Twitter sí mintió sobre los bots y la seguridad según su ex-jefe de seguridad, un antiguo hacker

Justo acabamos de informar sobre el último movimiento de Elon Musk antes de su juicio contra Twitter, en el que pide unos documentos a Jack Dorsey, co-fundador de la red social, para usarlos en su alegato el próximo 17 de octubre. Y la situación se ha vuelto más complicada para la compañía, ya que un ex-jefe de seguridad de Twitter ha realizado unas explosivas declaraciones sobre sus antiguos jefes.

¿Qué contienen los documentos de Jack Dorsey que Elon Musk pide para su juicio contra Twitter?

“Twitter ha mentido”

Peiter Zatko, conocido por el alias de Mudge, es un hacker legendario que quiso poner sus habilidades al servicio de los usuarios, y se pasó a la ciiberseguridad, siendo contratado por Twitter como Jefe de Seguridad de la compañía nada menos. Pero el idilio se rompió el pasado mes de enero, cuando Zatko fue despedido por Twitter, movimiento que el ex-hacker asegura que se produjo porque él no quería quedarse callado ante las vulnerabilidades de la red social.

Por ello, Zatko presentó una denuncia ante la Comisión de Valores y Bolsa (SEC) en la que acusa a Twitter de engañar a los accionistas y de violar un acuerdo que hizo con la Comisión Federal de Comercio (FTC) para mantener ciertas normas de seguridad. Sus quejas, que suman más de 200 páginas, fueron obtenidas por CNN y The Washington Post y publicadas en forma redactada esta mañana.

En una entrevista con la CNN, Zatko dijo que se unió a Twitter en 2020 por petición del entonces director ejecutivo Jack Dorsey, justo después de que la compañía fuera afectada por un hackeo masivo en el que se vieron comprometidas cuentas pertenecientes a figuras como Barack Obama, Bill Gates y Kanye West. Zatko dice que se unió a Twitter porque cree que la plataforma es un "recurso crítico" para el mundo, pero se desilusionó por la negativa del CEO Parag Agrawal a abordar los numerosos fallos de seguridad de la empresa.

"Este nunca sería mi primer paso, pero creo que sigo cumpliendo mi obligación con Jack y con los usuarios de la plataforma", dijo Zatko a The Washington Post respecto a su decisión de convertirse en denunciante. "Quiero terminar el trabajo para el que Jack me trajo, que es mejorar el sitio".

Ampliar

Neglicencias de seguridad

Las revelaciones de Zatko a la SEC contienen muchos informes y acusaciones condenatorias, algunas de las más significativas son las que el site The Verge ha resumido a partir del informe original. Zatko denuncia lo siguiente, entre más cosas:

Acceso indiscriminado

Una parte importante de la vulnerabilidad de Twitter es que demasiados empleados tienen acceso a los sistemas críticos, afirma Zatko en su denuncia. Afirma que alrededor de la mitad de los aproximadamente 7.000 empleados a tiempo completo de Twitter tienen acceso a los datos personales sensibles de los usuarios (como los números de teléfono) y al software interno (para alterar el funcionamiento del servicio) y que este acceso no está estrechamente vigilado. También alega que miles de ordenadores portátiles contienen copias completas del código fuente de Twitter.

Engañar a la FTC

En 2010, Twitter llegó a un acuerdo con la FTC en el que se le acusaba de no proteger la información personal de los consumidores, un ejemplo significativo y temprano de cómo los reguladores gubernamentales ponen freno a las grandes tecnologías. La denuncia de Zatko afirma que Twitter ha hecho repetidamente "declaraciones falsas y engañosas" a los usuarios y a la FTC, violando este acuerdo.

Ignorando los bots

Twitter ha afirmado repetidamente que menos del 5% de sus usuarios activos diarios mensuales son bots, cuentas falsas o spam. La denuncia de Zatko dice que el método de Twitter para medir esta cifra es engañoso y que los ejecutivos están incentivados (con bonos de hasta 10 millones de dólares) para aumentar el número de usuarios en lugar de eliminar los bots de spam.

Agentes del gobierno

Twitter es una herramienta clave para compartir noticias y organizar protestas, lo que la convierte en un blanco fácil para los gobiernos que buscan reprimir la disidencia. La denuncia de Zatko afirma que cree que el gobierno indio obligó a Twitter a contratar a un agente gubernamental, que luego tuvo "acceso a grandes cantidades de datos sensibles de Twitter".

Falta de eliminación

La denuncia afirma que, en el pasado, Twitter no ha eliminado los datos de los usuarios cuando se le ha solicitado porque dichos registros están demasiado repartidos entre los sistemas internos como para ser rastreados adecuadamente. Un empleado actual dijo a The Washington Post que la empresa acaba de completar un proyecto, conocido como Project Eraser, para garantizar la eliminación adecuada de los datos de los usuarios.

La respuesta de Twitter

En respuesta a la denuncia de Zatko, Twitter ha acusado a su antiguo jefe de seguridad de presentar la información de forma sensacionalista y selectiva. Un portavoz dijo a la CNN lo siguiente:

"El Sr. Zatko fue despedido de su función de alto ejecutivo en Twitter por su mal rendimiento y su liderazgo ineficaz hace más de seis meses. Aunque no hemos tenido acceso a las acusaciones específicas a las que se refiere, lo que hemos visto hasta ahora es una narración sobre nuestras prácticas de privacidad y seguridad de datos que está plagada de incoherencias e inexactitudes, y carece de un contexto importante. Las acusaciones del Sr. Zatko y el momento oportuno parecen diseñados para captar la atención e infligir daño a Twitter, sus clientes y sus accionistas. La seguridad y la privacidad han sido durante mucho tiempo prioridades de la compañía en Twitter y todavía tenemos mucho trabajo por delante”.

¿Munición para Musk?

Según fuentes citadas por The Washington Post, la Comisión Federal de Comercio (FTC) está examinando la denuncia y probablemente impondrá importantes multas a Twitter si se demuestra que las acusaciones de Zatko son correctas, lo que podrían ser buenas noticias para el equipo legal de Elon Musk, ya que estos acontecimientos serán usados sin duda en el juicio del mes próximo.

De hecho ya lo han aprovechado: "Ya hemos emitido una citación para el señor Zatko", dijo en un comunicado Alex Spiro, abogado que representa a Musk, "y nos pareció curiosa su salida y la de otros empleados clave a la luz de lo que hemos ido encontrando."