El exjefe de seguridad de Twitter denuncia que la compa?¨ªa ha ocultado ¡°deficiencias extremas, enormes¡±
El informe para las autoridades federales incluye defectos en la lucha contra el spam y hackers externos. Su publicaci¨®n puede favorecer a Elon Musk en su juicio por echarse atr¨¢s en su intenci¨®n de comprar la compa?¨ªa
La red social Twitter ocult¨® ¡°deficiencias extremas, enormes¡± a las autoridades federales de EE UU sobre su lucha contra el spam en la plataforma, sus defensas contra hackers y el software que usan sus centros de datos. Estas acusaciones proceden de un informe para los reguladores del exjefe de seguridad de la empresa, Peiter Mudge Zatko, un legendario hacker despedido en enero tras 15 meses en el cargo. Al contrario que en otras filtraciones, Zatko era precisamente el encargado de que la seguridad funcionara en Twitter. No habla de o¨ªdas. Los medios que han tenido acceso a la denuncia en primicia son el Washington Post y la CNN.
Peiter @dotMudge Zatko absolutely sparkles with the inability to be less than honest and ethical. I trust him and you should too. https://t.co/rSMHfH0EJK
— Tarah M. Wheeler (@tarah) August 23, 2022
La lectura de las 84 p¨¢ginas del texto dan una imagen lamentable y despreocupada de la seguridad dentro de Twitter. En octubre, la compa?¨ªa se enfrenta a su juicio contra Elon Musk, que renunci¨® su acuerdo a comprar la red social tras denunciar que se hab¨ªa ocultado informaci¨®n al p¨²blico. Este informe favorece claramente la posici¨®n de Musk. Las dudas que han surgido por esta presunta casualidad parecen perder peso porque Zatko prepar¨® un documento similar en febrero, antes del anuncio de las intenciones de Musk de comprar Twitter.
¡°Twitter es extremadamente negligente en varias ¨¢reas de seguridad de la informaci¨®n. Si estos problemas no se corrigen, los reguladores, los medios y los usuarios de la plataforma se sorprender¨¢n cuando inevitablemente se enteren de su grave falta de seguridad b¨¢sica¡±, escribi¨® Zatko en febrero.
Los peligros de seguridad de Twitter no se refieren solo al acceso de datos de sus 238 millones de usuarios o al control de spam. La debilidad del c¨®digo en sus servidores podr¨ªa provocar la ca¨ªda de la red durante d¨ªas y el hackeo de las cuentas de l¨ªderes o famosos puede provocar riesgos pol¨ªticos o democr¨¢ticos. La denuncia dice que Zatko advirti¨® que la mitad de los servidores de la compa?¨ªa estaban ejecutando un software vulnerable y desactualizado y que los directivos ocultaron datos nefastos sobre la cantidad de infracciones y la falta de protecci¨®n de los datos de los usuarios.
El informe incluye la sospecha fundada de Zatko de que el Gobierno de la India habr¨ªa forzado a Twitter a contratar ¡°a sabiendas¡± a un agente con acceso a los datos en ¨¦poca de protestas en el pa¨ªs. El informe dice que se ha informado a autoridades judiciales. El Washington Post contrast¨® esta informaci¨®n con otro empleado que admiti¨® que probablemente fuera un esp¨ªa.
Un problema vinculado a estos posibles esp¨ªas es el n¨²mero incre¨ªble de empleados de Twitter que tienen acceso a informaci¨®n sensible. Son m¨¢s de 7.000 y adem¨¢s su acceso no estar¨ªa monitorizado con precisi¨®n. As¨ª podr¨ªan ver datos personales o alterar c¨®mo funciona el servicio.
