En una foto de 2019, los empleados pasan frente al letrero de Twitter en su sede de San Francisco.Glenn Chapman (AFP)
La red social Twitter ocultó «fallas extremas y masivas» de las autoridades federales de EE. UU. en la lucha contra el spam en la plataforma, la defensa contra los piratas informáticos y el software utilizado en los centros de datos. Las acusaciones se derivan de un informe a los reguladores del exjefe de seguridad de la compañía, Peiter Mudge Zatko, un hacker legendario que fue despedido en enero después de 15 meses en el trabajo. A diferencia de otras filtraciones, Zatko se encarga de las labores de seguridad en Twitter. Él no es un rumor. Los primeros medios de comunicación en contactar con la denuncia fueron The Washington Post y CNN.
La lectura de estas 84 páginas puede generar tristeza e indiferencia hacia la seguridad dentro de Twitter. En octubre, la compañía enfrentó el juicio de Elon Musk, quien abandonó un trato para comprar la red social después de afirmar que había ocultado información al público. El informe apoya claramente la posición de Musk. Las preocupaciones sobre la supuesta coincidencia parecieron disminuir, ya que Zatko preparó un documento similar en febrero antes de que Musk anunciara su intención de adquirir Twitter.
«Twitter es extremadamente laxo en múltiples áreas de la seguridad de la información. Si estos problemas no se corrigen, los reguladores, los medios y los usuarios de la plataforma inevitablemente se sorprenderán al saber que carece de seguridad fundamental», escribió Zatko en febrero.
El riesgo de seguridad de Twitter no se trata solo de acceder a los datos de sus 238 millones de usuarios o controlar el spam. Un error en el código de sus servidores podría provocar la caída de la red durante días, mientras que el hackeo de la cuenta de un líder o celebridad podría generar riesgos políticos o democráticos. Zatko advirtió que la mitad de los servidores de la empresa estaban ejecutando software obsoleto y vulnerable, y que los administradores ocultaban datos maliciosos sobre la cantidad de infracciones y la falta de protección de los datos de los usuarios, según la denuncia.
El informe incluía las sospechas bien fundadas de Zatko de que el gobierno indio pudo haber obligado a Twitter a contratar «deliberadamente» a un agente con acceso a los datos durante las protestas en PeriodistasdeGénero. Las autoridades judiciales han sido notificadas, según el informe. The Washington Post contrastó esta información con la de otro empleado que admitió ser un posible espía.
Un problema con estos posibles espías son los empleados de Twitter que tienen mucha información confidencial. Hay más de 7.000 y su acceso no está controlado con precisión. Para que puedan ver datos personales o cambiar el funcionamiento del servicio.
Cuenta «desactivada»
Otro ejemplo del desastre interno de Twitter sería que la empresa borrara la información de los usuarios que la solicitaron. Sin embargo, estos datos están tan ampliamente distribuidos en la red interna que es imposible determinarlos. Para no dejar que las autoridades federales supieran lo que sucedió, la compañía explicó que las cuentas habían sido «desactivadas», que claramente no es lo mismo que «eliminadas», con la esperanza de que los reguladores no notaran la diferencia. Esto se hará de esta manera en 2021, entiende Zatko.
El exlíder de Twitter Jack Dorsey contrató a Zatko en el verano de 2020 después de que un hacker adolescente tomara brevemente el control de las cuentas de algunos de los usuarios más influyentes. Fue el hackeo más grande de la red social en la historia, dice la denuncia. Después de contratarlo, apenas lo escuchó. En 12 meses, solo pudo hablar con Dorsey seis veces, siempre menos de 30 minutos. Durante esas reuniones, Dorsey apenas hablaba: según el propio exjefe de seguridad, le dijo unas 50 palabras a Zatko a lo largo del año.
En Twitter, respondieron a las acusaciones de Zatko, calificándolo de «ex empleado herido». El actual CEO de Twitter, Parag Agrawal, lo despidió en enero. Un portavoz de la compañía acusó a Zatko de «falta de liderazgo», publicó informes «llenos de inexactitudes» y ahora quiere «tratar de manera oportunista de causar daño a Twitter, sus clientes y accionistas». Zatko es uno de los hackers más respetados de la comunidad. En 1998, como miembro del grupo juvenil de hackers L0pht, se presentó en el Congreso y dijo que podían apagar Internet en 30 minutos.
Hoy marca el aniversario de mi testimonio de 1998 ante el Senado de los Estados Unidos junto con otros miembros de l0pht.
