Exejecutivo de Twitter denuncia políticas de ciberseguridad insensatas y negligentes

(CNN) --  Twitter tiene problemas de seguridad importantes que suponen una amenaza para la información personal de sus usuarios, para los accionistas de la compañía, para la seguridad nacional y para la democracia, según una polémica revelación de un informante obtenida en exclusiva por CNN y The Washington Post.

La revelación, enviada el mes pasado al Congreso y a las agencias federales, describe un entorno caótico e imprudente en una empresa mal gestionada que permite a demasiados miembros de su personal acceder a los controles centrales de la plataforma y a la información más sensible sin una supervisión adecuada. También sostiene que algunos de los principales ejecutivos de la empresa han tratado de encubrir las graves vulnerabilidades de Twitter, y que uno o más empleados actuales podrían estar trabajando para un servicio de inteligencia extranjero.

• Twitter activará políticas contra la desinformación de cara a las elecciones intermedias en EE.UU.

El denunciante, que ha accedido a ser identificado públicamente, es Peiter "Mudge" Zatko, que hasta ahora era el jefe de seguridad de la empresa, que dependía directamente del CEO. Zatko afirma además que la dirección de Twitter ha engañado a su propio consejo de administración y a los reguladores gubernamentales sobre sus vulnerabilidades de seguridad, incluidas algunas que supuestamente podrían abrir la puerta al espionaje o la manipulación extranjera, al hackeo y a las campañas de desinformación. El denunciante también alega que Twitter no elimina de forma fiable los datos de los usuarios después de que éstos cancelan sus cuentas, en algunos casos porque la empresa ha perdido el rastro de la información, y que ha engañado a los reguladores sobre si elimina los datos como se le exige.

El denunciante también dice que los ejecutivos de Twitter no tienen los recursos necesarios para comprender plenamente el verdadero número de bots en la plataforma, y no estaban motivados para hacerlo. Los bots se han convertido recientemente en el centro de los intentos de Elon Musk de retirarse de un acuerdo de US$ 44.000 millones para comprar la compañía (aunque Twitter niega las afirmaciones de Musk).

Zatko fue despedido por Twitter en enero por lo que, según la compañía, fue un mal desempeño. Según Zatko, su denuncia pública se produce después de que intentara señalar los fallos de seguridad al consejo de administración de Twitter y ayudar a Twitter a solucionar años de deficiencias técnicas y el supuesto incumplimiento de un acuerdo de privacidad anterior con la Comisión Federal de Comercio (FTC, por sus siglas en inglés). Zatko está representado por Whistleblower Aid, el mismo grupo que representó a la denunciante de Facebook, Frances Haugen.

John Tye, fundador de Whistleblower Aid y abogado de Zatko, dijo a CNN que Zatko no ha estado en contacto con Musk, y dijo que Zatko comenzó el proceso de denuncia antes de que hubiera cualquier indicación de la participación de Musk en Twitter.

Tras la publicación inicial de este artículo, Alex Spiro, abogado de Musk, dijo a CNN: "Ya hemos emitido una citación para el señor Zatko, y nos pareció curiosa su salida y la de otros empleados clave a la luz de lo que hemos ido encontrando".

CNN buscó obtener comentarios de Twitter sobre más de 50 preguntas específicas relacionadas con la revelación.

Un portavoz de Twitter dijo a CNN en un comunicado que la seguridad y la privacidad han sido prioridades para la empresa desde hace mucho tiempo. Twitter también dijo que la compañía proporciona herramientas claras para que los usuarios controlen la privacidad, la orientación de los anuncios y el intercambio de datos, y añadió que ha creado flujos de trabajo internos para garantizar que los usuarios sepan que cuando cancelen sus cuentas, Twitter desactivará las cuentas e iniciará un proceso de eliminación. Twitter declinó decir si suele completar el proceso.

"El Sr. Zatko fue despedido de su papel de alto ejecutivo en Twitter en enero de 2022 por su liderazgo ineficaz y su mal desempeño", dijo el portavoz de Twitter. "Lo que hemos visto hasta ahora es una narrativa falsa sobre Twitter y nuestras prácticas de privacidad y seguridad de datos que está plagada de inconsistencias e inexactitudes y carece de un contexto importante. Las acusaciones del Sr. Zatko y el momento oportuno parecen diseñados para captar la atención e infligir daño a Twitter, sus clientes y sus accionistas. La seguridad y la privacidad han sido durante mucho tiempo prioridades de la empresa en Twitter y seguirán siéndolo".

