Crédito:Pixabay/CC0 Dominio público
Peiter Zatko, el exjefe de seguridad de Twitter que se convirtió en informante, dijo el martes al Comité Judicial del Senado que las prácticas de seguridad de la empresa de redes sociales eran tan débiles que los gobiernos extranjeros pudieron incluir agentes en la nómina de la empresa.
Zatko también les dijo a los legisladores que los reguladores de EE. UU. no pueden vigilar a las empresas de tecnología, señalando a la Comisión Federal de Comercio por estar por encima de su cabeza y permitiendo que las empresas de tecnología "califiquen su propia tarea". La práctica de EE. UU. de abofetear a las empresas con multas únicas está "valorada" por Twitter y otras empresas tecnológicas como el costo de hacer negocios, dijo.
Su testimonio siguió a las quejas que presentó ante la FTC, la Comisión de Bolsa y Valores y el Departamento de Justicia. The Washington Post reveló por primera vez sus revelaciones el mes pasado.
A pesar de la audiencia, no se espera que el Congreso tome medidas para vigilar el comportamiento de Twitter u otras empresas de redes sociales. El Comité de Comercio del Senado aprobó dos proyectos de ley del Senado que abordarían la privacidad de datos para niños y menores de edad, pero no han recibido ninguna acción plenaria.
La miembro del Poder Judicial del Senado, Amy Klobuchar, D-Minn., citó la falta de acción en la audiencia del martes. “No hemos aprobado un solo proyecto de ley del Senado de los EE. UU. cuando se trata de competencia, cuando se trata de privacidad, cuando se trata de mejores agencias de financiación”, dijo. "Creo que será mejor que nos pongamos el espejo".
Zatko dijo que el gobierno indio pudo colocar a un agente en la oficina de Twitter en India como empleado mientras la empresa y el gobierno negociaban las políticas de contenido de la plataforma. "Vi con gran confianza a un agente extranjero enviado desde la India para comprender las negociaciones", dijo, "y lo bien que iban a favor o en contra" del gobernante Partido Bharatiya Janata de la India.
Desde 2021, el gobierno indio ha pedido a Twitter que elimine hasta 1400 cuentas, según un informe de Bloomberg News de julio que citó fuentes no identificadas. Twitter impugnó las órdenes del gobierno indio en los tribunales en junio; el resultado está pendiente.
El presidente del Poder Judicial del Senado, Richard J. Durbin, D-Ill., calificó las acusaciones de Zatko como preocupantes. El área de gran preocupación es el acceso de gobiernos extranjeros y agencias extranjeras a los datos que los usuarios estadounidenses pueden estar proporcionando a la plataforma, dijo, y agregó que los estadounidenses "no tienen idea de que son vulnerables a esa posibilidad".
En agosto, un exgerente de Twitter acusado de espiar para Arabia Saudita fue condenado en San Francisco por seis cargos penales. Los fiscales dijeron que un asesor del príncipe heredero de Arabia Saudita, Mohammed bin Salman, reclutó a Ahmad Abouammo para usar su conocimiento interno para acceder a las cuentas de Twitter y desenterrar información personal sobre los disidentes saudíes.
Zatko dijo que Twitter tenía pocas de las prácticas de seguridad estándar utilizadas en varias empresas tecnológicas y de otro tipo con protocolos que especifican qué empleados tienen acceso a qué sistemas informáticos y/o registros de mantenimiento de la actividad de los empleados. Miles de ingenieros de Twitter tienen acceso al sistema de producción de la empresa o a las redes informáticas que alojan la plataforma de redes sociales y los datos de los usuarios, dijo.
Muchas empresas crean una red separada donde se capacita a los nuevos empleados y se prueban las nuevas ofertas antes de lanzarlas en el sistema de producción, dijo Zatko.
Twitter no mantuvo registros de qué ingenieros accedieron a qué sistemas, dijo. Como resultado, miles de empleados tienen acceso a toda la información de los usuarios de Twitter, lo que convierte a la empresa en un objetivo importante para la recopilación de inteligencia sobre los usuarios por parte de gobiernos extranjeros, dijo Zatko.
La cuenta de Twitter del presidente Barack Obama fue pirateada en 2009. Los piratas informáticos también accedieron a la cuenta de Obama en 2020, así como a las del entonces candidato presidencial Joe Biden, el fundador de Tesla Elon Musk y otras 100 personas.
Zatko describió una empresa tan enfocada en agregar nuevos usuarios y aumentar los ingresos que no escatimó tiempo, recursos o personal para implementar medidas de seguridad. Twitter permitió a las empresas chinas que pueden haber tenido vínculos con el gobierno anunciarse en la plataforma a pesar de que está prohibida en China, dijo Zatko. Los usuarios que hicieron clic en esos anuncios pueden haberse expuesto a la recopilación de datos por parte de las empresas chinas, dijo.
"Twitter era una empresa gestionada por el riesgo y las crisis, en lugar de una que gestiona el riesgo y las crisis", dijo Zatko.
Los altos ejecutivos de la empresa no querían oír hablar de las debilidades de seguridad, dijo Zatko.
Reguladores de EE. UU. 'sobre su cabeza'
Zatko dijo que las agencias federales de EE. UU. son lamentablemente inadecuadas para vigilar a las empresas de tecnología, y señaló que la FTC en particular no pudo hacer cumplir completamente un decreto de consentimiento de 2011 con Twitter sobre la protección de los datos de los usuarios.
"Creo que la FTC, sinceramente, está un poco por encima de su cabeza... en comparación con el tamaño de las grandes empresas de tecnología y el desafío que tienen contra ellas", dijo.
Twitter tenía más miedo de los reguladores extranjeros, incluida la agencia de protección de datos de Francia, conocida como CNIL, que de la FTC, dijo Zatko. A diferencia de la FTC, que impone multas únicas, es más probable que Francia y otros organismos reguladores extranjeros impongan remedios estructurales a las empresas tecnológicas que podrían perjudicar los resultados y llamar la atención de los inversores, dijo Zatko.
En mayo, la FTC multó a Twitter con $150 millones por violar un decreto de consentimiento de 2011 al recopilar información personal de los clientes con el propósito declarado de seguridad y luego explotarla comercialmente.
2022 CQ-Roll Call, Inc., Todos los derechos reservados. Distribuido por Tribune Content Agency, LLC. Denunciante de Twitter lleva sus críticas al Congreso