Peiter "Mudge" Zatko, exjefe de seguridad en Twitter y una leyenda en el mundo del hacking afirma que en el seno de la empresa existen gravísimos problemas de seguridad.
Lejos de opinar que dichos problemas solo afectan a la empresa, Zatko denunció en julio el caso al Congreso y a las agencias federales aportando 200 páginas, pues cree que la forma en que funciona Twitter es una amenaza para los usuarios, la seguridad nacional y la democracia. CNN y The Washington Post han tenido acceso a la denuncia y han hecho público el caso.
Más allá de lo que ocurra a nivel legal entre el Congreso y Twitter, la compañía está inmersa en una batalla legal con Elon Musk. Además de toda la información que se pueda obtener para ese juicio a través de las 200 páginas de Zatko, lo interesante es que Alex Spiro, el abogado de Musk, ha confirmado que han citado al exdirectivo a declarar. A dos meses del juicio, es una bomba contra la compañía.
Estas son las acusaciones de Zatko a Twitter
Zatko llegó a Twitter durante la época de Jack Dorsey como CEO, y fue despedido el pasado enero. En declaraciones a los citados medios, la empresa alega un "pobre rendimiento y liderazgo ineficaz". Pero el ahora informante se defiende afirmando que su situación laboral era de constante tensión, y que su despido se produjo tras intentar mostrar los problemas de seguridad a la Junta de Twitter (esa a la que Musk iba a unirse) y así tratar de arreglar graves problemas de años.
El grupo que ha ayudado a Zatko a denunciar es Whistleblower Aid, el mismo que ayudó a, Frances Haugen, la informante de Facebook. Su fundador dice que Zatko lleva con este proceso de denuncia más tiempo del que Musk ha estado en conflicto con Twitter, que la cosa viene de antes. Estas son las principales acusaciones que Zatko ha denunciado a Twitter:
Twitter contrató a al menos un agente del Gobierno Indio. Según la denuncia, el Gobierno indio forzó a Twitter a contratar a agentes del Gobierno. Y el problema es que una vez en el seno de la empresa, habrían accedido a gran cantidad de información sensible, no por ser agentes de un gobierno extranjero, sino por un acceso indiscriminado a datos por parte de muchos empleados.
En cuanto a Rusia, Zatko explica que Parag Agrawal, el actual CEO de Twitter, llegó a proponer cumplir con las demandas rusas sobre censura o vigilancia de la plataforma, aunque al final se descartó. En cualquier caso, la denuncia recoger que "El hecho de que el actual CEO de Twitter incluso sugiriera que Twitter se vuelva cómplice del régimen de Putin es motivo de preocupación sobre los efectos de Twitter en la seguridad nacional de Estados Unidos".
Demasiados empleados con acceso a controles muy importantes. Zatko afirma que se encontró con una empresa que permitía que miles de empleados (la mitad de los trabajadores) pudieran acceder a sistemas críticos de control, lo que califica, en general de deficiente y negligente.
Por todo ello, Zatko pensó que con los eventos del asalto al Capitolio, alguien podría manipular los sistemas internos de la compañía. Quiso restringir quién podía, pero descubrió que era imposible. Los sistemas estaban demasiado desprotegidos: no registraban quién entraba en ellos o qué hacían, etc. Así no podía haber asunción de responsabilidad, y es que el informante habla de que 4 de cada 10 dispositivos de la compañía no cumple con los estándares de seguridad.
Mentiras a la Comisión Federal de Comercio (FTC). La FTC, en 2010, denunció a Twitter su mal manejo del tratamiento de la información de los usuarios, alegando parte de lo que denuncia Zatko, que demasiados empleados tenían acceso a todo.
El problema se cerró satisfactoriamente para Twitter al llegar a un acuerdo en el que se comprometieron a mejorar sus políticas y a crear y mantener "un programa integral de seguridad de la información". En este sentido, Zatko dice que todo es falso, que no ha cumplido y que dentro de Twitter hay una "tasa anómalamente alta de incidentes de seguridad". Hasta el punto de sufrir un incidente grave por semana, afirma el informante. En la denuncia se recoge que Twitter no elimina de forma correcta los datos de los usuarios, y que incluso no se llega a hacer bien porque se pierde el rastro a la información.