Algunas de las afirmaciones más condenatorias de Zatko surgen de su aparentemente tensa relación con Parag Agrawal, el antiguo director de tecnología de la compañía que fue nombrado CEO tras la dimisión de Jack Dorsey el pasado noviembre. Según la revelación, Agrawal y sus lugartenientes desalentaron repetidamente a Zatko de describir en su totalidad los problemas de seguridad de Twitter al consejo de administración de la empresa. El equipo ejecutivo de la empresa supuestamente dio instrucciones a Zatko para que presentara un informe oral de sus conclusiones iniciales sobre el estado de la seguridad de la empresa al consejo en lugar de un informe detallado por escrito, ordenó a Zatko que presentara a sabiendas datos seleccionados y tergiversados para crear una falsa percepción de progreso en los problemas urgentes de ciberseguridad, y actuó a espaldas de Zatko para que se borrara el informe de una consultora externa para ocultar el verdadero alcance de los problemas de la empresa.

• Cronología del accidentado camino de Elon Musk hacia la (hasta ahora) fallida compra de Twitter

La revelación es, en general, mucho más amable con Dorsey, que contrató a Zatko y que, según éste, quería que se solucionaran los problemas de la empresa. Pero lo describe como extremadamente desconectado en sus últimos meses al frente de Twitter, hasta el punto de que algunos altos cargos llegaron a considerar la posibilidad de que estuviera enfermo.

CNN se puso en contacto con Dorsey para obtener comentarios. Una persona familiarizada con el tiempo de Zatko en Twitter dijo a CNN que la empresa investigó varias reclamaciones que presentó alrededor del momento en que fue despedido, y finalmente las encontró poco convincentes; la persona añadió que Zatko a veces no entendía las obligaciones de Twitter con la FTC.

Zatko cree que su despido fue una represalia por haber alertado sobre los problemas de seguridad de la empresa.

La mordaz revelación, que tiene un total de 200 páginas, incluidas las evidencias de apoyo, se envió el mes pasado a una serie de agencias gubernamentales y comités del Congreso de EE.UU., incluyendo la Comisión de Valores y Bolsa, la Comisión Federal de Comercio y el Departamento de Justicia (SEC, FTC y DOJ, respectivamente). La existencia y los detalles de la divulgación no se habían comunicado anteriormente. CNN obtuvo una copia de la divulgación a través de un asesor demócrata de alto nivel en el Capitolio. La SEC, el Departamento de Justicia y la FTC declinaron hacer comentarios; el Comité de Inteligencia del Senado, que recibió una copia del informe, se está tomando en serio la revelación y está fijando una reunión para discutir las acusaciones, según Rachel Cohen, una portavoz del comité.

El senador Dick Durbin, que preside el Comité Judicial del Senado y que también recibió el informe, prometió investigar "y tomar las medidas necesarias para llegar al fondo de estas alarmantes acusaciones".

El senador Chuck Grassley, el principal republicano del mismo panel y un ávido usuario de Twitter, también expresó su profunda preocupación por las acusaciones en una declaración a CNN.

"Si tomas una plataforma tecnológica que recoge cantidades masivas de datos de usuarios, y la combinas con lo que parece ser una infraestructura de seguridad increíblemente débil y mézclalo con actores estatales extranjeros con una agenda, y tienes una receta para el desastre", dijo Grassley. "Las afirmaciones que he recibido de un denunciante de Twitter plantean serias preocupaciones de seguridad nacional, así como cuestiones de privacidad, y deben ser investigadas más a fondo".

La FTC debe investigar las afirmaciones e imponer multas y determinar la responsabilidad individual de los ejecutivos de Twitter en caso de que la investigación encuentre que de hecho son responsables de lapsus de seguridad, escribió el senador Richard Blumenthal a la agencia en una carta este martes, obtenida por CNN.

La carta de Blumenthal —que preside el subcomité del Senado sobre protecciones al consumidor— destaca la presión a la que se enfrenta Twitter actualmente por parte de Washington a raíz de estas afirmaciones.

