Una serie de acusaciones condenatorias sobre el estado de las prácticas y políticas de seguridad cibernética de Twitter podrían significar problemas para la plataforma de redes sociales, lo que aumenta la posibilidad de investigaciones y sanciones por parte de las autoridades reguladoras y los gobiernos.
Las revelaciones explosivas se hicieron en una presentación a la Comisión de Bolsa y Valores de EE. UU. (SEC) que tiene más de 80 páginas, copias de las cuales fueron obtenidas por CNN y El Correo de Washington.
El denunciante, Peiter “Mudge” Zatko, anteriormente era el jefe de seguridad de Twitter y reportaba al CEO, Parag Agrawal. Zatko es un hacker ético muy conocido y una figura destacada en la comunidad de seguridad cibernética, habiendo desempeñado un papel fundamental en gran parte del desarrollo inicial del sector como miembro de grupos como L0pht y Cult of the Dead Cow.
Se unió a Twitter bajo el mandato del predecesor de Agrawal, el fundador de la plataforma Jack Dorsey, para ayudar a abordar los problemas de seguridad de la plataforma luego de un ciberataque de 2020 en el que los estafadores de criptomonedas obtuvieron acceso a cuentas destacadas, incluidas las de Jeff Bezos, Bill Gates y Elon Musk, pero su empleo terminó a principios de 2022.
Zatko afirma que ahora está rompiendo su silencio después de haber intentado sin éxito que Twitter solucionara sus problemas. Dijo que Agrawal y otros lo obstruyeron y lo desanimaron de presentar información precisa a la junta directiva de la organización.
En la divulgación, que también se envió al Congreso de los EE. UU. y a otras agencias del gobierno federal de los EE. UU. en julio, Zatko describió una organización plagada de malas prácticas de seguridad y mala gestión, que permitía a demasiadas personas internas acceder sin restricciones a datos críticos y funciones de la plataforma. .
Zatko acusó a Twitter de intentar encubrir una letanía de vulnerabilidades graves, engañando a su junta y reguladores y dejando la puerta abierta a la interferencia maliciosa de los ciberdelincuentes y los servicios de inteligencia del estado nacional. De hecho, sugirió, actualmente puede haber espías hostiles en su nómina.
Continuó afirmando que la plataforma ha estado engañando a los usuarios que cancelaron sus cuentas haciéndoles creer que sus datos habían sido eliminados, cuando este no era necesariamente el caso.
Desde un punto de vista técnico, Zatko alegó además que Twitter todavía se ejecuta en una infraestructura de servidor obsoleta y envejecida que carece de protecciones adecuadas y rara vez se repara, y tiene protección y procedimientos deficientes para recuperar centros de datos de interrupciones no planificadas.
También dijo que la organización no había logrado controlar la cantidad de bots que usaban la plataforma y no estaba particularmente motivada para hacerlo. Este asunto fue un factor decisivo en la retirada de Elon Musk de su oferta de compra de Twitter, que ahora es objeto de acciones legales.
En respuesta a las acusaciones de Zatko en una declaración de amplia circulación, Twitter dijo que Zatko fue despedido en enero de 2022 por “liderazgo ineficaz y bajo rendimiento”.
“Lo que hemos visto hasta ahora es una narrativa falsa sobre Twitter y nuestras prácticas de privacidad y seguridad de datos que está plagada de inconsistencias e imprecisiones y carece de contexto importante”, dijo un portavoz.
“Las acusaciones del Sr. Zatko y el momento oportunista parecen estar diseñados para captar la atención e infligir daño a Twitter, sus clientes y accionistas. La seguridad y la privacidad han sido durante mucho tiempo prioridades de toda la empresa en Twitter y seguirán siéndolo”.
En un aviso a los empleados compartido a través del propio TwitterAgrawal se hizo eco de esta declaración y agregó: “Seguiremos todos los caminos para defender nuestra integridad como empresa y dejar las cosas claras”.
Los senadores estadounidenses Dick Durbin de Illinois y Chuck Grassley de Iowa, que forman parte del Comité Judicial del Senado y fueron copiados en el informe, dijeron que las acusaciones de Zatko justificaban una mayor investigación para llegar al fondo del asunto.
Grassley dijo CNN que la combinación de cantidades masivas de datos, una infraestructura de seguridad débil y la vulnerabilidad a los actores de estados nación hostiles era una “receta para el desastre”. Dijo que las afirmaciones de Zatko plantearon serias preocupaciones de seguridad nacional para Estados Unidos.
Un tercer senador, Richard Blumenthal de Connecticut, dijo que había escrito a la Comisión Federal de Comercio (FTC) instándola a investigar. La FTC investigó previamente a Twitter por acusaciones de que engañó a los consumidores sobre la seguridad de su servicio, y en 2011 llegó a un acuerdo con la empresa en el que se le prohibió “engañar a los consumidores sobre la medida en que protege la seguridad, la privacidad y la confidencialidad de información no pública del consumidor”. La queja de Zatko parecería sugerir que Twitter violó este acuerdo.
