Un exjefe de seguridad de Twitter alegó que la empresa engañó a los reguladores sobre sus deficientes defensas de seguridad cibernética y su negligencia al intentar erradicar cuentas falsas que difunden desinformación, según una denuncia presentada ante funcionarios estadounidenses.
La revelación podría crear serios problemas legales y financieros para la plataforma de redes sociales, que actualmente intenta obligar al CEO de Tesla, Elon Musk, a consumar su oferta de $44 mil millones para comprar la compañía. Varios miembros del Congreso pidieron el martes a los reguladores que investiguen los reclamos.
Peiter Zatko, jefe de seguridad de Twitter hasta que fue despedido a principios de este año, presentó las quejas el mes pasado ante la Comisión de Bolsa y Valores de EE. UU., la Comisión Federal de Comercio y el Departamento de Justicia. La organización legal sin fines de lucro Whistleblower Aid, que está trabajando con Zatko, confirmó la autenticidad de una copia redactada de la denuncia publicada en línea por el Washington Post.
“Este fue un último recurso para él”, dijo John Tye, cofundador y director de divulgación del grupo, en una entrevista el martes. Dijo que Zatko agotó todos los intentos de resolver sus preocupaciones dentro de la empresa antes de su despido en enero.
Entre las acusaciones más graves de Zatko se encuentra que Twitter violó los términos de un acuerdo de la FTC de 2011 al afirmar falsamente que había implementado medidas más estrictas para proteger la seguridad y la privacidad de sus usuarios. Zatko también acusa a la compañía de engaños relacionados con el manejo de “spam” o cuentas falsas, una acusación que está en el centro del intento de Musk de retractarse de la adquisición de Twitter.
Las acciones de Twitter Inc. habían caído más del 6% en un punto el martes.
Mejor conocido por su nombre de hacker “Mudge”, Zatko es un experto en seguridad cibernética muy respetado que ganó prominencia por primera vez en la década de 1990 y luego trabajó en puestos de alto nivel en la Agencia de Investigación Avanzada de Defensa del Pentágono y en Google.
Se unió a Twitter a instancias del entonces director ejecutivo Jack Dorsey a fines de 2020, el mismo año en que la compañía sufrió una vergonzosa brecha de seguridad que involucró a piratas informáticos que irrumpieron en las cuentas de Twitter de líderes mundiales, celebridades y magnates tecnológicos, incluido Musk, en un intento de estafar a sus seguidores con bitcoin .
Twitter dijo en una declaración preparada el martes que Zatko fue despedido por “liderazgo ineficaz y desempeño deficiente” y dijo que las “acusaciones y el momento oportunista parecen estar diseñados para captar la atención e infligir daño a Twitter, sus clientes y accionistas”. La compañía calificó su denuncia como “una narrativa falsa” que está “plagada de inconsistencias e inexactitudes y carece de un contexto importante”.
Los abogados de Zatko, Debra Katz y Alexis Ronickher, dijeron que la afirmación de Twitter sobre su bajo desempeño es falsa y que repetidamente planteó preocupaciones sobre “sistemas de seguridad de la información extremadamente inadecuados” con los altos ejecutivos y la junta directiva de Twitter. Los abogados dijeron que a finales de 2021, después de que la junta recibiera información “blanqueada” sobre esos problemas de seguridad, Zatko intensificó sus preocupaciones, “se enfrentó” con el director ejecutivo Parag Agrawal y el miembro de la junta Omid Kordestani y fue despedido dos semanas después.
La queja de 84 páginas describe una cultura corporativa rota en Twitter que carecía de un liderazgo efectivo y donde Zatko dijo que los altos ejecutivos practicaban la “ignorancia deliberada” de los problemas urgentes. Su descripción del estilo de liderazgo de Dorsey es particularmente mordaz; describió al fundador de Twitter como “extremadamente desconectado” durante los últimos meses de su mandato como director ejecutivo hasta el punto de que ni siquiera hablaba durante las reuniones sobre los problemas complejos que enfrentaba la empresa.
Zatko dijo que escuchó de colegas que Dorsey permanecería en silencio durante “días o semanas”. Dorsey anunció que dejaría el cargo de director ejecutivo de Twitter en noviembre de 2021.
La divulgación dice que Twitter no ofreció incentivos monetarios para mejorar la seguridad y la integridad de la plataforma, aunque la compañía ofreció bonos de $10 millones el año pasado para los altos ejecutivos que pudieran generar un crecimiento de usuarios a corto plazo.
Entre las acusaciones de Zatko sobre malas prácticas de seguridad cibernética: el software y las actualizaciones de seguridad se deshabilitaron en más de un tercio de las computadoras de los empleados, exponiéndolos indebidamente a malware, y era común que las personas instalaran “cualquier software que quisieran en sus sistemas de trabajo”. Estos lapsos suelen considerarse pecados capitales en ciberseguridad.
Whistleblower Aid dijo que está legalmente impedido de compartir la declaración de Zatko. El mismo grupo trabajó con la exempleada de Facebook Frances Haugen, quien testificó ante el Congreso el año pasado después de filtrar documentos internos y acusar al gigante de las redes sociales de preferir las ganancias a la seguridad.