"Si la Comisión no supervisa y hace cumplir sus mandatos de manera vigorosa, no será tomada en serio y estas violaciones graves continuarán”, escribió Blumenthal.

¿Quién es el denunciante?

Zatko llamó la atención del país por primera vez en 1998, cuando participó en las primeras audiencias del Congreso sobre ciberseguridad.

"Toda mi vida he tratado de encontrar lugares a los que poder ir y marcar la diferencia. Lo he hecho a través del campo de la seguridad. Esa es mi principal palanca", declaró a CNN en una entrevista a principios de este mes.

Los acontecimientos que le llevaron a tomar la decisión de convertirse en denunciante comenzaron antes de que trabajara en Twitter, con un hackeo devastador ocurrido en 2020 en el que se vieron comprometidas las cuentas de Twitter de algunas de las personas más famosas del mundo, como el entonces candidato presidencial Joe Biden, el expresidente Barack Obama, Kim Kardashian y Musk. Twitter dijo a CNN que la compañía comenzó a compartimentar el acceso a las herramientas de atención al cliente en respuesta al incidente.

• ¿A qué atribuye Twitter el hackeo a cuentas de Biden, Obama y Gates?

Tras el ataque, Dorsey contrató a Zatko, un conocido "hacker ético" convertido en ejecutivo y experto en ciberseguridad que anteriormente ocupó puestos de responsabilidad en Google, Stripe y el Departamento de Defensa de EE.UU., y que declaró a CNN que le habían ofrecido un puesto cibernético de primer nivel en el gobierno de Biden.

Lo que Zatko dice que encontró fue una empresa con prácticas de seguridad extraordinariamente deficientes, que incluían el acceso de miles de empleados de la empresa —que representaban aproximadamente la mitad de la plantilla— a algunos de los controles críticos de la plataforma. Su revelación describe sus conclusiones generales como "deficiencias atroces, negligencia, ignorancia deliberada y amenazas a la seguridad nacional y a la democracia".

Tras la insurrección del 6 de enero, Zatko estaba preocupado por la posibilidad de que alguien dentro de Twitter que simpatizara con los insurrectos pudiera intentar manipular la plataforma de la empresa, según su declaración. Intentó tomar medidas drásticas contra el acceso interno que permite a los ingenieros de Twitter realizar cambios en la plataforma, conocido como "entorno de producción".

Pero, según la revelación, Zatko pronto se dio cuenta de que "era imposible proteger el entorno de producción. Todos los ingenieros tenían acceso. No se registraba quién entraba en el entorno ni qué hacía... Nadie sabía dónde vivían los datos o si eran críticos, y todos los ingenieros tenían algún tipo de acceso crítico al entorno de producción". Twitter tampoco tenía la capacidad de responsabilizar a los trabajadores de los fallos en la seguridad de la información porque tiene poco control o visibilidad de los equipos de trabajo individuales de los empleados, afirma Zatko, citando informes internos de ciberseguridad que estiman que 4 de cada 10 dispositivos no cumplen las normas básicas de seguridad.

• ¿Qué es el cifrado de extremo a extremo que quiere Elon Musk para Twitter?

La endeble infraestructura de servidores de Twitter es una vulnerabilidad independiente pero igualmente grave, según la revelación. Alrededor de la mitad de los 500.000 servidores de la empresa funcionan con software obsoleto que no admite funciones de seguridad básicas como el cifrado de los datos almacenados o las actualizaciones periódicas de seguridad por parte de los proveedores, según la carta a los reguladores y un correo electrónico que Zatko escribió en febrero a Patrick Pichette, miembro del consejo de administración de Twitter, que se incluye en la revelación.

La compañía también carece de suficientes redundancias y procedimientos para reiniciar o recuperarse de las caídas de los centros de datos, dice la revelación de Zatko, lo que significa que incluso pequeñas interrupciones de varios centros de datos al mismo tiempo podrían dejar fuera de servicio a todo el servicio de Twitter, tal vez para siempre.

Twitter no respondió a las preguntas sobre el riesgo de interrupción de los centros de datos, pero dijo a CNN que las personas de los equipos de ingeniería y de productos de Twitter están autorizadas a acceder al entorno de producción si tienen una justificación comercial específica para hacerlo. Los empleados de Twitter utilizan dispositivos supervisados por otros equipos de TI y de seguridad con la facultad de impedir que un dispositivo se conecte a sistemas internos sensibles si ejecuta un software obsoleto, añadió Twitter.

