El exjefe de seguridad de Twitter denuncia que la compañía ha ocultado “deficiencias extremas, enormes”

La red social Twitter ocultó “deficiencias extremas, enormes” a las autoridades federales de EE UU sobre su lucha contra el spam en la plataforma, sus defensas contra hackers y el software que usan sus centros de datos. Estas acusaciones proceden de un informe para los reguladores del exjefe de seguridad de la empresa, Peiter Mudge Zatko, un legendario hacker despedido en enero tras 15 meses en el cargo. Al contrario que en otras filtraciones, Zatko era precisamente el encargado de que la seguridad funcionara en Twitter. No habla de oídas. Los medios que han tenido acceso a la denuncia en primicia son el Washington Post y la CNN.

La lectura de las 84 páginas del texto dan una imagen lamentable y despreocupada de la seguridad dentro de Twitter. En octubre, la compañía se enfrenta a su juicio contra Elon Musk, que renunció su acuerdo a comprar la red social tras denunciar que se había ocultado información al público. Este informe favorece claramente la posición de Musk. Las dudas que han surgido por esta presunta casualidad parecen perder peso porque Zatko preparó un documento similar en febrero, antes del anuncio de las intenciones de Musk de comprar Twitter.

“Twitter es extremadamente negligente en varias áreas de seguridad de la información. Si estos problemas no se corrigen, los reguladores, los medios y los usuarios de la plataforma se sorprenderán cuando inevitablemente se enteren de su grave falta de seguridad básica”, escribió Zatko en febrero.

Los peligros de seguridad de Twitter no se refieren solo al acceso de datos de sus 238 millones de usuarios o al control de spam. La debilidad del código en sus servidores podría provocar la caída de la red durante días y el hackeo de las cuentas de líderes o famosos puede provocar riesgos políticos o democráticos. La denuncia dice que Zatko advirtió que la mitad de los servidores de la compañía estaban ejecutando un software vulnerable y desactualizado y que los directivos ocultaron datos nefastos sobre la cantidad de infracciones y la falta de protección de los datos de los usuarios.

El informe incluye la sospecha fundada de Zatko de que el Gobierno de la India habría forzado a Twitter a contratar “a sabiendas” a un agente con acceso a los datos en época de protestas en el país. El informe dice que se ha informado a autoridades judiciales. El Washington Post contrastó esta información con otro empleado que admitió que probablemente fuera un espía.

Un problema vinculado a estos posibles espías es el número increíble de empleados de Twitter que tienen acceso a información sensible. Son más de 7.000 y además su acceso no estaría monitorizado con precisión. Así podrían ver datos personales o alterar cómo funciona el servicio.

Cuentas “desactivadas”

Otro ejemplo del desastre interno en Twitter es si la compañía realmente borraba la información de un usuario que lo pedía. Los datos, sin embargo, estaban tan distribuidos por las redes internas que no había manera de saberlo con certeza. Para evitar que las autoridades federales supieran qué ocurría, la empresa explicó que las cuentas eran “desactivadas”, que obviamente no es lo mismo que “borradas”, con la esperanza de que los reguladores no percibieran la diferencia. Zatko supo que esto se hacía así en 2021.

Jack Dorsey, exlíder de Twitter, contrató a Zatko en verano de 2020 después de que un hacker adolescente controlara durante un rato las cuentas de algunos de los usuarios más influyentes. Aquello fue el mayor hackeo de una red social de la historia, según la denuncia. Tras contratarle, apenas le escuchó. En 12 meses solo pudo hablar seis veces con Dorsey, siempre menos de 30 minutos. En esos encuentros, Dorsey apenas habló: quizá dijo 50 palabras a Zatko en todo el año, según el propio exjefe de seguridad.

En Twitter han respondido a las acusaciones de Zatko diciendo que es un “exempleado dolido”. El actual jefe ejecutivo de Twitter, Parag Agrawal, le despidió en enero. Una portavoz de la compañía acusó a Zatko de “falta de liderazgo”, de haber hecho un informe “repleto de inexactitudes” y de querer ahora “intentar oportunistamente infligir daño a Twitter, sus clientes y sus accionistas”. Zatko es uno de los hackers más respetados en la comunidad. En 1998, como miembro del grupo juvenil de hackers L0pht, apareció en el Congreso para decir que podrían desactivar internet en 30 minutos.

Todo el informe está lleno de acusaciones inauditas y duras contra la actividad cotidiana de Twitter. Alega, por ejemplo, que una caída en los centros de datos de la empresa podría llevar a impedir el reinicio correcto de los servidores, lo que haría desaparecer a la red durante meses o haber provocado la pérdida de todos sus datos. En 2021 estuvo a punto de ocurrir, pero los ingenieros pudieron salvar a la compañía de una crisis “catastrófica”, sin dar más detalles.

Zatko también entra en una de las mayores acusaciones de Elon Musk: el spam en la plataforma. El informe cita un tuit de Agrawal en el que responde a Musk diciendo que “tenemos fuertes incentivos para detectar y eliminar tanto spam como nos sea posible”. “Ese tuit es mentira”, dice el informe. Twitter dejó en 2019 de informar de sus usuarios mensuales totales, muy vinculados a altibajos por eliminaciones masivas de bots o cuentas falsas. Empezaron entonces a informar de algo llamado “usuarios diarios activos monetizables”, cuya fórmula era controlada internamente y era más sencilla de tergiversar. “Los bonus de los directivos (que pueden llegar a 10 millones) están vinculados a esa cifra”, dice el informe, con lo que tienen más incentivos para elevarla.

“Los tuits de Agrawal y las publicaciones de blog de Twitter implican maliciosamente que Twitter emplea sistemas proactivos y sofisticados para medir y bloquear los bots de spam”, dice el texto. “La realidad: programas simples, en su mayoría obsoletos, sin supervisión, además de equipos humanos con exceso de trabajo, ineficientes, con poco personal y reactivos”.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.