El ex jefe de seguridad de Twitter, Peiter «Mudge» Zatko, testificó ante un panel del Senado el martes que su ex empleador priorizó las ganancias por encima de abordar las preocupaciones de seguridad que, según dijo, ponían la información del usuario en riesgo de caer en las manos equivocadas.
«No es descabellado decir que un empleado dentro de la empresa podría hacerse cargo de las cuentas de todos los senadores en esta sala», dijo Zatko a los miembros del Comité Judicial del Senado, menos de un mes después de su la denuncia del denunciante fue denunciada públicamente.
Zatko testificó que Twitter carecía de medidas de seguridad básicas y tenía un enfoque despreocupado para el acceso a los datos entre los empleados, lo que exponía la plataforma a riesgos importantes. Como escribió en su denuncia, Zatko dijo que creía que un agente del gobierno indio logró convertirse en empleado de la empresa, un ejemplo de las consecuencias de las prácticas de seguridad laxas.
Peiter “Mudge” Zatko, exjefe de seguridad de Twitter, testifica ante el Comité Judicial del Senado sobre seguridad de datos en Twitter, en Capitol Hill, el 13 de septiembre de 2022 en Washington, DC.
Kevin Dietsch | Getty Images
El testimonio agrega combustible a las críticas de los legisladores de que las principales plataformas tecnológicas anteponen los objetivos de ingresos y crecimiento a la protección del usuario. Si bien muchas empresas tienen fallas en sus sistemas de seguridad, la posición única de Twitter como una plaza pública de facto ha amplificado las revelaciones de Zatko, que adquirieron una importancia adicional dada la disputa legal de Twitter con Elon Musk.
Musk intentó comprar la empresa por 44.000 millones de dólares, pero luego trató de retractarse del trato, alegando que Twitter debería haber sido más comunicativo con información sobre cómo calcula su porcentaje de cuentas de spam. Un juez en el caso dijo recientemente que Musk podría revisar sus contrademandas para hacer referencia a los problemas planteados por Zatko.
Un portavoz de Twitter cuestionó el testimonio de Zatko y dijo que la empresa usa controles de acceso, verificación de antecedentes y sistemas de monitoreo y detección para controlar el acceso a los datos.
«La audiencia de hoy solo confirma que las acusaciones del señor Zatko están plagadas de inconsistencias e imprecisiones», dijo el vocero en un comunicado, y agregó que la contratación de la compañía es independiente de la influencia extranjera.
Estos son los puntos clave del testimonio de Zatko
Falta de control sobre los datos.
El logotipo de Twitter se ve en la pantalla de un teléfono Redmi en esta foto ilustrativa en Varsovia, Polonia, el 23 de agosto de 2022.
Nurfoto | Getty Images
Según Zatko, los sistemas de Twitter están tan desorganizados que la plataforma no puede decir con certeza si eliminó los datos de los usuarios por completo. Eso es porque Twitter no ha rastreado dónde se almacenan todos esos datos.
“No saben qué datos tienen, dónde viven o de dónde provienen, por lo que, como era de esperar, no pueden protegerlos”, dijo Zatko.
Karim Hijazi, director ejecutivo de la firma de inteligencia cibernética Prevailion, dijo que las grandes organizaciones como Twitter a menudo experimentan una «desviación de la infraestructura», cuando las personas van y vienen, y los diferentes sistemas a veces se descuidan.
«Tiende a ser un poco como el garaje de alguien con el tiempo», dijo Hijazi, quien anteriormente se desempeñó como director de inteligencia en Mandiant, ahora propiedad de Google. «Ahora el problema es que, a diferencia de un garaje donde puedes entrar y puedes empezar a desarmarlo todo metódicamente… no puedes simplemente borrar la base de datos porque es una colcha de retazos de información nueva e información antigua».
Quitar algunas partes sin saber con certeza si son piezas críticas podría correr el riesgo de derribar el sistema más amplio, dijo Hijazi.
Pero los expertos en seguridad expresaron su sorpresa por el testimonio de Zatko de que Twitter ni siquiera tenía un entorno de prueba para probar las actualizaciones, un paso intermedio que los ingenieros pueden tomar entre los entornos de desarrollo y producción para resolver problemas con su código antes de ponerlo en marcha.
«Fue bastante sorprendente que una gran empresa de tecnología como Twitter no tuviera lo básico», dijo Hijazi. Incluso las nuevas empresas más pequeñas del mundo que comenzaron hace siete semanas y media tienen entornos de desarrollo, puesta en escena y producción».
Chris Lehman, director general de seguridad cibernética y exvicepresidente de FireEye, dijo que «sería impactante para mí» si es cierto que Twitter no tiene un entorno de ensayo.
Dijo que «las organizaciones más maduras» tendrían este paso para evitar que los sistemas se rompan en el sitio web en vivo.
«Sin un entorno de preparación, crea más oportunidades para errores y problemas», dijo Lehman.
Amplio acceso de los empleados a la información del usuario
La silueta de un empleado se ve debajo del logotipo de Twitter Inc.
David Pablo Morris | alcalde Bloomberg | Getty Images
Zatko dijo que la falta de comprensión de dónde residen los datos significa que los empleados también tienen mucho más acceso del que deberían a los sistemas de Twitter.
«No importa quién tenga las llaves si no tienes cerraduras en las puertas», dijo Zatko.
Los ingenieros, que constituyen una gran parte de la empresa, tienen acceso al entorno de prueba en vivo de Twitter de forma predeterminada, afirmó Zatko. Dijo que ese tipo de acceso debería estar restringido a un grupo más pequeño.
Con tantos empleados que tienen acceso a información importante, la empresa es vulnerable a actividades problemáticas como sobornos y piratería, dijeron Hijazi y Lehman.
Los reguladores estadounidenses no asustan a las empresas para que cumplan
Sede de la Comisión Federal de Comercio en Washington, DC
Kenneth Kiesnoski/CNBC
Las multas únicas que a menudo resultan de los acuerdos con los reguladores estadounidenses, como la Comisión Federal de Comercio, no son suficientes para incentivar prácticas de seguridad más estrictas, testificó Zatko.
La compañía, dijo, estaría mucho más preocupada por los reguladores europeos que podrían imponer remedios más duraderos.
«Mientras estuve allí, la preocupación solo era sobre una cantidad significativamente mayor», dijo Zatko. «O si hubiera sido más un riesgo de reestructuración institucional. Pero esa cantidad habría sido de poca preocupación mientras estuve allí».
Peiter “Mudge” Zatko, exjefe de seguridad de Twitter, testifica ante el Comité Judicial del Senado sobre seguridad de datos en Twitter, en Capitol Hill, el 13 de septiembre de 2022 en Washington, DC.
Kevin Dietsch | Getty Images
A pesar de las fallas, los usuarios no necesariamente deberían sentirse obligados a eliminar sus cuentas, dijeron Zatko y otros expertos en seguridad.
«La gente siempre puede optar por simplemente desconectarse», dijo Lehman. «Pero la realidad es que las plataformas de redes sociales son plataformas para el diálogo. Y son la nueva plaza de la ciudad. Eso sirve a un bien público. Creo que sería malo si la gente simplemente dejara de usarla».
Hijazi dijo que no tiene sentido esconderse.
«Eso es imposible en este día y edad», dijo. «Sin embargo, creo que ser ingenuo con la creencia de que estas organizaciones realmente tienen esto bajo control y realmente tienen su información segura es un error».
RELOJ: El rostro cambiante de la privacidad en una pandemia