La empresa también dijo que utiliza controles automatizados para garantizar que las computadoras portátiles que ejecutan software obsoleto no puedan acceder al entorno de producción, y que los empleados solo pueden hacer cambios en el producto vivo de Twitter después de que el código cumpla con ciertos requisitos de registro y revisión.

Twitter cuenta con herramientas de seguridad internas que son probadas por la empresa con regularidad, y cada dos años por auditores externos, según la persona familiarizada con la permanencia de Zatko en la empresa. La persona añadió que algunas de las estadísticas de Zatko en torno a la seguridad de los dispositivos carecían de credibilidad y fueron elaboradas por un pequeño equipo que no tomó en cuenta los procedimientos de seguridad existentes en Twitter.

Pero los problemas de seguridad de Twitter habían salido a la luz antes de 2020. En 2010, la FTC presentó una denuncia contra Twitter por su mala gestión de la información privada de los usuarios y por el hecho de que demasiados empleados tuvieran acceso a los controles centrales de Twitter. La denuncia dio lugar a una orden de conciliación de la FTC finalizada al año siguiente en la que Twitter se comprometía a realizar mejoras, incluyendo la creación y el mantenimiento de "un programa integral de seguridad de la información".

Zatko alega que, a pesar de las afirmaciones de la empresa en sentido contrario, "nunca ha cumplido" con lo que la FTC exigió hace más de 10 años. Como resultado de sus presuntos fallos a la hora de abordar las vulnerabilidades planteadas por la FTC, así como otras deficiencias, dice, Twitter sufre un "índice anormalmente alto de incidentes de seguridad", aproximadamente uno por semana lo suficientemente grave como para requerir su divulgación a las agencias gubernamentales. "Basándome en mi experiencia profesional, otras empresas similares no tienen esta magnitud o volumen de incidentes", escribió Zatko en una carta dirigida al consejo de administración de Twitter en febrero, después de ser despedido por Twitter en enero.

Lo que está en juego con la revelación de Zatko es enorme. Podría suponer miles de millones de dólares en nuevas multas para Twitter si se descubre que ha violado sus obligaciones legales, según Jon Leibowitz, que era presidente de la FTC en el momento de la orden de conciliación original de Twitter de 2011.

La agencia tiene ahora otra oportunidad de mostrar a la industria tecnológica que se toma en serio la responsabilidad de las plataformas, añadió Leibowitz, después de que los funcionarios optaran por no nombrar a los principales ejecutivos de Facebook, incluidos Mark Zuckerberg y Sheryl Sandberg, en el acuerdo de privacidad de US$ 5.000 millones de la FTC con esa empresa en 2019.

• Facebook pagará una multa sin precedentes de 5.000 millones de dólares por violaciones a la privacidad

"Una de las grandes decepciones en el caso de violación de la orden de Facebook fue que la FTC dejó a los ejecutivos libres de culpa; deberían haber sido nombrados", dijo Leibowitz a CNN en una entrevista. "Y si hay una violación aquí —y eso es un gran si— entonces creo que la FTC debería considerar muy seriamente no solo multar a la corporación, sino también poner a los ejecutivos responsables bajo orden".

Twitter dijo a CNN que su historial de cumplimiento de la FTC habla por sí mismo, citando las auditorías de terceros presentadas a la agencia en virtud de la orden de conciliación de 2011 en la que, según dijo, Zatko no participó. Twitter también dijo que cumple con las normas de privacidad pertinentes y que ha sido transparente con los reguladores sobre sus esfuerzos para arreglar cualquier deficiencia en sus sistemas.

Las acusaciones de Zatko se basan en parte en que no ha entendido cómo funcionan los programas y procesos existentes de Twitter para cumplir con las obligaciones de la FTC, dijo a CNN la persona familiarizada con su gestión, diciendo que ese malentendido lo ha llevado a hacer afirmaciones inexactas sobre el nivel de cumplimiento de la empresa.

Amenazas extranjeras

Twitter es excepcionalmente vulnerable a la explotación por parte de gobiernos extranjeros en formas que socavan la seguridad nacional de EE.UU., y la empresa puede incluso tener espías extranjeros en su nómina, según la revelación.

