Es noticia
El hombre que lleva años avisando sobre el desastre de Twitter: "No hay ningún control"
  1. Tecnología
ENTREVISTA | AARON TURNER

El hombre que lleva años avisando sobre el desastre de Twitter: "No hay ningún control"

Turner, veterano de la ciberseguridad, es una de las personas que más ha estudiado los problemas de seguridad en la red social, y no tiene duda de que las denuncias del filtrador son ciertas: "Tiene más integridad que los ejecutivos de Twitter"

Foto: Aaron Turner en una imagen de archivo. (Cedida)
Aaron Turner en una imagen de archivo. (Cedida)

En junio de 2020, medio mundo vio cómo Elon Musk, Bill Gates y Jeff Bezos tenían un gesto de generosidad sin precedentes en Twitter. "Duplico el dinero que envíes a mi cartera de bitcoin", escribieron los multimillonarios. Por supuesto, sus cuentas (y las de otro centenar de personalidades) habían sido 'hackeadas' y utilizadas para una estafa masiva. Eso levantó las sospechas de Aaron Turner, un veterano de la ciberseguridad que se puso a investigar lo ocurrido. Ahí se dio cuenta del mal endémico de la red social y coordinó una investigación que dejaba al descubierto sus vergüenzas, pero no se le hizo mucho caso. Ahora, la denuncia del exjefe de seguridad del pájaro azul, Peiter Zatko, ha denunciado esas mismas prácticas, un asunto crucial para el juicio que decidirá si Musk tiene que pagar 44.000 millones de dólares por la plataforma.

Foto: EC

Zatko, conocido en el mundillo por el apodo Mudge, fue despedido de Twitter a principios de año. Allí había sido el máximo responsable de la seguridad de la empresa durante dos años, pero la nueva dirección prescindió de él y de buena parte de su equipo. Nadie supo el motivo, pero todo cambió hace unas semanas, cuando se convirtió en el invitado sorpresa en el culebrón entre Musk y la red social. En un giro inesperado (y ya van unos cuantos), Mudge hizo pública una denuncia en la que les acusaba de ocultar prácticas de seguridad negligentes, además de no saber la cantidad de cuentas falsas que proliferaban en la plataforma. Ese último punto, que es el motivo por el que la compra de Twitter saltó por los aires, ha reavivado fuego y podrían dar la vuelta a la situación. En la red social no han tardado en lanzarse al cuello y explicar que lo despidieron por "liderazgo inefectivo y pobre rendimiento".

El problema es que Mudge es uno de los profesionales más respetados del sector, y pocos tienen dudas de que se haya lanzado a la piscina a modo de venganza. "Si él dice que tienen problemas de ciberseguridad, entonces tienen grandes problemas", dice a las claras Turner, ahora director técnico de SaaS Protect en la firma de ciberseguridad Vectra AI, pero que conoce a Mudge desde hace 30 años y, además, ha trabajado mano a mano con él. Durante media hora, atiende a El Confidencial para explicar por qué el verdadero problema de Twitter no es el juicio del próximo octubre, sino el descontrol.

PREGUNTA. Supongo que cuando viste la filtración de Peter Zatko has tenido esa sensación de "os lo dije".

RESPUESTA. Sí, la he tenido desde ese momento. Aparte, en el sector hablamos entre nosotros y era un secreto a voces que no estaban haciendo las inversiones necesarias para mejorar su situación. Yo creo que es la razón por la que Mudge estaba muy frustrado, porque no estaban implementando esos controles.

P. Entre los fallos de seguridad que identificaste, ¿qué es lo que te pareció más preocupante?

R. La falta de separación de papeles. Cuando vi el ataque que sufrió Twitter en 2020, me hizo recordar mucho a los ataques contra Hotmail o MSN Messenger que viví en Microsoft y comencé a hacer preguntas en mi red de colegas, entre los que hay algunos que han sido consultores de Twitter. Entonces empecé a repasar cómo son los controles de un sistema como el de Twitter, porque me pareció extraño que ellos admitieran que una cuenta de administrador se podía usar para múltiples papeles en un servidor.

placeholder El especialista en ciberseguridad Aaron Turner. (Cedida)
El especialista en ciberseguridad Aaron Turner. (Cedida)

Así, analizamos su funcionamiento y vimos que no estaban implementando ningún control. Fundamentalmente, la manera de asegurar la integridad de una plataforma de este tipo es garantizar que un administrador no puede abusar y entrar en las cuentas de cualquier usuario, ni que un desarrollador o un gerente de soporte pueda tener los mismos poderes que él. Son tres papeles diferentes que deben mantenerse completamente separados. Por ejemplo, una persona puede investigar la cuenta de un usuario pero no puede instalar nuevos programas en el servidor.

Eso fue clave para darme cuenta de que no tenían unos controles adecuados, como los que teníamos en Microsoft o los que hay en empresas como Amazon Web Services o Google. Allí, cada vez que un administrador se conecta a un servidor, tiene que tener una clave diferente para cada entorno en el que trabaje. Eso no ocurre en Twitter.

