By 
Es uno de los hackers más famosos del mundo y uno de los principales expertos en ciberseguridad.
Ahora Peiter “Mudge” Zatko se ha convertido en un denunciante y ha presentado una serie de acusaciones de repetidas violaciones de seguridad por parte de su antiguo empleador: Twitter.
El Sr. Zatko, de 51 años, fue el jefe de seguridad de la compañía desde noviembre de 2020 hasta enero de 2022. Supuestamente fue despedido por el CEO Parag Agrawal después de que señaló los problemas y comenzó a cooperar en una investigación formal con el oficial de cumplimiento de Twitter.
Ahora ha entregado sus conclusiones a las agencias reguladoras estadounidenses, que a su vez han sido compartidas con miembros del Congreso de los Estados Unidos.
En el documento, el Sr. Zatko formula una serie de alegaciones contra Twitter, acusando a los principales ejecutivos de la empresa de haber violado la Ley de la Comisión Federal de Comercio y la normativa de la Comisión de Valores.
Afirma que la empresa no ha sido honesta en cuestiones de privacidad y seguridad de los datos y que ha sido objeto de importantes infracciones por parte de gobiernos extranjeros.
Llega apenas unas semanas antes del enfrentamiento legal de Elon Musk con Twitter, mientras intenta zafarse de un acuerdo de 44.000 millones de dólares para comprar la compañía.
El empresario ha alegado que Twitter no ha sido honesto sobre el número de cuentas falsas o bots en la plataforma.
El Sr. Zatko dice en su documentación que la empresa ha estado “mintiendo sobre los bots” al Sr. Musk y que una cuenta exacta de esas cuentas tendría un impacto negativo en las bonificaciones pagadas a los altos ejecutivos.
(Reuters)
Las alegaciones del Sr. Zatko fueron enviadas a la Comisión de Valores de Estados Unidos, a la Oficina de Protección del Consumidor de la Comisión Federal de Comercio y a las divisiones civil y antimonopolio del Departamento de Justicia, según la CNN.
“Lo que hemos visto hasta ahora es una narrativa falsa sobre Twitter y nuestras prácticas de privacidad y seguridad de datos que está plagada de inconsistencias e inexactitudes y carece de un contexto importante”, dice el comunicado.
“Las acusaciones del Sr. Zatko y el momento oportuno parecen diseñados para captar la atención e infligir daño a Twitter, sus clientes y sus accionistas. La seguridad y la privacidad han sido durante mucho tiempo las prioridades de la compañía en Twitter y seguirán siéndolo. “
Estas son las acusaciones más graves hechas contra Twitter.
Twitter permitió que agentes de gobiernos extranjeros accedieran a los datos
El Sr. Zatko afirma que los problemas de seguridad de Twitter eran una cuestión de seguridad nacional y que contrataron a dos personas que cree que eran agentes del gobierno de la India.
Alega que los empleados tenían “acceso directo sin supervisión” a la información interna de la empresa.
En los documentos, afirma que el gobierno de EE.UU. comunicó a la empresa en 2022 que al menos uno de sus empleados trabajaba para una agencia de inteligencia extranjera.
También dice que antes de convertirse en CEO, el Sr. Agrawal había apoyado la expansión de Twitter en Rusia, a pesar de la censura y la vigilancia en el país.
Twitter no cuenta con precisión los bots y las cuentas falsas
Este es uno de los principales problemas en la decisión del Sr. Musk de abandonar su acuerdo de 44.000 millones de dólares para comprar la plataforma.
Twitter ha afirmado que sólo el cinco por ciento de sus cuentas son falsas o bots, algo que el Sr. Musk ha afirmado que es inexacto.
El Sr. Zatko afirma que Twitter ha estado “mintiendo” al CEO de Tesla sobre los bots y que el número real es mucho mayor de lo que han reconocido.
Afirma que la cifra procede de un muestreo de un subconjunto de cuentas, conocidas como “usuarios activos diarios monetizables”, o mDAU.
Twitter utiliza estos datos para que los anunciantes sepan cuántas personas miran sus anuncios, y están diseñados para excluir a los bots.
Afirma que las bonificaciones de los altos ejecutivos están vinculadas a los mDAU y que el número real de bots que se hiciera público “dañaría la imagen y la valoración de la empresa”.
La escasa seguridad interna de Twitter
El Sr. Zatko alega que la compañía está “décadas” por detrás de empresas como Google y Facebook en cuanto a protocolos de seguridad, y que mientras él estaba en la empresa ésta sufría una importante brecha de seguridad cada semana.
Afirma que demasiados empleados de Twitter tienen acceso innecesario a los sistemas internos y que la empresa es vulnerable a los esquemas de phishing de los hackers.
En 2020, un adolescente se hizo pasar por miembro del equipo informático de la empresa y consiguió acceder a credenciales que le permitieron hackear las cuentasde Barack Obama y Joe Biden para escalar más de 100.000 dólares en Bitcoin de los usuarios.
También dice que durante los disturbios del 6 de enero, intentó limitar el acceso de los empleados a los sistemas internos, pero le dijeron que demasiados empleados tenían acceso irrevocable y no se podía hacer.
El silencio de Jack Dorsey
El Sr. Zatko afirma que el anterior CEO, Jack Dorsey, sufrió una “drástica pérdida de concentración” en 2021, solo participaba esporádicamente en las reuniones y se rumoreaba que permanecía en silencio durante “días o semanas”.
El Sr. Dorsey ha dicho que ha practicado la meditación Vipassana, una antigua técnica de meditación budista que puede implicar 10 días de silencio.
Dice en la revelación que mientras estuvo en el trabajo recibió “poco o ningún apoyo real para su tarea de cambiar fundamentalmente los comportamientos de riesgo de más de 8.000 empleados y toda la cultura corporativa.”
También afirma que se le pidió que minimizara el alcance de los problemas de Twitter ante el consejo de administración de la empresa.
Despedido por plantear problemas
El Sr. Zatko dice que tenía una relación difícil con el Sr. Agrawal, que anteriormente supervisaba la seguridad en la empresa.
Alega que en la primera reunión del consejo de administración del Sr. Agrawal como director general en 2021, el Sr. Zatko estaba preocupado porque el Sr. Agrawal minimizara los problemas de la empresa y le escribió que su presentación contenía “numerosas y algunas significativas, tergiversaciones.”
Al mes siguiente, el Sr. Zatko dice que envió un correo electrónico al Sr. Agrawal y le dijo que sus documentos de presentación al Comité de Riesgos habían sido “en el peor de los casos fraudulentos.”
El Sr. Agrawal le contestó diciendo que la empresa había iniciado una investigación sobre su denuncia y le pidió que redactara un informe para respaldar su alegación.
El Sr. Zatko afirma que fue despedido menos de dos semanas después, antes de que tuviera la oportunidad de presentar el informe. El director general declaró públicamente que la decisión de destituirlo se basó en “una evaluación de cómo se estaba dirigiendo la organización y el impacto en el trabajo de máxima prioridad.”
Comments