Cuando faltan poco menos de dos meses para el comienzo del juicio entre Elon Musk y Twitter, una nueva bomba amenaza con explotar en las manos de los principales directivos de la red social. Es que Peiter "Mudge" Zatko, el exjefe de Seguridad de la compañía, ha denunciado gravísimos problemas de seguridad que no solo ponen en peligro la información personal de los usuarios, sino también la integridad de toda la plataforma. Y asegura que los ejecutivos más importantes están al tanto de ello, pero han decidido pasarlo por alto o, directamente, ocultarlo.
A través de Whistleblower Aid, el mismo grupo que ha representado legalmente a Frances Haugen, la informante que filtró la información que derivó en los Facebook Papers, Zatko ha enviado un documento de 200 páginas a distintas agencias y organismos gubernamentales estadounidenses en el que expone esta situación. El mismo ya se encuentra en manos de la Comisión de Bolsa y Valores, la Comisión Federal de Comercio, el Departamento de Justicia y el Comité de Inteligencia del Senado, entre otros.
Si bien la denuncia se envió a las partes mencionadas a comienzos de julio pasado, recién en las últimas horas ha tomado estado público. Esto se debe a que CNN y el Washington Post han obtenido acceso a la información con la cual Peiter Zatko pretende demostrar que las políticas de ciberseguridad de Twitter han sido imprudentes y negligentes.
Vale mencionar que el exdirectivo devenido en informante llegó a la red social cuando Jack Dorsey todavía ejercía el cargo de CEO. Sin embargo, fue despedido en enero pasado. De acuerdo con Twitter, la salida de Zatko se relacionó a un supuesto "pobre rendimiento y liderazgo ineficaz" para ejercer su cargo. Sin embargo, el denunciante asegura que en realidad hay mucho más detrás de la determinación.
El exjefe de seguridad de la plataforma asegura que trató de mostrarle a la junta directiva de Twitter los graves problemas de seguridad de la plataforma, los cuales traían aparejados inconvenientes técnicos e incumplimientos regulatorios. A eso se le sumaban la falta de control sobre la gran cantidad de empleados con acceso a herramientas críticas y la posibilidad de que uno o más trabajadores fueran espías de agencias de inteligencia de otros países.
Peiter Zatko, de jefe de seguridad a "delator" de Twitter
Queda claro que las acusaciones de Peiter Zatko contra Twitter son de una gravedad notoria. El documento enviado a las agencias gubernamentales de Estados Unidos y otras partes interesadas incluye documentación que supuestamente avala los dichos del experto. Entre ellas, correos electrónicos e intercambios constantes con ejecutivos de primera línea como Parag Agrawal, el actual CEO y anterior jefe de Tecnología de la empresa, con quien tuvo una relación de tensión permanente.
Estas son algunas de las denuncias más importantes:
- Twitter ha engañado a su propia junta directiva y a los organismos reguladores al no reconocer sus graves problemas de seguridad.
- La compañía no elimina apropiadamente los datos de los usuarios cuando deciden dar de baja sus cuentas. Aquí incluso menciona que esto se debe a que en ciertos casos le pierde el rastro a la información en cuestión.
- El propio Parag Agrawal instruyó a Peiter Zatko para que las presentaciones ante la junta directiva sobre temas de seguridad se realicen de forma oral y no escrita, para evitar el acceso a informes detallados. El denunciante también asegura que se le solicitó que tergiversara sus informes usando datos específicamente seleccionados para dar la falsa sensación de que se estaban obteniendo avances en la materia.
- En su llegada a Twitter, el experto se topó con prácticas de seguridad muy pobres. Entre ellas, que prácticamente la mitad de los empleados de la empresa tenían acceso a herramientas críticas para aplicar cambios a la plataforma. "Era imposible proteger el entorno de producción. Todos los ingenieros tenían acceso. No había registro de quién entraba o qué hacía. Nadie sabía dónde residían los datos o si eran críticos, y todos los ingenieros tenían algún tipo de acceso crítico al entorno de producción", explicó.
- La infraestructura de servidores de Twitter se encuentra desactualizada y podría ser la puerta de entrada para actores maliciosos. De acuerdo con Peiter Zatko, aproximadamente la mitad de los servidores de la red social utiliza software antiguo que no permite encriptar la información almacenada.
- El gobierno de Estados Unidos entregó evidencia de que al menos uno de sus empleados era espía de servicios de inteligencia internacionales. Pero que podrían ser más. Vale recordar que la red social ya arrastra un antecedente en tal sentido, tras la detención en 2019 de un empleado que recientemente fue declarado culpable de espiar para Arabia Saudí.
- Twitter no tiene los recursos para saber a ciencia cierta cuántos bots tiene la plataforma, y a los ejecutivos nunca les interesó saberlo.
Twitter se defiende
Las acusaciones de Peiter Zatko no han caído en saco roto. De hecho, Twitter salió a responderle con una declaración enviada a CNN:
"Si bien no hemos tenido acceso a las denuncias específicas a las que se hace referencia, lo que hemos visto hasta ahora es una narrativa sobre nuestras prácticas de seguridad de datos y privacidad que está plagada de inconsistencias e imprecisiones, y carece de contexto importante. Las acusaciones del Sr. Zatko y su oportunismo parecen estar diseñados para captar la atención e infligir daño a Twitter, sus clientes y accionistas. La seguridad y la privacidad han sido durante mucho tiempo prioridades de toda la empresa y todavía tenemos mucho trabajo por delante".
... ¿y Elon Musk se relame?
La pregunta ahora no solo es cómo avanzará esta historia en materia regulatoria, sino qué efecto tendrá en el juicio entre Elon Musk y Twitter. El mismo comenzará el 17 de octubre, y el equipo legal del magnate ya ha involucrado a exdirectivos de la red social en la disputa. ¿Habrá lugar también para Peiter Zatko?
Sin dudas, Twitter se encuentra ante una situación muy compleja. En 2011, la red social se comprometió ante la Comisión Federal de Comercio a crear y mantener un programa integral de seguridad de la información. Esto ocurrió tras ser acusada de manipular incorrectamente la información privada de sus usuarios. Si la FTC lanza una nueva investigación y encuentra que la compañía nunca cumplió lo prometido, podría recibir multas por miles de millones de dólares.