P. ¿Cómo le explicarías todo eso a una persona que no tenga ni idea de ciberseguridad?

R. Si alguien tiene un negocio de alquiler de apartamentos, se supone que el gerente de mantenimiento puede tener una llave para entrar a las habitaciones, y es normal porque tiene que encargarse de ellas. Lo que no tiene sentido es que todos los empleados, como pueden ser los de recepción, tengan una llave para entrar a todos los apartamentos, porque aumenta los riesgos y así es difícil mantener la seguridad.

Foto: Kayvon Beykpour, en una imagen de archivo. (Getty/Noam Galai)

P. ¿Y eso cómo le afecta a un usuario corriente de Twitter?

R. En aquel incidente, un ataque hizo que se accediera a ciertas cuentas influyentes. Fue una consecuencia de la falta de control y de integridad de Twitter y, si les ocurrió a ellos, puede ocurrirle a cualquiera. Un ataque podría acabar en que uno podría resultar problemático y dañar la reputación del usuario, por ejemplo, difundiendo contenido pornográfico o cualquier otro que pueda comprometerle.

P. Es muy difícil que una empresa sea totalmente segura a nivel cibernético. ¿Por qué es más grave en este caso?

R. Sí, es cierto, es imposible ser 100% seguro. Nunca se debe suponer que una empresa va a tener control completo para evitar todos los incidentes. Es imposible. La cuestión es que una empresa se tiene que preparar para para limitar el daño cuando haya un incidente. Eso es lo que me preocupó cuando hice la investigación sobre Twitter.

P. Cuando viste la denuncia de Zatko, ¿qué pensaste?

R. Es alguien a quien conozco desde hace mucho tiempo, desde 1996. De hecho, cuando alcanzó el puesto de jefe de seguridad de Twitter después del incidente, pensé que iba a ser un trabajo tremendo, un gran desafío, porque había que arreglar muchas cosas. Me preguntaba a mí mismo: '¿habría aceptado un puesto así, con todos los retos que tiene por delante?'. Él sí tuvo ese ánimo, fue algo con coraje y creo que lo hizo para intentar mejorar la situación. Sobre su versión de los hechos, tengo que decir que tiene más integridad en mi industria que los ejecutivos de Twitter.

placeholder Pájaro de Twitter. (Reuters/Dado Ruvic Illustration)
Pájaro de Twitter. (Reuters/Dado Ruvic Illustration)

P. ¿Hubo algo que te sorprendiera especialmente de su filtración?

R. Lo que más me sorprendió es que los ejecutivos de Twitter no estuvieran dispuestos a hacer lo más básico para mantener cierto nivel de higiene. Cuando hay un servidor y un sistema operativo en él, se deben mantener las actualizaciones, lo que se conoce como parches. Él dice que no estaban dispuestos a instalar esas actualizaciones. Es lo más básico. Si uno no está dispuesto a eso, los demás controles no importan. Si uno encuentra una vulnerabilidad en el sistema operativo del servidor, los demás controles no valen ya de nada. No es posible diseñar una arquitectura de seguridad así.

P. ¿Por qué nadie le hizo caso? Según su denuncia, el propio CEO de Twitter, Parag Agrawal, le pidió que no enviara su informe de seguridad al consejo de administración de la compañía.

R. Twitter está en una posición muy complicada en cuanto a sus costes operativos, y eso hace que tengan que tomar decisiones sobre cómo invertir sus recursos. Ellos decidieron hacerlo en marketing y ese tipo de cosas, pero no en mantener la integridad de sus servidores y mantener cierto nivel de higiene en su gestión. Es el conflicto básico de lo que Zatko está diciendo en su informe. Él alertó de esos problemas, pero Twitter decidió no seguir sus recomendaciones. En consecuencia, él ha sentido que tenía que avisar a todo el mundo de que vio que Twitter está haciendo una tergiversación sobre la integridad de sus sistemas.

Foto: Elon Musk. (Getty/Win McNamee)
TE PUEDE INTERESAR
El culebrón de la compra de Twitter, explicado: todo lo que le puede ocurrir a Elon Musk
Mario Escribano Infografía: Rocío Márquez

P. En su respuesta a las acusaciones, Twitter ha explicado que fue despedido por haber tenido un "liderazgo ineficaz" y una "pobre actuación" durante su paso por la red social. "Mudge fue responsable de muchos aspectos de un trabajo que ahora está retratando de forma incorrecta y más de seis meses después de su cese", dijeron en un comunicado interno. ¿Qué opinas de esto?

R. Yo conocí a Zatko cuando era parte de [la organización de 'hackers'] Cult of the Dead Cow. Después, cuando trabajaba en Microsoft, él estaba en Stake y nos ayudaron a mejorar radicalmente nuestra estrategia de seguridad. Además de eso, ha trabajado en DARPA [Agencia de Proyectos de Investigación Avanzados de Defensa, por sus siglas en inglés], que es un grupo del ejército de Estados Unidos que investiga los problemas técnicos más complejos del mundo, y allí marcó una diferencia significativa a la hora de abordar la ciberseguridad.

