(CNN) – El denunciante de Twitter, Peiter “Mudge” Zatko, testificará el martes ante el Congreso en su primera aparición pública desde que CNN y The Washington Post informaron el mes pasado sobre sus acusaciones contra la empresa.
Se espera que los legisladores del comité judicial del Senado interroguen a Zatko sobre sus afirmaciones de que Twitter tiene vulnerabilidades de seguridad y privacidad no reveladas que podrían amenazar a los usuarios, a los inversores e incluso a la seguridad nacional de Estados Unidos.
Lo que diga Zatko durante la audiencia del martes podría sentar las bases para que el Congreso, los reguladores federales y los funcionarios encargados de hacer cumplir la ley realicen investigaciones más profundas. Su testimonio también podría complicar aún más la batalla legal sobre el acuerdo de adquisición de Twitter por el multimillonario Elon Musk, y llega el mismo día en que los accionistas de Twitter tienen previsto votar sobre el acuerdo.
En una revelación enviada a varios legisladores y agencias gubernamentales en julio, Zatko acusó a Twitter de no salvaguardar la información personal de los usuarios y de exponer las partes más sensibles de su funcionamiento a demasiada gente, incluyendo potencialmente a espías extranjeros. Zatko, que fue jefe de seguridad de Twitter desde noviembre de 2020 hasta que fue despedido en enero, también alegó que los ejecutivos de la compañía, incluido el CEO Parag Agrawal, han engañado deliberadamente a los reguladores y al propio consejo de administración de la empresa sobre sus deficiencias.
Twitter ha criticado a Zatko y se ha defendido ampliamente de las acusaciones, diciendo que la revelación pinta una “narrativa falsa” de la compañía. Un portavoz de la compañía dijo que Zatko fue despedido por “liderazgo ineficaz y mal desempeño”. El propio Zatko afirmó en su revelación que fue despedido como represalia por plantear sus preocupaciones sobre las vulnerabilidades de seguridad y las supuestas falsas declaraciones de los ejecutivos de Twitter a su junta directiva.
La noticia de la revelación llevó rápidamente a legisladores y reguladores de Estados Unidos y otros países a anunciar que investigarían sus afirmaciones. Zatko ha informado a algunos miembros del Congreso a puerta cerrada, pero su testimonio del martes será la primera oportunidad de los legisladores de presionar públicamente a Zatko para que revele más sobre lo que presenció en la empresa.
“Las alegaciones del Sr. Zatko sobre los fallos de seguridad generalizados y la injerencia de agentes estatales extranjeros en Twitter suscitan serias preocupaciones”, dijeron los senadores Dick Durbin y Chuck Grassley, presidente y republicano de mayor rango del Comité Judicial del Senado, en una declaración el mes pasado anunciando la audiencia.
Es probable que los legisladores se centren en los supuestos errores de Twitter a la hora de proteger los datos de los usuarios, así como en las afirmaciones de Zatko de que la empresa es vulnerable a la explotación por parte de gobiernos extranjeros y de que incluso puede tener ahora espías extranjeros en su nómina. Zatko también afirmó que Twitter está violando su orden de conciliación de 2011 con la Comisión Federal de Comercio (FTC, por sus siglas en inglés), una afirmación que, si se descubre que es cierta, podría dar lugar a multas por miles perseguidos si se demuestra que fueron responsables a sabiendas de cualquier violación de la orden.
Es probable que Musk, que actualmente está luchando contra Twitter en los tribunales para salir de un acuerdo de adquisición de US$ 44.000 millones, también siga de cerca el testimonio de Zatko. El equipo legal de Musk envió el viernes una tercera carta a Twitter para tratar de rescindir el acuerdo, alegando que un supuesto pago de US$ 7,75 millones realizado a Zatko en junio, antes de su revelación, violaba las obligaciones de la empresa en el contrato de adquisición. La carta afirmaba que el pago se había revelado en una presentación judicial de Twitter a principios de este mes. Twitter contraatacó este lunes calificando la carta de Musk de “inválida y errónea” y afirmando que no ha violado el acuerdo.
Las obligaciones legales que pueda tener Zatko no le impiden hacer revelaciones a los legisladores y a las fuerzas del orden, según Whistleblower Aid, la organización que proporciona la representación legal de Zatko.
Whistleblower Aid también representó a Frances Haugen, la exempleada de Facebook que denunció al gigante de las redes sociales el año pasado. Sus revelaciones provocaron numerosas audiencias en el Congreso, propuestas de ley y cambios por parte de la empresa.
Se espera que el miércoles, un día después del testimonio de Zatko, funcionarios actuales y antiguos de Twitter comparezcan ante otro panel del Senado para testificar sobre el impacto de las redes sociales en la seguridad nacional. Las acusaciones de Zatko contra Twitter también podrían ocupar un lugar destacado en esa audiencia, centrando aún más la atención de Washington en la empresa.
