El denunciante de Twitter cita los fallos de seguridad ante el Congreso

“No saben qué datos tienen, dónde viven y de dónde proceden y por eso, como es lógico, no pueden protegerlos”, dijo Zatko. “No importa quién tenga las llaves si no hay cerraduras”.

Zatko dijo que “la dirección de Twitter ignoró a sus ingenieros”, en parte porque “sus incentivos ejecutivos les llevaron a priorizar los beneficios sobre la seguridad.”

Un tema que no salió en la audiencia fue la cuestión de si Twitter está contando con precisión sus usuarios activos, una métrica importante para sus anunciantes. Elon Musk, consejero delegado de Tesla, que está tratando de salir de un acuerdo de 44.000 millones de dólares para comprar Twitter, ha argumentado sin pruebas que muchos de los aproximadamente 238 millones de usuarios diarios de Twitter son cuentas falsas o maliciosas, es decir, “bots de spam”. El juez de Delaware que supervisa el caso dictaminó la semana pasada que Musk puede incluir nuevas pruebas relacionadas con las alegaciones de Zatko en el juicio de alto riesgo, que está previsto que comience el 17 de octubre.

Por otra parte, el martes, los accionistas de Twitter votaron de forma abrumadora para aprobar el acuerdo, según informan varios medios de comunicación. Los accionistas han estado votando a distancia sobre la cuestión durante semanas. La votación fue en gran medida una formalidad, sobre todo teniendo en cuenta los esfuerzos de Musk para anular el acuerdo, aunque despeja un obstáculo legal para cerrar la venta.

El mensaje de Zatko se hizo eco de uno presentado en el Congreso contra otro gigante de las redes sociales el año pasado, pero a diferencia de ese denunciante de Facebook, Frances Haugen, Zatko no ha aportado montones de documentos internos para respaldar sus afirmaciones.

Zatko era el jefe de seguridad de la influyente plataforma hasta que fue despedido a principios de este año. En julio presentó una denuncia ante el Congreso, el Departamento de Justicia, la Comisión Federal de Comercio y la Comisión de Valores. Entre sus acusaciones más graves está la de que Twitter violó los términos de un acuerdo de la FTC de 2011 al afirmar falsamente que había puesto en marcha medidas más fuertes para proteger la seguridad y la privacidad de sus usuarios.

El senador Dick Durbin, demócrata de Illinois que dirige el Comité Judicial, dijo que Zatko ha detallado fallos “que pueden suponer una amenaza directa para los cientos de millones de usuarios de Twitter, así como para la democracia estadounidense.”

“Twitter es una plataforma inmensamente poderosa y no puede permitirse vulnerabilidades vacías”, dijo.

Zatko declaró que los usuarios de Twitter desconocen muchos más datos personales de los que ellos, o a veces incluso el propio Twitter, conocen. Dijo que Twitter no abordó los “fallos sistémicos básicos” presentados por los ingenieros de la empresa.

La FTC ha estado “un poco por encima de sus posibilidades”, y muy por detrás de sus homólogos europeos, a la hora de vigilar el tipo de violaciones de la privacidad que se han producido en Twitter, dijo Zatko.

El senador Lindsey Graham, republicano de Carolina del Sur, dijo que un resultado positivo que podría salir de las conclusiones de Zatko sería una legislación bipartidista para establecer un sistema más estricto de regulación de las plataformas tecnológicas.

“Tenemos que mejorar nuestro juego en este país”, dijo.

Muchas de las afirmaciones de Zatko no están corroboradas y parecen tener poco apoyo documental. Twitter ha calificado la descripción de los hechos de Zatko como “una narración falsa… plagada de incoherencias e inexactitudes” y carente de un contexto importante.

Entre las afirmaciones de Zatko que llamaron la atención de los legisladores el martes fue que Twitter permitió a sabiendas que el gobierno de la India colocara a sus agentes en la nómina de la empresa, donde tenían acceso a datos altamente sensibles de los usuarios. La falta de capacidad de Twitter para registrar el modo en que los empleados accedían a las cuentas de los usuarios dificultó que la empresa detectara cuándo los empleados estaban abusando de su acceso, dijo Zatko.

Zatko dijo que habló con “mucha confianza” sobre un agente extranjero que el gobierno de la India colocó en Twitter para “entender las negociaciones” entre el partido gobernante de la India y Twitter sobre las nuevas restricciones de los medios sociales y cómo iban esas negociaciones.

También dijo que estaba “sorprendido y conmocionado” por un intercambio con Agrawal sobre Rusia, en el que el actual consejero delegado de Twitter, que era jeferesponsable de tecnología en ese momento, se preguntó si sería posible “echar” la moderación de contenidos y la vigilancia al gobierno ruso, ya que Twitter no tiene realmente “la capacidad y las herramientas para hacer las cosas correctamente.”

“Y como tienen elecciones, ¿no los convierte en una democracia?” recordó Zatko que dijo Agrawal.

El senador Charles Grassley, el republicano de mayor rango del comité, dijo el martes que el director general de Twitter, Parag Agrawal, se negó a testificar en la audiencia, citando los procedimientos legales en curso con Musk. Pero la audiencia es “más importante que el litigio civil de Twitter en Delaware”, dijo Grassley. Twitter declinó hacer comentarios sobre las declaraciones de Grassley.

En su demanda, Zatko acusó a Agrawal, así como a otros altos ejecutivos y miembros de la junta directiva, de numerosas violaciones, incluyendo la realización de “declaraciones falsas y engañosas a los usuarios y a la FTC sobre la seguridad, la privacidad y la integridad de la plataforma de Twitter.”

Zatko, de 51 años, adquirió relevancia por primera vez en la década de 1990 como pionero del movimiento de hacking ético y más tarde trabajó en puestos de responsabilidad en una unidad de investigación de élite del Departamento de Defensa y en Google. Se incorporó a Twitter a finales de 2020 a instancias del entonces consejero delegado Jack Dorsey.

___

Siga a Marcy Gordon en https://twitter.com/mgordonap