El informe del denunciante dice que el Gobierno de EE.UU. proporcionó pruebas específicas a Twitter poco antes del despido de Zatko de que al menos uno de sus empleados, tal vez más, estaban trabajando para el servicio de inteligencia de otro gobierno. El informe no dice si Twitter ya estaba al tanto o si actuó posteriormente sobre la pista.

El año pasado, antes de la invasión rusa de Ucrania, Agrawal, entonces director de tecnología de Twitter, propuso a Zatko que Twitter cumpliera con las exigencias rusas que podrían dar lugar a una amplia censura o vigilancia de la plataforma, alega Zatko.

La revelación no proporciona detalles sobre la sugerencia de Agrawal. Sin embargo, el verano pasado, Rusia aprobó una ley que presiona a las plataformas tecnológicas para que abran oficinas locales en el país o se enfrenten a posibles prohibiciones de publicidad, una medida que, según los expertos en seguridad occidentales, pretendía dar a Rusia una mayor influencia sobre las empresas tecnológicas estadounidenses.

• Rusia sanciona a Twitter por su negativa a retirar contenido considerado prohibido

Aunque la sugerencia de Agrawal fue finalmente descartada, no deja de ser una señal alarmante de hasta dónde estaba dispuesto a llegar Twitter en su afán de crecimiento, según Zatko.

"El hecho de que el actual CEO de Twitter llegara a sugerir que Twitter se convirtiera en cómplice del régimen de Putin es motivo de preocupación por los efectos de Twitter en la seguridad nacional de Estados Unidos", dice la revelación de Zatko.

El informe de Zatko se hace público apenas dos semanas después de que un antiguo directivo de Twitter fuera condenado por espiar para Arabia Saudita.

El caso saudí subraya la gravedad de las acusaciones que Zatko dirige ahora a Twitter. Su informe podría avivar aún más la preocupación bipartidista en Washington sobre los adversarios extranjeros y las amenazas de ciberseguridad que suponen para los estadounidenses, que van desde el robo de datos de ciudadanos estadounidenses hasta la manipulación de votantes estadounidenses o el robo de tecnología y secretos comerciales.

Twitter no respondió a preguntas específicas sobre sus supuestas vulnerabilidades de inteligencia extranjera.

El elemento Musk

La revelación de Zatko llega en un momento especialmente fortuito para Musk, que está inmerso en una batalla legal con Twitter por su intento de retirar su oferta de compra de la compañía. Musk ha acusado a Twitter de mentir sobre el número de bots de spam en su plataforma, una cuestión que, según él, debería permitirle rescindir el acuerdo.

Aunque el acuerdo de adquisición vinculante que Musk firmó con Twitter en abril no incluía ninguna exención relacionada con los bots, el multimillonario afirma que el número de bots en la plataforma afecta a la experiencia de los usuarios y que, por tanto, tener más bots de los que se conocen podría afectar al valor de la empresa a largo plazo.

• ANÁLISIS | Las travesuras de Elon Musk finalmente podrían pasarle factura

Después de que Musk se movilizara para rescindir la compra, Twitter respondió con una demanda en la que sostiene que está utilizando los bots como pretexto para salirse de un acuerdo sobre el que ahora tiene remordimientos de comprador tras la reciente caída del mercado, y pide a un tribunal que lo obligue a cerrar el trato. El caso irá a juicio en el Tribunal de Equidad de Delaware en octubre.

Las cifras de usuarios son una información vital para cualquier empresa de redes sociales, ya que los ingresos por publicidad dependen del número de personas que pueden ver un anuncio. Pero las cifras sobre el número de usuarios de un servicio, o el número de personas que realmente ven un determinado anuncio en un sitio, son notoriamente poco fiables en las industrias de la tecnología y los medios de comunicación debido a la manipulación y el error.

Solo entre las empresas de redes sociales, Twitter comunica sus cifras de usuarios a los inversores y anunciantes utilizando una medida que denomina usuarios activos diarios monetizables, o mDAU. Sus rivales simplemente cuentan e informan de todos los usuarios activos; hasta 2019, Twitter había trabajado de esa manera también. Pero eso significaba que las cifras de Twitter estaban sujetas a oscilaciones significativas en ciertas situaciones, incluyendo los retiros de las principales redes de bots. Así que Twitter cambió a mDAUs, que dice que cuenta todos los usuarios a los que se les podría mostrar un anuncio en Twitter, dejando de lado a todas las cuentas que por alguna razón no pueden, por ejemplo porque se sabe que son bots, según la revelación de Zatko.

