El exjefe de seguridad de Twitter, Peiter ‘Mudge’ Zatko, insinuó a los reguladores federales de EE. UU. que la compañía ha puesto «deficiencias extremas y atroces» en el manejo de la información de los usuarios y los bots de spam. Este desarrollo se produce un día después de que Elon Musk llevara al ex director ejecutivo de Twitter, Jack Dorsey, a los tribunales como parte del litigio en curso con la compañía de redes sociales. Al cofundador de Twitter se le han pedido documentos y acuerdos para comprar la empresa y sobre cuentas de spam en la plataforma, según un copia de la citación visto por Reuters.
Según un informe conjunto de CNN y The Washington Post, Zatko, en una denuncia mordaz de un denunciante, afirmó que la plataforma de microblogging ha engañado a los usuarios, a los miembros de la junta y al gobierno federal sobre la solidez de sus medidas de seguridad.
“Twitter es extremadamente negligente en varias áreas de la seguridad de la información”, escribió Zatko en la denuncia. “Si estos problemas no se corrigen, los reguladores, los medios y los usuarios de la plataforma se sorprenderán cuando inevitablemente se enteren de la grave falta de seguridad básica de Twitter”.
Pero, ¿quién es Zatko y por qué ha acusado a Twitter de violar las leyes federales? Aquí te lo explicamos.
Vida temprana y carrera
Zatko, de 51 años, nació en Boston, EE. UU. en Alabama. Se graduó como el mejor de su clase en Berklee School of Music en 1992. Según los informes, era guitarrista, pero su amor por la seguridad cibernética lo hizo unirse al campo de la informática. ‘Mudge’ es su apodo de hacker.
Desarrolló el venerable descifrador de contraseñas de Windows L0phtCrack, y esto se convirtió en una gran razón de su popularidad en el ciberespacio. En los años 90 se unió al think tank de hackers L0pht y a otra organización llamada Cult of the Dead Cow (cDc) para mantener sus actividades de piratería en el anonimato. Mudge también es mejor conocido como parte de los siete piratas informáticos que advirtieron al comité del Senado de los EE. UU. sobre las debilidades fundamentales en la infraestructura de Internet en 1998.
En 1999, L0pht hizo la transición a una empresa de seguridad formal llamada Stake, y Zatko pasó a formar parte de ella. Después de lo cual, incluso se reunió con el entonces presidente de los EE. UU. Clinton en una cumbre en 2000, donde discutió las oleadas de ataques DoS que golpeaban Internet con regularidad, como él mismo predijo. También ha trabajado para DARPA, la agencia de investigación y desarrollo del Departamento de Defensa de EE. UU. Ha trabajado con gigantes tecnológicos como Google, Stripe y BBN Technologies. En Google trabajó en proyectos especiales, según un informe de Reuters. Sin embargo, su última etapa fue en Twitter.
período de twitter
Zatko se unió a Twitter en noviembre de 2020, según su perfil de LinkedIn, luego de lo cual fue despedido en enero de 2022 por el director ejecutivo Parag Agrawal por liderazgo de «desempeño deficiente e ineficaz».
Según The Guardian, Twitter supuestamente despidió a Zatko después de que comenzó a documentar todas las violaciones cometidas por Twitter. “Lo que hemos visto hasta ahora es una narrativa falsa sobre Twitter y nuestras prácticas de privacidad y seguridad de datos que está plagada de inconsistencias e imprecisiones y carece de contexto importante. Las acusaciones del Sr. Zatko y el momento oportunista parecen estar diseñados para captar la atención e infligir daño a Twitter, sus clientes y accionistas. La seguridad y la privacidad han sido durante mucho tiempo prioridades de toda la empresa en Twitter y seguirán siéndolo”, dijo Twitter en un comunicado público.
Acusaciones contra Twitter
La queja de Zatko alega que la empresa no tiene los recursos para comprender la verdadera cantidad de bots en su plataforma, según CNN. Alegó que la empresa incluso carecía de protocolos básicos de seguridad.
Según TechCrunch, miles de computadoras portátiles de los empleados de Twitter tenían copias completas del código fuente de Twitter y más de un tercio de los dispositivos habían bloqueado las correcciones de seguridad y tenían el firewall desactivado. “Se descubrió repetidamente que los empleados estaban instalando spyware intencionalmente en sus computadoras de trabajo a pedido de organizaciones externas”, decía la denuncia, según lo revisado por TechCrunch.
Además, un informe de CNN señala que Zatko también alega que descubrió que la mitad de los centros de datos de la empresa ejecutan software obsoleto que no contiene funciones básicas como «cifrado de datos almacenados o que ya no recibe actualizaciones de seguridad periódicas de sus proveedores». Esto significa que Twitter es susceptible a ataques de alto riesgo. Comparó la vulnerabilidad con un “hackeo a nivel de Equifax”, un hackeo de una agencia de crédito de 2017 que resultó en el robo de la información personal de cerca de 150 millones de estadounidenses.
Mientras tanto, Zastko alegó que Twitter tenía aproximadamente un incidente de seguridad cada semana que es lo suficientemente grave como para informarlo a las agencias gubernamentales, algo que no está sucediendo actualmente.
