En una fotografía de 2019, empleados caminan frente a un logo de Twitter
en su sede de San Francisco.GLENN CHAPMAN (AFP)
El informe para las autoridades
federales incluye defectos en la lucha contra el spam y hackers externos. Su
publicación puede favorecer a Elon Musk en su juicio por echarse atrás en su
intención de comprar la compañía
La red social Twitter ocultó “deficiencias
extremas, enormes” a las autoridades federales de EE UU sobre su lucha contra
el spam en la plataforma, sus defensas contra hackers y el software que usan
sus centros de datos. Estas acusaciones proceden de un informe para los
reguladores del exjefe de seguridad de la empresa, Peiter Mudge Zatko, un legendario hacker despedido en
enero tras 15 meses en el cargo. Al contrario que en otras filtraciones, Zatko
era precisamente el encargado de que la seguridad funcionara en Twitter. No
habla de oídas. Los medios que han tenido acceso a la denuncia en primicia son
el Washington Posts y la CNN
La lectura de las 84 páginas del texto dan una imagen lamentable y
despreocupada de la seguridad dentro de Twitter. En octubre, la compañía se
enfrenta a su juicio contra Elon Musk que renunció su acuerdo a comprar la
red social tras denunciar que se había ocultado información al público. Este
informe favorece claramente la posición de Musk. Las dudas que han surgido por
esta presunta casualidad parecen perder peso porque Zatko preparó un documento
similar en febrero, antes del anuncio de las intenciones de Musk de comprar
Twitter.
“Twitter es extremadamente negligente en varias áreas de seguridad de la
información. Si estos problemas no se corrigen, los reguladores, los medios y
los usuarios de la plataforma se sorprenderán cuando inevitablemente se enteren
de su grave falta de seguridad básica”, escribió Zatko en febrero.
Los peligros de seguridad de Twitter no se refieren solo al acceso de
datos de sus 238 millones de usuarios o al control de spam. La debilidad del
código en sus servidores podría provocar la caída de la red durante días y el hackeo
de las cuentas de líderes o famosos puede provocar riesgos políticos o
democráticos. La denuncia dice que Zatko advirtió que la mitad de los
servidores de la compañía estaban ejecutando un software vulnerable y
desactualizado y que los directivos ocultaron datos nefastos sobre la cantidad
de infracciones y la falta de protección de los datos de los usuarios.
El informe incluye la sospecha fundada de Zatko de que el Gobierno de la
India habría forzado a Twitter a contratar “a sabiendas” a un agente con acceso
a los datos en época de protestas en el país. El informe dice que se ha
informado a autoridades judiciales. El Washington Post contrastó
esta información con otro empleado que admitió que probablemente fuera un
espía.
Un problema vinculado a estos posibles espías es el número increíble de
empleados de Twitter que tienen acceso a información sensible. Son más de 7.000
y además su acceso no estaría monitorizado con precisión. Así podrían ver datos
personales o alterar cómo funciona el servicio.
Cuentas “desactivadas”
Otro ejemplo del desastre interno en Twitter es si la compañía realmente
borraba la información de un usuario que lo pedía. Los datos, sin embargo,
estaban tan distribuidos por las redes internas que no había manera de saberlo
con certeza. Para evitar que las autoridades federales supieran qué ocurría, la
empresa explicó que las cuentas eran “desactivadas”, que obviamente no es lo
mismo que “borradas”, con la esperanza de que los reguladores no percibieran la
diferencia. Zatko supo que esto se hacía así en 2021.
Jack Dorsey, exlíder de Twitter, contrató a Zatko en verano de 2020
después de que un hacker adolescente controlara durante un rato las
cuentas de algunos de los usuarios más influyentes. Aquello fue el mayor hackeo
de una red social de la historia, según la denuncia. Tras contratarle, apenas
le escuchó. En 12 meses solo pudo hablar seis veces con Dorsey, siempre menos
de 30 minutos. En esos encuentros, Dorsey apenas habló: quizá dijo 50 palabras
a Zatko en todo el año, según el propio exjefe de seguridad.
En Twitter han respondido a las acusaciones de Zatko diciendo que es un
“exempleado dolido”. El actual jefe ejecutivo de Twitter, Parag Agrawal, le
despidió en enero. Una portavoz de la compañía acusó a Zatko de “falta de
liderazgo”, de haber hecho un informe “repleto de inexactitudes” y de querer
ahora “intentar oportunistamente infligir daño a Twitter, sus clientes y sus
accionistas”. Zatko es uno de los hackers más respetados en la comunidad. En
1998, como miembro del grupo juvenil de hackers L0pht, apareció en el
Congreso para decir que podrían desactivar internet en 30 minutos.