La compañía ha informado en repetidas ocasiones que menos del 5% de sus mDAU son cuentas falsas o de spam, y una persona familiarizada con el asunto afirmó esa evaluación a CNN esta semana y señaló otras revelaciones de los inversores diciendo que la cifra se basa en un juicio significativo que puede no reflejar con precisión la realidad. Sin embargo, la declaración de Zatko argumenta que, al informar sobre los bots solo como un porcentaje del mDAU, en lugar de como un porcentaje del número total de cuentas en la plataforma, Twitter oculta la verdadera escala de cuentas falsas y de spam en el servicio, una medida que Zatko alega que es deliberadamente engañosa.

Zatko afirma que empezó a preguntar sobre la prevalencia de las cuentas de bots en Twitter a principios de 2021, y que el jefe de integridad del sitio de Twitter le dijo que la empresa no sabía cuántos bots había en total en su plataforma. Alega que salió de las conversaciones con el equipo de integridad con la idea de que la empresa "no tenía ganas de medir adecuadamente la prevalencia de los bots", en parte porque si el número real se hiciera público, podría dañar el valor y la imagen de la empresa.

Los expertos en comportamientos no auténticos en Internet afirman que puede ser difícil cuantificar los "bots" porque no existe una definición ampliamente consensuada del término y porque los malos actores cambian constantemente sus tácticas. También hay muchos bots inofensivos en Twitter (y en todo Internet), como las cuentas de noticias automatizadas, y Twitter ofrece una función de opción para permitir que esas cuentas se etiqueten de forma transparente como automatizadas.

• Aumenta la tensión entre Twitter y Elon Musk. Así avanza la batalla legal

Twitter dijo a CNN que la afirmación de que no sabe cuántos bots hay en su plataforma carece de contexto, reiterando que no todos los bots son malos y añadiendo que centrarse en el número total de bots en Twitter incluiría a los que la compañía puede haber identificado ya y tomado medidas contra ellos. La compañía tampoco cree que pueda atrapar todas las cuentas de spam en la plataforma, dijo Twitter, por lo que informa de su cifra de menos del 5%, que refleja una estimación manual, en sus archivos financieros.

Sin embargo, Zatko dijo a CNN que cree que sería útil intentar medir el número total de cuentas automatizadas de spam, falsas o potencialmente dañinas en la plataforma. "El equipo ejecutivo, el consejo de administración, los accionistas y los usuarios merecen una respuesta honesta sobre lo que están consumiendo en cuanto a datos e información y contenido [en la plataforma]... Al menos desde mi punto de vista, quiero invertir en una empresa en la que sé lo que realmente está pasando porque quiero invertir estratégicamente en el valor a largo plazo de una organización", dijo.

Twitter dice que permite los bots en su plataforma, pero sus normas prohíben los que se dedican al spam o a la manipulación de la plataforma. Pero, como ocurre con las normas de todas las plataformas de medios sociales, el reto suele estar en hacer cumplir sus políticas.

La empresa afirma que desafía, suspende y elimina con regularidad las cuentas dedicadas al spam y a la manipulación de la plataforma, e incluso suele eliminar más de un millón de cuentas de spam al día. Twitter dijo que el número total de bots en la plataforma no es una cifra útil. La empresa se negó a responder a las preguntas sobre el número total de cuentas en la plataforma o el número medio de nuevas cuentas añadidas en la plataforma diariamente como contexto en torno a su cifra diaria de eliminación de bots.

Pero al poner en duda la capacidad de Twitter para estimar el verdadero número de cuentas falsas y de spam, las afirmaciones de Zatko podrían proporcionar munición a la afirmación central de Musk de que la cifra es mucho mayor de lo que Twitter ha informado públicamente.

Al hacerlo público, Zatko dice que cree que está haciendo el trabajo para el que fue contratado para una plataforma que, según él, es fundamental para la democracia. "Jack Dorsey me tendió la mano y me pidió que viniera a realizar una tarea crítica en Twitter. Me apunté para hacerlo y creo que sigo cumpliendo esa misión", dijo.