Si él pudo manejarse dentro de la burocracia del Gobierno de Estados Unidos, me pregunto cómo no pudo ser un líder eficaz dentro de Twitter. No lo entiendo. Por toda su trayectoria y las investigaciones e innovaciones técnicas que ha liderado, confío más en él que en los líderes de Twitter. El problema no es Zatko, es Twitter. Y esto no solo afecta a los usuarios y a la confianza en la plataforma, también a la compra de Elon Musk.

P. Las revelaciones han llegado en un momento clave, a apenas dos meses de uno de los juicios más importantes para el sector tecnológico. Elon Musk parece muy contento con la noticia y, como decían en Twitter, ha tardado más de medio año en hacer la denuncia.

R. Si yo estuviera en su posición y tuviera información clave sobre una de las adquisiciones más importantes de la historia de internet, ¿me voy a esconder o voy a dar un paso al frente para decir la verdad? Yo he tenido estos dilemas alguna vez, aunque no en casos tan grandes como este, claro. Hay que decidir si tu carrera es más importante que tu integridad, y espero que la gente piense que he escogido mi integridad. Puedo entender por qué Zatko lo ha hecho así.

P. También fue chocante que denunciara la cuestión de los usuarios activos mensuales y las cuentas falsas, que es precisamente donde está el corazón del juicio entre Musk y Twitter. En concreto, ha dicho que la plataforma no tiene los recursos necesarios para conocer este dato y, además, tampoco tienen interés en clarificarlo.

R. Yo me dije a mí mismo: tienen razón. Ellos tienen un conflicto de interés porque a ellos les interesa aumentar el número de usuarios. Es mejor para ellos, tanto económicamente como en cuanto a influencia. Zatko estaba posicionándose a favor de una plataforma íntegra, y eso iba en contra de los intereses de los ejecutivos de Twitter.

placeholder Elon Musk en una imagen de archivo. (Reuters/Adrees Latif)
Elon Musk en una imagen de archivo. (Reuters/Adrees Latif)

P. Hay quien dice que su explicación en este punto era confusa.

R. No tengo más detalles sobre eso de lo que se ha publicado en el informe de Zatko.

P. Si se demostrara lo que dice Zatko, supondría uno de los mayores escándalos de la historia de Silicon Valley. Habrían estado engañando a sabiendas a los anunciantes durante cerca de 16 años.

R. De esto no tengo más información de lo que ha dicho en su denuncia, y ahí explica que Twitter no tienen recursos para medir adecuadamente el número de bots que tienen. Por su reputación profesional, confío más en él que en los ejecutivos de Twitter, porque para ellos es mejor cubrir los ojos que inventar un microscopio.

P. ¿Crees que estas revelaciones van a ser relevantes para el juicio? Hasta ahora, parecía que Twitter tenía bastantes papeletas de ganar, pero esto podría cambiar el resultado final.

R. No soy abogado y no soy experto en ese sentido. En cambio, sí veo que si es verdad lo que ha dicho, no solo van a tener problemas comerciales. También pueden tener problemas criminales por falsa representación, por tergiversación de varios asuntos. Twitter no solo está preocupado por las denuncias de Zatko y su impacto en la compra de Twitter, sino por el impactos criminales en los ejecutivos y a la compañía en sí. La información que ha presentado es muy impactante, más allá de la compra de la compañía.

P. Si estuvieras en esta situación, ¿qué harías?

R. Yo trabajé en Microsoft en unos tiempos muy difíciles. En los años 2000 a 2003, enfrentamos uno de los hackeos más grandes del mundo, que se llamaba Blaster. Nosotros vimos más de 1.000 millones de ordenadores infectados por un virus y tuvimos que levantar un proyecto enorme para arreglarlo.

El modelo que seguimos para enfrentar eso era el de los años 80 con el Tylenol. Ellos sufrieron un incidente de que un tercero puso veneno y varias personas murieron a causa de ello, pero afrontaron la situación. En cambio, Twitter no está siguiendo los pasos adecuados, porque están tratando de esconder información y disminuir la gravedad del asunto, en lugar de reconocerlo.

En junio de 2020, medio mundo vio cómo Elon Musk, Bill Gates y Jeff Bezos tenían un gesto de generosidad sin precedentes en Twitter. "Duplico el dinero que envíes a mi cartera de bitcoin", escribieron los multimillonarios. Por supuesto, sus cuentas (y las de otro centenar de personalidades) habían sido 'hackeadas' y utilizadas para una estafa masiva. Eso levantó las sospechas de Aaron Turner, un veterano de la ciberseguridad que se puso a investigar lo ocurrido. Ahí se dio cuenta del mal endémico de la red social y coordinó una investigación que dejaba al descubierto sus vergüenzas, pero no se le hizo mucho caso. Ahora, la denuncia del exjefe de seguridad del pájaro azul, Peiter Zatko, ha denunciado esas mismas prácticas, un asunto crucial para el juicio que decidirá si Musk tiene que pagar 44.000 millones de dólares por la plataforma.

Internet
El redactor recomienda