Cuentas ¡°desactivadas¡±
Otro ejemplo del desastre interno en Twitter es si la compa?¨ªa realmente borraba la informaci¨®n de un usuario que lo ped¨ªa. Los datos, sin embargo, estaban tan distribuidos por las redes internas que no hab¨ªa manera de saberlo con certeza. Para evitar que las autoridades federales supieran qu¨¦ ocurr¨ªa, la empresa explic¨® que las cuentas eran ¡°desactivadas¡±, que obviamente no es lo mismo que ¡°borradas¡±, con la esperanza de que los reguladores no percibieran la diferencia. Zatko supo que esto se hac¨ªa as¨ª en 2021.
Jack Dorsey, exl¨ªder de Twitter, contrat¨® a Zatko en verano de 2020 despu¨¦s de que un hacker adolescente controlara durante un rato las cuentas de algunos de los usuarios m¨¢s influyentes. Aquello fue el mayor hackeo de una red social de la historia, seg¨²n la denuncia. Tras contratarle, apenas le escuch¨®. En 12 meses solo pudo hablar seis veces con Dorsey, siempre menos de 30 minutos. En esos encuentros, Dorsey apenas habl¨®: quiz¨¢ dijo 50 palabras a Zatko en todo el a?o, seg¨²n el propio exjefe de seguridad.
En Twitter han respondido a las acusaciones de Zatko diciendo que es un ¡°exempleado dolido¡±. El actual jefe ejecutivo de Twitter, Parag Agrawal, le despidi¨® en enero. Una portavoz de la compa?¨ªa acus¨® a Zatko de ¡°falta de liderazgo¡±, de haber hecho un informe ¡°repleto de inexactitudes¡± y de querer ahora ¡°intentar oportunistamente infligir da?o a Twitter, sus clientes y sus accionistas¡±. Zatko es uno de los hackers m¨¢s respetados en la comunidad. En 1998, como miembro del grupo juvenil de hackers L0pht, apareci¨® en el Congreso para decir que podr¨ªan desactivar internet en 30 minutos.
Today is the anniversary of the testimony I and other members of the l0pht gave to the US Senate in 1998.
— Mudge (@dotMudge) May 20, 2019
It was the first time the US Govt. publicly referenced ¡°hackers¡± in a positive context.
The coverage was national and even international.
Come behind the scenes.
/Thread pic.twitter.com/S2kZA8g8vd
Todo el informe est¨¢ lleno de acusaciones inauditas y duras contra la actividad cotidiana de Twitter. Alega, por ejemplo, que una ca¨ªda en los centros de datos de la empresa podr¨ªa llevar a impedir el reinicio correcto de los servidores, lo que har¨ªa desaparecer a la red durante meses o haber provocado la p¨¦rdida de todos sus datos. En 2021 estuvo a punto de ocurrir, pero los ingenieros pudieron salvar a la compa?¨ªa de una crisis ¡°catastr¨®fica¡±, sin dar m¨¢s detalles.
Zatko tambi¨¦n entra en una de las mayores acusaciones de Elon Musk: el spam en la plataforma. El informe cita un tuit de Agrawal en el que responde a Musk diciendo que ¡°tenemos fuertes incentivos para detectar y eliminar tanto spam como nos sea posible¡±. ¡°Ese tuit es mentira¡±, dice el informe. Twitter dej¨® en 2019 de informar de sus usuarios mensuales totales, muy vinculados a altibajos por eliminaciones masivas de bots o cuentas falsas. Empezaron entonces a informar de algo llamado ¡°usuarios diarios activos monetizables¡±, cuya f¨®rmula era controlada internamente y era m¨¢s sencilla de tergiversar. ¡°Los bonus de los directivos (que pueden llegar a 10 millones) est¨¢n vinculados a esa cifra¡±, dice el informe, con lo que tienen m¨¢s incentivos para elevarla.
¡°Los tuits de Agrawal y las publicaciones de blog de Twitter implican maliciosamente que Twitter emplea sistemas proactivos y sofisticados para medir y bloquear los bots de spam¡±, dice el texto. ¡°La realidad: programas simples, en su mayor¨ªa obsoletos, sin supervisi¨®n, adem¨¢s de equipos humanos con exceso de trabajo, ineficientes, con poco personal y reactivos¡±.
Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
