rastro de la información, y que ha engañado a los reguladores sobre si elimina los datos como se le exige.

El denunciante también dice que los ejecutivos de Twitter no tienen los recursos necesarios para comprender plenamente el verdadero número de bots en la plataforma, y no estaban motivados para hacerlo. Los bots, se han convertido recientemente en el centro de los intentos de Elon Musk de retirarse de un acuerdo de US$ 44.000 millones para comprar la compañía (aunque Twitter niega las afirmaciones de Musk).

Zatko fue despedido por Twitter en enero por lo que, según la compañía, fue un mal desempeño. Según Zatko, su denuncia pública se produce después de que intentara señalar los fallos de seguridad al consejo de administración de Twitter y ayudar a Twitter a solucionar años de deficiencias técnicas y el supuesto incumplimiento de un acuerdo de privacidad anterior con la Comisión Federal de Comercio (FTC, por sus siglas en inglés). Zatko está representado por Whistleblower Aid, el mismo grupo que representó a la denunciante de Facebook, Frances Haugen.

John Tye, fundador de Whistleblower Aid y abogado de Zatko, dijo que Zatko no ha estado en contacto con Musk, y dijo que Zatko comenzó el proceso de denuncia antes de que hubiera cualquier indicación de la participación de Musk en Twitter.

Tras la publicación inicial de este artículo, Alex Spiro, abogado de Musk, dijo: "Ya hemos emitido una citación para el señor Zatko, y nos pareció curiosa su salida y la de otros empleados clave a la luz de lo que hemos ido encontrando".

En paralelo a esta situación, se buscó obtener comentarios de Twitter sobre más de 50 preguntas específicas relacionadas con la revelación.

Un portavoz de Twitter dijo en un comunicado que la seguridad y la privacidad han sido prioridades para la empresa desde hace mucho tiempo. Twitter también dijo que la compañía proporciona herramientas claras para que los usuarios controlen la privacidad, la orientación de los anuncios y el intercambio de datos, y añadió que ha creado flujos de trabajo internos para garantizar que los usuarios sepan que cuando cancelen sus cuentas, Twitter desactivará las cuentas e iniciará un proceso de eliminación. Twitter declinó decir si suele completar el proceso.

"El Sr. Zatko fue despedido de su papel de alto ejecutivo en Twitter en enero de 2022 por su liderazgo ineficaz y su mal desempeño", dijo el portavoz de Twitter. "Lo que hemos visto hasta ahora es una narrativa falsa sobre Twitter y nuestras prácticas de privacidad y seguridad de datos que está plagada de inconsistencias e inexactitudes y carece de un contexto importante. Las acusaciones del Sr. Zatko y el momento oportuno parecen diseñados para captar la atención e infligir daño a Twitter, sus clientes y sus accionistas. La seguridad y la privacidad han sido durante mucho tiempo prioridades de la empresa en Twitter y seguirán siéndolo".

Algunas de las afirmaciones más condenatorias de Zatko surgen de su aparentemente tensa relación con Parag Agrawal, el antiguo director de tecnología de la compañía que fue nombrado CEO tras la dimisión de Jack Dorsey el pasado noviembre. Según la revelación, Agrawal y sus lugartenientes desalentaron repetidamente a Zatko de describir en su totalidad los problemas de seguridad de Twitter al consejo de administración de la empresa. El equipo ejecutivo de la empresa supuestamente dio instrucciones a Zatko para que presentara un informe oral de sus conclusiones iniciales sobre el estado de la seguridad de la empresa al consejo en lugar de un informe detallado por escrito, ordenó a Zatko que presentara a sabiendas datos seleccionados y tergiversados para crear una falsa percepción de progreso en los problemas urgentes de ciberseguridad, y actuó a espaldas de Zatko para que se borrara el informe de una consultora externa para ocultar el verdadero alcance de los problemas de la empresa.

Los problemas de seguridad de Twitter habían salido a la luz antes de 2020. En 2010, la FTC presentó una denuncia contra Twitter por su mala gestión de la información privada de los usuarios y por el hecho de que demasiados empleados tuvieran acceso a los controles centrales de Twitter. La denuncia dio lugar a una orden de conciliación de la FTC finalizada al año siguiente en la que Twitter se comprometía a realizar mejoras, incluyendo la creación y el mantenimiento de "un programa integral de seguridad de la información".

Zatko alega que, a pesar de las afirmaciones de la empresa en sentido contrario, "nunca ha cumplido" con lo que la FTC exigió hace más de 10 años. Como resultado de sus presuntos fallos a la hora de abordar las vulnerabilidades planteadas por la FTC, así como otras deficiencias, dice, Twitter sufre un "índice anormalmente alto de incidentes de seguridad", aproximadamente uno por semana lo suficientemente grave como para requerir su divulgación a las agencias gubernamentales. "Basándome en mi experiencia profesional, otras empresas similares no tienen esta magnitud o volumen de incidentes", escribió Zatko en una carta dirigida al consejo de administración de Twitter en febrero, después de ser despedido por Twitter en enero.

Lo que está en juego con la revelación de Zatko es enorme. Podría suponer miles de millones de dólares en nuevas multas para Twitter si se descubre que ha violado sus obligaciones legales, según Jon Leibowitz, que era presidente de la FTC en el momento de la orden de conciliación original de Twitter de 2011.

La agencia tiene ahora otra oportunidad de mostrar a la industria tecnológica que se toma en serio la responsabilidad de las plataformas, añadió Leibowitz, después de que los funcionarios optaran por no nombrar a los principales ejecutivos de Facebook, incluidos Mark Zuckerberg y Sheryl Sandberg, en el acuerdo de privacidad de US$ 5.000 millones de la FTC con esa empresa en 2019.

La empresa afirma que desafía, suspende y elimina con regularidad las cuentas dedicadas al spam y a la manipulación de la plataforma, e incluso suele eliminar más de un millón de cuentas de spam al día. Twitter dijo que el número total de bots en la plataforma no es una cifra útil. La empresa se negó a responder a las preguntas sobre el número total de cuentas en la plataforma o el número medio de nuevas cuentas añadidas en la plataforma diariamente como contexto en torno a su cifra diaria de eliminación de bots.

Pero al poner en duda la capacidad de Twitter para estimar el verdadero número de cuentas falsas y de spam, las afirmaciones de Zatko podrían proporcionar munición a la afirmación central de Musk de que la cifra es mucho mayor de lo que Twitter ha informado públicamente.

Al hacerlo público, Zatko dice que cree que está haciendo el trabajo para el que fue contratado para una plataforma que, según él, es fundamental para la democracia. "Jack Dorsey me tendió la mano y me pidió que viniera a realizar una tarea crítica en Twitter. Me apunté para hacerlo y creo que sigo cumpliendo esa misión", dijo.

 

 

Maria Manuela Rodríguez
[email protected]


× Contáctanos