¿Está Twitter poniendo en riesgo la seguridad de sus usuarios?

El exjefe de seguridad de Twitter, Peiter "Mudge" Zatko, presentó una denuncia ante la Comisión de Bolsa y Valores en julio de 2022, acusando a la empresa de plataforma de microblogging de graves fallas de seguridad.

Las acusaciones amplificaron el drama en curso de la posible venta de Twitter a Elon Musk.

Zatko pasó décadas como hacker ético, investigador privado, asesor gubernamental y ejecutivo en algunas de las empresas de Internet y oficinas gubernamentales más destacadas.

Es prácticamente una leyenda en la industria de la ciberseguridad. Debido a su reputación, cuando habla, la gente y los gobiernos normalmente escuchan, lo que subraya la seriedad de su denuncia contra Twitter.

LEER MÁS: La demanda de la FTC expone un gran riesgo de privacidad, y es culpa de su teléfono

Como ex practicante de la industria de la ciberseguridad y actual investigador de ciberseguridad, creo que las acusaciones más condenatorias de Zatko se centran en la supuesta falta de Twitter de tener un plan sólido de ciberseguridad para proteger los datos de los usuarios, implementar controles internos para protegerse contra las amenazas internas y garantizar que los sistemas de la empresa estuvieran actualizados y correctamente actualizado.

Zatko también alegó que los ejecutivos de Twitter fueron poco comunicativos sobre los incidentes de seguridad cibernética en la plataforma cuando informaron tanto a los reguladores como a la junta directiva de la compañía.

Afirmó que Twitter priorizó el crecimiento de los usuarios sobre la reducción del spam y otro contenido no deseado que envenenó la plataforma y restó valor a la experiencia del usuario.

Su queja también expresaba preocupaciones sobre las prácticas comerciales de la empresa.

Presuntas fallas de seguridad

Las acusaciones de Zatko pintan una imagen inquietante no solo del estado de la ciberseguridad de Twitter como plataforma de redes sociales, sino también de la conciencia de seguridad de Twitter como empresa.

Ambos puntos son relevantes dada la posición de Twitter en las comunicaciones globales y la lucha en curso contra el extremismo y la desinformación en línea.

Quizás la más significativa de las acusaciones de Zatko es su afirmación de que casi la mitad de los empleados de Twitter tienen acceso directo a los datos de los usuarios y al código fuente de Twitter.

Las prácticas de seguridad cibernética probadas con el tiempo no permiten que muchas personas con este nivel de permiso "raíz" o "privilegiado" accedan a sistemas y datos confidenciales.

Si es cierto, esto significa que Twitter podría estar listo para ser explotado desde adentro o por adversarios externos asistidos por personas internas que pueden no haber sido investigadas adecuadamente.

Zatko también alega que los centros de datos de Twitter pueden no ser tan seguros, resistentes o confiables como afirma la empresa.

Calculó que casi la mitad de los 500.000 servidores de Twitter en todo el mundo carecen de controles de seguridad básicos, como ejecutar software actualizado y respaldado por proveedores o cifrar los datos de usuario almacenados en ellos.

También señaló que la falta de un plan sólido de continuidad comercial de la empresa significa que si varios de sus centros de datos fallan debido a un incidente cibernético u otro desastre, podría conducir a un "evento de finalización existencial de la empresa".

Estas son solo algunas de las afirmaciones realizadas en la denuncia de Zatko. Si sus acusaciones son ciertas, Twitter ha fallado en Ciberseguridad 101.

Preocupaciones sobre la interferencia de gobiernos extranjeros

Las acusaciones de Zatko también podrían presentar un problema de seguridad nacional.

Twitter se ha utilizado para difundir desinformación y propaganda en los últimos años durante eventos globales como la pandemia y las elecciones nacionales.

Por ejemplo, el informe de Zatko indicó que el gobierno indio obligó a Twitter a contratar agentes del gobierno, quienes tendrían acceso a grandes cantidades de datos confidenciales de Twitter.