Twitter dependió de voluntarios internos para lidiar con las elecciones de 2020. Según la denuncia, la falta de recursos hizo que durante eventos de gran relevancia en el contexto de las elecciones presidenciales de 2020 (entre Trump y Biden), la compañía dependiera de voluntarios de otras áreas, lo que hizo que se descuidaran otros eventos importantes que dependían de equipos como el de respuesta estratégica.
¿Qué pasa con los bots?
Como decíamos, más allá de la gravedad de todas estas acusaciones, hay una guerra jurídica abierta entre Twitter y Elon Musk. Tras haber llegado a un acuerdo, el CEO de Tesla acusó a Twitter de no contar la verdad sobre el número de bots presente en la plataforma como argumento para retirarse de la compra. Es difícil imaginar que Elon no supiera del problema que ahora denuncia cuando mostró su intención de comprar Twitter, conociendo lo que tuiteaba.
En este sentido, hay una parte muy importante en lo denunciado por Zatko. Si bien según su abogado los problemas y esta información existían antes de que Elon Musk llegara a juicio con Twitter, en un documento de la denuncia se afirma que, en el caso de los bots, a Elon Musk se le ha mentido. Según la denuncia, el CEO mintió al publicar en la red social un comunicado sobre cómo lidian con los bots, en referencia al siguiente tuit:
First, let me state the obvious: spam harms the experience for real people on Twitter, and therefore can harm our business. As such, we are strongly incentivized to detect and remove as much spam as we possibly can, every single day. Anyone who suggests otherwise is just wrong.
— Parag Agrawal (@paraga) May 16, 2022
En el punto 13 de esta captura de la denuncia se puede leer "El tuit de Agrawal era un mentira. De hecho, Agrawal sabe muy bien que los directivos de Twitter no tienen incentivos para "detectar" con precisión o denunciar el número de bots de la plataforma". Si ya había empleados que podían testificar a favor de Musk, estas pruebas, de ser verificadas por un tribunal, pueden ser gasolina en contra de Twitter.
La respuesta de Twitter
En un mensaje interno filtrado que el CEO de Twitter ha enviado a los empleados esta mañana, se puede leer lo siguiente:
Equipo,
Hay informes de noticias que describen afirmaciones sobre la privacidad, la seguridad y los datos de Twitter, prácticas de protección que hizo Muge Zatko, un exejecutivo de Twitter que fue despedido en enero de 2022 por liderazgo ineficaz y mala actuación. Estamos revisando las afirmaciones que se han publicado, pero lo que hemos visto hasta ahora es una narrativa falsa que está plagada de inconsistencias e inexactitudes, y presentada sin un contexto importante.
Sé que esto es frustrante y confuso de leer, dado que Mudge fue responsable de muchos aspectos de este trabajo que ahora está retratando incorrectamente más de seis meses después de su cese. Pero nada de esto quita lo importante trabajo que habéis realizado y continuáis realizando para salvaguardar la privacidad y la seguridad de nuestros clientes y sus datos. Solo este año, hemos acelerado significativamente nuestro progreso a través de un mayor enfoque y un liderazgo increíble de Lea Kissner, Damien Kieran y Nick Caldwell. Este trabajo sigue siendo una prioridad importante para nosotros, y si queréis leer más sobre nuestro enfoque, podéis encontrar un resumen aquí [falta enlace].
Dado el centro de atención en Twitter en este momento, podemos suponer que lo haremos seguir viendo más titulares en los próximos días esto solo hará que nuestro trabajo duro. Sé que todos ustedes se enorgullecen del trabajo que hacemos juntos y en los valores que nos guían. Seguiremos todos los caminos para defender nuestra integridad como una empresa y dejar las cosas claras.
Nos vemos en #OneTeam mañana, Parag
Como vemos, el tono guarda relación con lo que la compañía ha expresado públicamente por los portavoces, acusando a Zatko de no rendir en su trabajo como esperaba y, en lo que se refiere a lo presentado, acusándole de entregar documentos con inconsistencias. Llama la atención la mención a la falta de contexto, y es probable que la plataforma se defienda expresando que falta mucha parte de la historia en lo aportado por Zatko.
Ver 8 comentarios