Un denunciante con experiencia en el Capitolio
Zatko no es ajeno al Capitolio. En 1998, Zatko compareció ante el Comité de Asuntos Gubernamentales del Senado como parte de un panel de hackers éticos que comunicó urgentemente al Congreso que la tecnología utilizada para acceder a Internet no era segura. “Si lo que se busca es seguridad informática, Internet no es el lugar adecuado”, advirtió entonces Zatko a los legisladores.
Ahora, casi un cuarto de siglo después, Zatko vuelve al Capitolio para advertir de nuevo sobre las supuestas inseguridades de una de las plataformas de medios sociales más influyentes del mundo. Zatko, que trabajó en el Departamento de Defensa de EE.UU. y en Google antes de incorporarse a Twitter, se dice que tiene una gran habilidad para explicar temas de seguridad complejos a ejecutivos de empresas y a otras personas no expertas, según varios antiguos colegas. Esta habilidad podría resultar útil cuando se presente públicamente contra Twitter.
Entre las afirmaciones más explosivas de Zatko se encuentran el que aproximadamente la mitad de los empleados de Twitter, incluidos todos sus ingenieros, tienen un amplio acceso al producto activo de la empresa, incluidos los datos reales de los usuarios. Esto se diferencia de otras grandes empresas tecnológicas, afirma, en las que la codificación y las pruebas se realizan en entornos especiales y separados de los servicios que utilizan los consumidores. Zatko también alega que Twitter no elimina de forma fiable los datos de los usuarios que cancelan sus cuentas, en algunos casos porque Twitter ha perdido el rastro de la información. Los supuestos fallos representan violaciones de la orden de conciliación de la FTC de 2011 de Twitter, según afirma Zatko.
Twitter ha dicho que los miembros de sus equipos de ingeniería y de producto están autorizados a acceder a la plataforma de Twitter si tienen una justificación comercial específica para hacerlo, pero que los miembros de otros departamentos, como el departamento de finanzas, jurídico, marketing, ventas, recursos humanos y soporte, no pueden hacerlo. Twitter también ha dicho que ha creado flujos de trabajo internos para asegurarse de que los usuarios sepan que cuando cancelen sus cuentas, la empresa las desactivará e iniciará un proceso de eliminación. Pero Twitter no ha querido decir si suele completar ese proceso.
Las acusaciones de Zatko también plantean dudas sobre la capacidad de Twitter para gestionar las amenazas relacionadas con las elecciones antes de las elecciones intermedias en Estados Unidos a finales de este año.
La revelación, que incluye una copia del informe de 2021 de una consultora externa sobre los esfuerzos de Twitter para hacer frente a la desinformación, acusa a la empresa de tener prioridades mal alineadas entre los equipos de producto y de seguridad y un enfoque reactivo ante la desinformación y la manipulación de la plataforma. Por su parte, Twitter dice que tiene “un equipo multifuncional en todo el mundo que está centrado en frenar la propagación de la desinformación y fomentar un entorno que conduzca a una conversación sana y significativa”.
El factor Musk
El testimonio de Zatko, y cualquier acción resultante tomada por los legisladores y reguladores, también podría tener implicaciones en la batalla legal sobre el esfuerzo de Musk para retirarse del acuerdo para comprar la compañía.
Zatko sostiene que Twitter ha engañado a Musk y al público sobre el número de bots en su plataforma, una cuestión que se ha convertido en el centro de los esfuerzos de Musk para salirse del acuerdo. Las otras afirmaciones del denunciante también le ofrecen a Musk algunas nuevas cartas que usar en su lucha.
La semana pasada, un juez de Delaware dictaminó que Musk podía ampliar sus reclamaciones en el caso basándose en la revelación del denunciante. El equipo de Musk iba a tomar declaración a Zatko el viernes.
Musk alegó en una segunda carta para intentar rescindir el acuerdo de adquisición el mes pasado que las afirmaciones del denunciante, de ser ciertas, constituirían una justificación adicional que le permitiría salirse del acuerdo. En la carta, el equipo de Musk afirmaba que las investigaciones del Congreso y otras agencias extranjeras podrían perjudicar materialmente a la empresa. El primer intento de Musk por rescindir el acuerdo con Twitter fue en julio.
Twitter respondió a la carta de Musk, diciendo que “se basa únicamente en declaraciones hechas por un tercero que, como Twitter ha declarado previamente, están plagadas de inconsistencias e inexactitudes y carecen de un contexto importante”. La compañía reiteró que tiene la intención de cerrar el acuerdo en el precio y los términos acordados.
Musk y Twitter van a ir a juicio por el acuerdo en octubre, después de que la jueza denegara la petición de Musk de retrasar el proceso tras la revelación del denunciante.