Twitter es vulnerable a la influencia rusa y china, asegura un informante

Washington (CNN Business) -- Twitter es excepcionalmente vulnerable a la explotación por parte de gobiernos extranjeros en formas que amenazan la seguridad nacional de EE.UU. e incluso pueden tener espías extranjeros actualmente activos en su nómina, según Peiter "Mudge" Zatko, el informante en el centro de un esfuerzo masivo de divulgación pública reportado el martes por CNN y The Washington Post.

Una combinación de controles de seguridad cibernética débiles y falta de juicio ha expuesto repetidamente a Twitter a numerosos riesgos de intervención de inteligencia extranjera, según Zatko, quien fue jefe de seguridad de Twitter desde noviembre de 2020 hasta que fue despedido en enero.

• Exejecutivo de Twitter denuncia políticas de ciberseguridad insensatas y negligentes

Desde tomar dinero de fuentes chinas que no son de confianza hasta proponer que la compañía ceda ante la censura rusa y las demandas de vigilancia, los ejecutivos de Twitter, incluido el ahora director ejecutivo Parag Agrawal, han puesto en riesgo a los usuarios y empleados de Twitter en la búsqueda del crecimiento a corto plazo, alega Zatko.

CNN buscó comentarios de Twitter sobre más de 50 preguntas distintas en respuesta a la divulgación general, junto con preguntas específicas sobre las acusaciones descritas en esta historia. Twitter no respondió a las preguntas de CNN sobre los riesgos de inteligencia extranjera, pero un portavoz de la compañía dijo que las acusaciones de Zatko en general están "plagadas de inconsistencias e imprecisiones, y carecen de un contexto importante".

Las acusaciones de seguridad nacional son parte de una divulgación explosiva de casi 200 páginas para el Congreso, el Departamento de Justicia y los reguladores federales que acusa al liderazgo de Twitter de encubrir vulnerabilidades críticas de la empresa y defraudar al público. Zatko, un experto en seguridad cibernética desde hace mucho tiempo que ha ocupado altos cargos en Google, Stripe y el Departamento de Defensa, presentó su divulgación a las autoridades el mes pasado después de lo que describió como meses de intentar sin éxito hacer sonar la alarma dentro de Twitter sobre los peligros que enfrentaba. Si bien la divulgación al Congreso se edita para omitir detalles confidenciales relacionados con los reclamos de seguridad nacional, se entregó una versión más completa con documentos de respaldo a la Comisión de Inteligencia del Senado y a la división de seguridad nacional del Departamento de Justicia, según la divulgación.

Entre sus acusaciones, la divulgación del denunciante afirma que el gobierno de EE.UU. proporcionó pruebas específicas a Twitter poco antes del despido de Zatko de que al menos uno de sus empleados, quizás más, trabajaba para el servicio de inteligencia de otro gobierno. La divulgación no dice si Twitter actuó de acuerdo con el consejo del gobierno de EE.UU. o si el consejo era creíble.

La revelación del denunciante podría inflamar aún más las preocupaciones bipartidistas en Washington sobre los adversarios extranjeros y la amenaza de seguridad cibernética que representan para los estadounidenses. En los últimos años, los legisladores se han preocupado por los gobiernos autoritarios que desvían los datos de los ciudadanos estadounidenses de empresas pirateadas o flexibles, aprovechan las plataformas tecnológicas para influir sutilmente o sembrar desinformación entre los votantes estadounidenses o explotan el acceso no autorizado para recopilar información sobre los críticos de los derechos humanos y otras amenazas percibidas para los regímenes no democráticos.

Las supuestas fallas de Twitter podrían potencialmente abrir la puerta a las tres posibilidades.

En respuesta a la divulgación, el principal republicano de la Comisión de Inteligencia del Senado, Marco Rubio, prometió investigar más a fondo las acusaciones.

"Twitter tiene un largo historial de tomar decisiones realmente malas en todo, desde la censura hasta las prácticas de seguridad. Esa es una gran preocupación dada la capacidad de la empresa para influir en el discurso nacional y los eventos globales", dijo Rubio. "Estamos tratando la queja con la seriedad que merece y esperamos saber más".

En los meses previos a que Rusia invadiera Ucrania, Agrawal —entonces director de tecnología de Twitter— parecía preparado para hacer concesiones significativas al Kremlin, según la revelación de Zatko.

