Twitter adolece de "deficiencias atroces" de seguridad que, a su vez, constituyen una amenaza para la privacidad de los usuarios, para los accionistas de la compañía, para "la seguridad nacional y para la democracia". Ese es el mensaje que ha trasladado en una explosiva entrevista en la CNN (y en una aún más explosiva denuncia ante las autoridades estadounidenses) el conocido 'hacker ético' Peiter Zatko, alias 'Mudge', quien hasta el pasado mes de enero ejerció como jefe de seguridad de la red social.
Acusaciones de una tasa "anómalamente alta" de incidencias de ciberseguridad, de haberse plegado a la exigencia del gobierno indio de contratar a agentes gubernamentales y otorgarles acceso a información privada, de haber violado acuerdos con la Comisión Federal de Comercio que obligaban a la compañía a reforzar su seguridad, etcétera.
Ah, y la afirmación de que Twitter ha mentido a la cara a Musk en lo que respecta a todo el asunto de los bots. Pero, ¿quién es y de dónde ha salido este tal Zatko que irrumpe ahora con tales afirmaciones?
El hacker que se reunía con Bill Clinton
En 1995, con sólo 25 años, 'Mudge' fue uno de los primeros expertos en difundir la existencia de una nueva vulnerabilidad conocida como 'desbordamiento de búfer', y más tarde publicaría también algunas de las primeras investigaciones sobre técnicas de hacking hoy populares como la inyección de código o los ataques de canal lateral. Por aquellas fechas se integró en los míticos grupos de hacking 'Cult of the Dead Cow' y L0pht.
Su pertenencia a L0pht fue especialmente relevante para él, pues le permitió convertirse en uno de los autores iniciales de la herramienta de seguridad L0phtCrack y en uno de los primeros hackers en testificar como experto ante un comité del Senado estadounidense (1998) y, más tarde, con el presidente de los EE.UU., cuando los primeros grandes ataques DDoS se convirtieron en tema de debate nacional (2000).
'Mudge' es el de la pelambrera, por cierto:
Además, L0pht se terminaría reconvirtiendo en 1999 en @Stake, una consultora de ciberseguridad, de la que se terminaría convirtiendo en vicepresidente de I+D y, iniciando una carrera en la industria privada que le terminaría permitiendo trabajar 3 años en la agencia de investigación militar DARPA (dependiente del Pentágono), desde que la en 2013 saltó a Silicon Valley, concretamente a Google ATAP, el grupo de proyectos y tecnología avanzada de Google.
Más tarde pasaría ocupar el cargo de responsable de seguridad del procesador de pagos Stripe, antes de que —tras el ciberataque masivo que sufrió la red social en 2020— el antiguo CEO de Twitter, Jack Dorsey, le fichara y pusiera en sus manos la seguridad de la red de microblogging en noviembre de 2020.
El experto en ciberseguridad que ahora denuncia a Twitter
En aquel momento, se destacó en la prensa que, desde su nuevo puesto, Zatko daría cuentas directamente a Dorsey, y que asumiría la responsabilidad de todas las tareas de ciberseguridad "desde la respuesta a incidentes hasta garantizar la 'integridad' de la plataforma".
Pero, exactamente un año después, Jack Dorsey dimitía como CEO de Twitter, y era sucedido por el actual máximo responsable de Twitter, Parag Agrawal quien, sólo dos meses después, despidió a Zatko acusándole de 'desempeño deficiente e ineficaz'.
La versión del viejo hacker es, sin embargo, muy diferente: afirma que fue una represalia por empezar a documentar las múltiples violaciones de seguridad que experimentaba la compañía, tras un tiempo intentando convencer a los directivos de que corrigieran los efectos de años de deficiencias técnicas.
Ya en la calle, el mes pasado Zatko presentó la información de que disponía a dos agencias reguladoras estadounidenses (la Comisión Fedral de Comercio y la Comisión de Bolsa y Valores), acogiéndose a la normativa federal que protege a los 'whistleblowers' (denunciantes internos de las empresas o la administración). También ha contado, en ese sentido, con el respaldo de la entidad sin ánimo de lucro Whistleblower Aid, la misma que respalda a la ex-directiva de Facebook Frances Haugen.
El fundador de este grupo ha salido a la palestra para aclarar que este proceso de denuncia comenzó antes de que salieran a la luz las disputas entre Musk y Twitter, una aclaración necesaria dado que el testimonio de Zatko respalda las acusaciones del CEO de Tesla acerca de la manipulación del número real de bots por parte de la red social, algo que puede resultar decisivo en el multimillonario proceso judicial en que se hallan inmersos.
Un mensaje interno de Agrawal a sus empleados, convenientemente filtrado hace unas horas, recoge la argumentación del CEO acerca del despido de Zatko y le acusa de sostener ahora "una narrativa falsa que está plagada de inconsistencias e inexactitudes, y presentada sin un contexto importante".
Imagen | Basada en originales de Pieter Zatko (vía Twitter) e Iconscout.com
Ver 1 comentarios