Mientras tanto, los miembros de la comunidad de seguridad también salieron en defensa de Zatko y rechazaron las refutaciones de Twitter. Entre ellos se encontraba Aaron Turner, CTO de productos de software como servicio (SaaS) en el especialista en detección de amenazas Vectra.
“Conozco a Mudge desde sus días en Cult of the Dead Cow”, dijo Turner. “Cuando estaba en Microsoft, él y el equipo de Stake nos ayudaron a mejorar fundamentalmente nuestra estrategia y tácticas de seguridad. Como trabajé en proyectos gubernamentales durante los últimos 20 años, diría que su trabajo en Darpa marcó una diferencia significativa en la forma en que el gobierno de EE. UU. aborda la seguridad cibernética.
“Él siempre ha tenido el más alto nivel de integridad y también se adhiere a los más altos estándares técnicos de desarrollo y operación de sistemas. Si Mudge dice que Twitter tiene problemas de ciberseguridad, Twitter tiene grandes problemas”.
Turner, quien coordinó la investigación sobre el incidente de estafa criptográfica de 2020 en Twitter, dijo que él mismo había llegado a la conclusión de que Twitter no tenía controles de administración de usuarios privilegiados apropiados o políticas de separación de funciones para desarrolladores y administradores de sistemas.
“Si la divulgación de Mudge es correcta, que Twitter tiene un problema significativo de higiene del sistema combinado con los controles y políticas de administración de usuarios, entonces toda la plataforma de Twitter corre el riesgo de verse comprometida”, agregó.
Daniel Thanos, vicepresidente de investigación y desarrollo de Arctic Wolf, también habló en apoyo de Zatko y dijo: “Mudge es un líder respetado y de gran confianza en la comunidad de seguridad cibernética y sus comentarios no deben tomarse a la ligera”.
Según Thanos, las acusaciones de Twitter muestran un patrón similar visto con otras compañías de redes sociales que luchan contra sus demonios de seguridad y privacidad. Desafortunadamente, dijo, hay demasiados casos en los que las empresas de redes sociales ocultan estos problemas y no los abordan de manera transparente.
“Todos estos eventos han demostrado que el autocontrol ya no va a funcionar”, dijo. “Estas entidades de redes sociales ahora se comportan como editores, lo que requiere un alto nivel de confianza pública. Con eso vienen ciertas responsabilidades de seguridad y transparencia que claramente no se están cumpliendo.
“Twitter tiene las mismas amenazas internas que muchas otras empresas. Dado que se ha convertido en una fuente vital de información, debe asegurarse de que sus controles de seguridad internos mantengan el más alto nivel de seguridad y privacidad. Esto es absolutamente fundamental por la confianza que los usuarios están depositando en él”.
Ed Hunter, CISO de la firma de seguridad en la nube Infoblox, agregó: “Estas organizaciones a menudo se enfrentan a equilibrar un aparato de seguridad ampliado y un producto generador de ingresos escalable. Muchas de las deficiencias se pueden abordar fácilmente a través de varias tecnologías de seguridad integradas que crecen con el entorno de producción generador de ingresos, incluida la visibilidad de todos los activos en la red y dónde se comunican”.
Pero tales problemas no se limitan solo a la esfera de las redes sociales. Como sabrá cualquier observador habitual del ciclo de noticias sobre seguridad cibernética, la falta de higiene de seguridad básica, e incluso el descuido deliberado de las mejores prácticas, es demasiado común.
Por ejemplo, Julia O’Toole, directora ejecutiva del especialista en administración de acceso MyCena, dijo que algunas de las acusaciones de Zatko deberían hacer que otros se den cuenta de que están muy desfasados en lo que respecta a la protección de datos. Ella dijo: “Las organizaciones deben comenzar a darse cuenta de que son responsables de sus datos y tienen el deber de mantenerlos seguros. Sin embargo, al permitir que los empleados creen sus propias contraseñas y claves de paso para acceder a datos críticos, están perdiendo ese control.
“Ninguna organización nunca permite que los empleados creen sus propias claves para acceder a una oficina física, sin embargo, permiten que los empleados creen sus claves digitales para acceder a sus datos, que sin duda es su activo más valioso en la actualidad. Necesitamos abordar esta vulnerabilidad para mejorar verdaderamente la seguridad”.
Thanos dijo que el incidente también demostró cuán importante es para los líderes de seguridad en cualquier organización tener una relación abierta y honesta de informes y gobierno con la junta que las partes interesadas internas no puedan comprometer. Dijo que las acusaciones de interferencia de Zatko por parte de figuras importantes de Twitter deberían ser motivo de preocupación para todos.
“El CEO anterior contrató a Mudge para hacer un trabajo sobre este tema y sobre el problema de las amenazas internas, pero los patrones de interferencia que enfrentan muchos CISO transformacionales parecen haberse exhibido aquí”, dijo. “Cualquiera que se preocupe por la misión en la que estamos como comunidad de seguridad querrá ver a Mudge prevalecer por el bien de toda la industria”.