Agrawal le propuso a Zatko que Twitter cumpliera con las demandas rusas que podrían resultar en una amplia censura o vigilancia, alega Zatko, recordando una interacción que tuvo con Agrawal en ese momento. La divulgación no proporciona detalles sobre lo que sugirió exactamente Agrawal. Pero el verano pasado, Rusia aprobó una ley que presiona a las plataformas tecnológicas para que abran oficinas locales en el país o se enfrenten a posibles prohibiciones publicitarias, una medida que, según los expertos en seguridad occidentales, podría dar a Rusia una mayor influencia sobre las empresas tecnológicas estadounidenses.

La sugerencia de Agrawal se enmarcó como una forma de hacer crecer a los usuarios en Rusia, dice la divulgación, y aunque la idea finalmente se descartó, Zatko todavía la vio como una señal alarmante de hasta dónde estaba dispuesto a llegar Twitter en busca del crecimiento, según la divulgación

"El hecho de que el actual director ejecutivo de Twitter sugiera que Twitter se vuelva cómplice del régimen de Putin es motivo de preocupación sobre los efectos de Twitter en la seguridad nacional de Estados Unidos", dice la divulgación de Zatko.

Twitter también se encuentra en una posición comprometida en China, afirma la divulgación al Congreso. Supuestamente, la compañía ha aceptado financiamiento de "entidades chinas" anónimas que ahora tienen acceso a información que en última instancia podría desenmascarar a personas en China que eluden ilegalmente la censura del gobierno para ver y usar Twitter.

"Los ejecutivos de Twitter sabían que aceptar dinero chino ponía en riesgo a los usuarios en China", dice la divulgación. "Se le dijo al Sr. Zatko que Twitter dependía demasiado del flujo de ingresos en este punto como para hacer algo más que intentar aumentarlo".

La divulgación de 80 páginas de Zatko que describe sus acusaciones, junto con casi dos docenas de documentos de apoyo adicionales, se está haciendo pública solo dos semanas después de que un exgerente de Twitter fuera condenado por espiar para Arabia Saudita. Supuestamente, el exempleado había abusado de su acceso a los datos de Twitter para recopilar información sobre presuntos disidentes saudíes, incluidos sus números de teléfono y direcciones de correo electrónico, y supuestamente entregó esa información al gobierno saudí.

Esa brecha de seguridad, descubierta por primera vez en 2019, subraya la gravedad de las acusaciones de Zatko, que describen a Twitter como una organización extremadamente porosa con controles de seguridad cibernética alarmantemente laxos en comparación con sus pares corporativos. Para hacer su trabajo, aproximadamente la mitad de los empleados de Twitter tienen permisos excesivos que otorgan acceso a datos de usuarios en vivo y al producto activo de Twitter, según la divulgación, una práctica que, según Zatko, es una desviación significativa de los estándares de otras empresas tecnológicas importantes donde el acceso está estrictamente controlado y los empleados trabajan en gran medida en cajas de arena especiales aisladas del producto de cara al consumidor. "Todos los ingenieros" de la empresa, alega Zatko, "tienen una copia completa del código fuente propietario de Twitter en su computadora portátil".

Twitter le dijo a CNN que su manejo del código fuente no está fuera de las prácticas de la industria, y que los equipos de ingeniería y productos de Twitter están autorizados a acceder a la plataforma en vivo de la compañía si tienen una justificación comercial específica para hacerlo.

La compañía también dijo que usa verificaciones automáticas para garantizar que las computadoras portátiles que ejecutan software obsoleto no puedan acceder al entorno de producción, y que los empleados solo pueden realizar cambios en el producto en vivo de Twitter después de que el código cumpla con ciertos requisitos de mantenimiento de registros y revisión.

La divulgación alega que Twitter tiene problemas para reducir sus riesgos de seguridad cibernética porque no puede controlar, y con frecuencia no sabe, lo que los empleados pueden estar haciendo en las computadoras de su trabajo. Los datos que Zatko reveló de los paneles internos de seguridad cibernética de Twitter muestran que cuatro de cada 10 dispositivos de los empleados, que representan miles de computadoras portátiles, no tienen protecciones básicas habilitadas, como firewalls y actualizaciones automáticas de software. Los empleados también pueden instalar software de terceros en sus computadoras con pocas restricciones técnicas, dice la divulgación, lo que supuestamente ha resultado en múltiples ocasiones en que los empleados instalen spyware no autorizado en sus dispositivos a instancias de organizaciones externas.

