Un denunciante acusa a Twitter de negligencia en ciberseguridad
Un ex jefe de seguridad de Twitter alegó que la empresa engañó a los reguladores sobre sus defensas de ciberseguridad, las protecciones de la privacidad y su capacidad para detectar y erradicar las cuentas falsas, según una denuncia presentada ante las autoridades estadounidenses.
La revelación podría crear graves problemas legales y financieros para la plataforma de medios sociales, que actualmente está tratando de forzar al CEO de Tesla, Elon Musk, a consumar su oferta de 44 mil millones de dólares para comprar la compañía.
Peiter Zatko, jefe de seguridad de Twitter hasta que fue despedido a principios de este año, presentó el mes pasado denuncias ante la Comisión de Valores de Estados Unidos, la Comisión Federal de Comercio y el Departamento de Justicia. La organización legal sin ánimo de lucro Whistleblower Aid, que trabaja con Zatko, confirmó la autenticidad de una copia redactada de la denuncia publicada en línea por el Washington Post.
Entre las acusaciones más graves de Zatko está la de que Twitter violó los términos de un acuerdo de la FTC de 2011 al afirmar falsamente que contaba con fuertes medidas de seguridad para proteger la seguridad y la privacidad de sus usuarios. Zatko también acusa a la compañía de engaños relacionados con su gestión del “spam” o cuentas falsas, una acusación que está en el centro del intento de Musk de echarse atrás en la adquisición de Twitter.
Las acciones de Twitter Inc. cayeron un 5,4% el martes. Zatko no respondió inmediatamente a una solicitud de comentarios el martes. Pero dijo al Post que “se sentía éticamente obligado” a presentarse.
Más conocido por su apodo de hacker “Mudge”, Zatko es un experto en ciberseguridad muy respetado que adquirió notoriedad en la década de 1990 y posteriormente trabajó en puestos de responsabilidad en la Agencia de Investigación Avanzada de Defensa del Pentágono y en Google.
Se unió a Twitter a instancias del entonces director general Jack Dorsey a finales de 2020, el mismo año en que la empresa sufrió una vergonzosa brecha de seguridad en la que participaron piratas informáticos que entraron en las cuentas de Twitter de líderes mundiales, celebridades y magnates de la tecnología, incluido Musk, en un intento de estafar a sus seguidores con bitcoins.
Twitter dijo en una declaración preparada el martes que Zatko fue despedido por “liderazgo ineficaz y mal desempeño” y dijo que las “acusaciones y el momento oportuno parecen diseñados para captar la atención e infligir daño a Twitter, sus clientes y sus accionistas.” La compañía calificó su denuncia como “una narrativa falsa” que está “plagada de inconsistencias e inexactitudes y carece de un contexto importante.”
Los abogados de Zatko, Debra Katz y Alexis Ronickher, dijeron que la afirmación de Twitter sobre su mal desempeño es falsa y que él planteó repetidamente sus preocupaciones sobre los “sistemas de seguridad de la información groseramente inadecuados” con los altos ejecutivos y la junta directiva de Twitter. Los abogados dijeron que a finales de 2021, después de que la junta recibiera información “blanqueada” sobre esos problemas de seguridad, Zatko intensificó sus preocupaciones, “chocó” con el director general Parag Agrawal y el miembro de la junta Omid Kordestani y fue despedido dos semanas después.
La demanda de 84 páginas describe una cultura corporativa rota en Twitter que carecía de un liderazgo efectivo y donde Zatko dijo que los altos ejecutivos practicaban una “ignorancia deliberada” de los problemas apremiantes. Su descripción del estilo de liderazgo de Dorsey es particularmente mordaz, diciendo que el fundador de Twitter estaba “extremadamente desvinculado” durante los últimos meses de su mandato como CEO hasta el punto de que ni siquiera hablaba durante las reuniones sobre temas complejos que enfrenta la compañía.
Zatko dijo que escuchó de sus colegas que Dorsey permanecería en silencio durante “días o semanas”. Dorsey anunció que dejaría el cargo de CEO de Twitter en noviembre de 2021.
La revelación dice que Twitter no ofreció incentivos monetarios para mejorar la seguridad y la integridad de la plataforma, aunque la compañía ofreció bonos de 10 millones de dólares el año pasado para los altos ejecutivos que pudieran generar un crecimiento de usuarios a corto plazo.
Entre las acusaciones de Zatko sobre malas prácticas de ciberseguridad: Las actualizaciones de software y seguridad estaban desactivadas en más de un tercio de los ordenadores de los empleados -exponiéndolos indebidamente al malware- y era habitual que la gente instalara “cualquier software que quisiera en sus sistemas de trabajo.” Este tipo de descuidos suelen considerarse pecados capitales en materia de ciberseguridad.
Whistleblower Aid dijo que está legalmente impedido de compartir la declaración de Zatko. El mismo grupo trabajó con la ex empleada de Facebook Frances Haugen, que testificó ante el Congreso el año pasado después de filtrar documentos internos y acusar al gigante de las redes sociales de elegir el beneficio sobre la seguridad.
Una portavoz del comité de inteligencia del Senado de Estados Unidos, Rachel Cohen, dijo que el comité ha recibido la queja de Zatko y “está en proceso de establecer una reunión para discutir las acusaciones con más detalle”. Nostomar este asunto en serio”.
El senador Dick Durbin, demócrata de Illinois, dijo en una declaración preparada que si las afirmaciones son exactas, “pueden mostrar peligrosos riesgos de privacidad y seguridad de datos para los usuarios de Twitter en todo el mundo.”
Entre las denuncias más alarmantes está la acusación de Zatko de que Twitter permitió a sabiendas que el gobierno indio colocara a sus agentes en la nómina de la empresa, donde tenían “acceso directo y sin supervisión a los sistemas de la empresa y a los datos de los usuarios.”
Una denuncia de la FTC de 2011 señalaba que los sistemas de Twitter estaban llenos de datos altamente sensibles que podrían permitir a un gobierno hostil encontrar datos precisos de localización de usuarios específicos y dirigirlos a la violencia o al arresto. A principios de este mes, un antiguo empleado de Twitter fue declarado culpable, tras un juicio celebrado en California, de pasar datos sensibles de usuarios de Twitter a miembros de la familia real de Arabia Saudí a cambio de sobornos.
La denuncia decía que Twitter también dependía en gran medida de la financiación de entidades chinas y que existía la preocupación de que la empresa estuviera proporcionando información a esas entidades que les permitiera conocer la identidad y la información sensible de los usuarios chinos que utilizan en secreto Twitter, que está oficialmente prohibido en China.
Zatko también describe la “ignorancia deliberada” de los ejecutivos de Twitter sobre el recuento de los millones de cuentas que son “bots de spam” automatizados o que no tienen ningún valor para los anunciantes porque no hay ninguna persona detrás de ellos.
Alex Spiro, un abogado que representa a Musk en su esfuerzo por echarse atrás en su acuerdo de adquisición de Twitter, dijo que los abogados han emitido una citación para Zatko. “Nos pareció curiosa su salida y la de otros empleados clave a la luz de lo que hemos estado encontrando”, escribió Spiro en un correo electrónico el martes. Spiro dijo que Zatko y Musk no han estado en contacto en ningún momento de este año.
—
El escritor de negocios de AP Tom Krisher contribuyó a este informe.