En respuesta, el a veces hostil vecino de India, Pakistán, acusó a India de intentar infiltrarse en el sistema de seguridad de Twitter “en un esfuerzo por frenar las libertades fundamentales”.

Dada la presencia mundial de Twitter como plataforma de comunicaciones, otras naciones, como Rusia y China, podrían exigir que la empresa contrate a sus propios agentes gubernamentales como condición para permitir que la empresa opere en su país.

Las acusaciones de Zatko sobre la seguridad interna de Twitter plantean la posibilidad de que delincuentes, activistas, gobiernos hostiles o sus partidarios que busquen explotar los sistemas de Twitter y los datos de los usuarios reclutando o chantajeando a sus empleados puedan representar un problema de seguridad nacional.

Peor aún, la propia información de Twitter sobre sus usuarios, sus intereses y a quién siguen e interactúan en la plataforma podría facilitar la selección de campañas de desinformación, chantaje u otros fines nefastos.

Este tipo de objetivos extranjeros de empresas destacadas y sus empleados ha sido una preocupación importante de contrainteligencia en la comunidad de seguridad nacional durante décadas.

Caer

Cualquiera que sea el resultado de la queja de Zatko en el Congreso, la SEC u otras agencias federales, ya es parte de las últimas presentaciones legales de Musk mientras intenta retractarse de su compra de Twitter.

Idealmente, a la luz de estas divulgaciones, Twitter tomará medidas correctivas para mejorar los sistemas y prácticas de ciberseguridad de la empresa.

Un buen primer paso que podría tomar la compañía es revisar y limitar quién tiene acceso raíz a sus sistemas, código fuente y datos de usuario al número mínimo necesario.

La empresa también debe asegurarse de que sus sistemas de producción se mantengan actualizados y que esté efectivamente preparada para enfrentar cualquier tipo de situación de emergencia sin interrumpir significativamente sus operaciones globales.

Desde una perspectiva más amplia, la denuncia de Zatko subraya el papel fundamental y, en ocasiones, incómodo que desempeña la ciberseguridad en las organizaciones modernas.

Los profesionales de la ciberseguridad como Zatko entienden que a ninguna empresa o agencia gubernamental le gusta la publicidad de los problemas de ciberseguridad.

Tienden a pensar largo y tendido sobre si y cómo plantear preocupaciones de seguridad cibernética como estas, y cuáles podrían ser las ramificaciones potenciales.

En este caso, Zatko dice que sus revelaciones reflejan "el trabajo para el que fue contratado" como jefe de seguridad de una plataforma de redes sociales que, según él, "es fundamental para la democracia".

Para empresas como Twitter, las malas noticias sobre seguridad cibernética a menudo resultan en una pesadilla de relaciones públicas que podría afectar el precio de las acciones y su posición en el mercado, sin mencionar que atrae el interés de los reguladores y legisladores.

Para los gobiernos, tales revelaciones pueden conducir a una falta de confianza en las instituciones creadas para servir a la sociedad, además de crear potencialmente un ruido político que distraiga.

Desafortunadamente, cómo se descubren, divulgan y manejan los problemas de seguridad cibernética sigue siendo un proceso difícil y, a veces, controvertido, sin una solución fácil tanto para los profesionales de la seguridad cibernética como para las organizaciones actuales.

¿Tiene alguna idea sobre esto? Lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• Instagram y Facebook lo rastrean en otros sitios web: así es como
• ¿Qué son las actualizaciones de automóviles por aire (OTA)?
• He aquí por qué todo el mundo odia esas molestas notificaciones de cookies
• El iPhone cumple 15 años: una mirada al pasado, presente y futuro del dispositivo

Nota del editor: este artículo fue escrito por Richard Forno, profesor principal de informática e ingeniería eléctrica de la Universidad de Maryland, condado de Baltimore , y se volvió a publicar en The Conversation bajo una licencia Creative Commons. Lea el artículo original.