En sus respuestas a CNN, Twitter dijo que los empleados usan dispositivos supervisados por otros equipos de TI y seguridad con el poder de evitar que un dispositivo se conecte a sistemas internos confidenciales si ejecuta un software obsoleto.

Twitter tiene herramientas de seguridad internas que la empresa prueba regularmente y cada dos años por auditores externos, según una persona familiarizada con la permanencia de Zatko en la empresa. La persona agregó que algunas de las estadísticas de Zatko sobre la seguridad de los dispositivos carecían de credibilidad y fueron derivadas por un pequeño equipo que no tuvo en cuenta adecuadamente los procedimientos de seguridad existentes de Twitter.

John Tye, fundador de Whistleblower Aid y abogado de Zatko, le dijo a CNN que "sostenemos absolutamente el contenido de la divulgación de Mudge".

El acceso indebido y la supervisión limitada de la conducta de los empleados crean oportunidades para amenazas internas como el operativo saudí, pero el gobierno saudí no fue el único que buscó un mayor acceso a los sistemas internos de Twitter, alega Zatko.

El gobierno indio ha "obligado" con éxito a Twitter a contratar agentes que trabajen en su nombre, dice la divulgación, "quienes (debido a las fallas arquitectónicas básicas de Twitter) tendrían acceso a grandes cantidades de datos confidenciales de Twitter". Twitter ha ocultado ese hecho de sus informes de transparencia pública, agrega la divulgación.

El año pasado, el gobierno indio presionó para expandir su control sobre las redes sociales dentro de sus fronteras, chocando con Twitter por la eliminación de contenido, obligando a las plataformas tecnológicas a contratar enlaces legales y policiales en el país e incluso realizando redadas en las oficinas locales de Twitter. La persona familiarizada con la labor de Zatko dijo que los agentes del gobierno indio a los que se refiere la divulgación eran de hecho los enlaces legales y policiales requeridos por la ley india.

Muchas plataformas tecnológicas son empresas globales y, en algunos casos, como con el intento de Rusia de obligar a las empresas tecnológicas a abrir sedes locales, sus empleados pueden convertirse involuntariamente en puntos de influencia para los gobiernos que desean ejercer presión sobre las empresas. Los datos corporativos y de los usuarios almacenados en las computadoras de los empleados, o a los que pueden acceder, pueden correr el riesgo de que las autoridades locales accedan a ellos o los incauten. Los propios empleados, o sus familias, pueden correr el riesgo de ser amenazados o coaccionados.

Pero las vulnerabilidades de seguridad cibernética únicas de Twitter han significado que sus oficinas locales se han convertido en objetivos particularmente sensibles, alega Zatko. India, Nigeria y Rusia han "buscado, con éxito variable, obligar a Twitter a contratar [empleados de tiempo completo] locales que podrían usarse como palanca", dice la divulgación.

Las prácticas comerciales de Twitter no solo socavan los intereses de Estados Unidos sino también los de todas las naciones democráticas, alega la divulgación, citando el manejo de la empresa de una decisión del gobierno nigeriano de bloquear Twitter durante meses el año pasado por un tuit presidencial que fue ampliamente interpretado como una amenaza contra algunos ciudadanos nigerianos y posteriormente eliminado por Twitter.

Nigeria levantó su prohibición a Twitter en enero, después de que el gobierno dijera que la plataforma de redes sociales había aceptado todas sus condiciones. Las condiciones incluyen adherirse a las leyes nigerianas sobre "publicación prohibida".

A pesar de las afirmaciones de Twitter de haber estado en negociaciones con Nigeria después de que suspendió la empresa, esas conversaciones en realidad nunca ocurrieron, alega Zatko. Las supuestas tergiversaciones de Twitter sobre la participación del gobierno nigeriano no solo perjudicaron a los inversores de la compañía, dice la divulgación, sino que también dieron cobertura a los funcionarios nigerianos para exigir concesiones mucho mayores a Twitter de las que la compañía habría dado de otra manera.

Las concesiones, según la divulgación de Zatko, han "perjudicado los derechos de libre expresión y la responsabilidad democrática de los ciudadanos nigerianos".