Musk se enfrenta en Twitter a un incendio mayor que los despidos: una fuga masiva de datos

Nadie sabe exactamente cuántos empleados quedan en Twitter. Seguramente, ni el propio Elon Musk pueda dar una cifra con precisión, aunque las estimaciones oscilan en que ahora mismo queda entre una décima parte y un tercio de la plantilla que había antes de su llegada, es decir, unos 2.700 trabajadores. Es algo que ha dado pie a especulaciones sobre una posible caída de Twitter, sobre todo después de que algunas funciones empezaran a fallar más de la cuenta. Ahora todos los ojos miran a los agujeros de seguridad de una plataforma que, dicho sea de paso, ya tenía serios problemas en su ciberdefensa. En este ámbito, los riesgos van desde un sabotaje interno a una fuga masiva de datos de sus usuarios, y nadie se atreve a descartarlos a estas alturas.

Si has seguido de cerca el culebrón de la compra de Twitter, esta cuestión te resultará familiar. Hace meses, Peiter Zatko Mudge, el exjefe de Seguridad de Twitter, apareció como invitado sorpresa y denunció públicamente una serie de prácticas negligentes, como la falta de inversión, la presencia de espías extranjeros infiltrados como trabajadores, la incapacidad para medir la cantidad de cuentas falsas o la propia arquitectura de sus sistemas. La firma negó las acusaciones en todo momento, pero lo cierto es que se trata de un reputado profesional del sector. Es más, era una de las pocas bazas que tenía Musk en su favor para un juicio que nunca se llegó a celebrar. Una vez que aceptó comprar la compañía, también asumía todo el engorro que podía haber sido su salvación.

TE PUEDE INTERESAR

Hablan los purgados de Twitter: "El escenario apocalíptico está más cerca que nunca"

Alfredo Pascual

La cuestión es que Musk tiene que afrontar ese reto con una plantilla reducida al mínimo. Una semana después de aparecer con un lavabo en la sede de la empresa, el nuevo dueño se deshizo de 3.700 empleados —la mitad del total—, aunque después tuvo que contactar con algunos de ellos que fueron despedidos por "error". Unos días más tarde, algunos ejecutivos clave para el futuro de Twitter —y que habían sobrevivido a la purga de directivos— decidieron abandonar a Musk. Entre ellos, los máximos responsables de seguridad informática, Lea Kissner; privacidad, Damien Kieran; cumplimiento normativo, Marianne Fogarty; y Yoel Roth, jefe de Trust & Safety. Por si fuera poco, el magnate dio un ultimátum a los trabajadores que quedaban en plantilla: o trabajaban "duro" o se iban a la calle. Muchos, se estima que un millar, optaron por esta última opción.

"Nunca es bueno deshacerse de gente en puestos críticos, pero aún hace falta conocer cuántos son", matiza Josep Albors, jefe de investigación de ESET España, que reconoce que "los despidos masivos no dejan en buen papel la labor de mantenimiento, porque hay más posibilidades de que algo falle". En este punto, recuerda que un lugar "tan grande como Twitter" tiene que estar en permanente alerta. "Tú puedes sentirte muy seguro en tus muros, pero por debajo puede haber un pasadizo secreto que no conoces", apostilla este especialista, que avisa de que esto puede suponer "un cartucho muy valioso para los atacantes", pero no el único, ya que "también puede haber brechas de las que se tenga constancia y que nadie se haya molestado en parchearlas".

Fugas de datos y estafas masivas

Musk, que incluso se ha cachondeado de la situación, ha anunciado este lunes que los tiempos de las salidas se han acabado. Lo ha hecho durante una reunión con lo que queda de plantilla, donde ha recalcado que ya está reclutando perfiles de ingeniería y ventas, sin dar mayor detalle. "Diría que las personas que son brillantes escribiendo software son la prioridad", dijo, según un audio al que ha tenido acceso The Verge. Ahí también reconoció que la reorganización "tendrá muchos errores", pero que "se estabilizará con el tiempo". La gran pregunta es cuánto tiempo (y dinero) necesita Musk para enderezar el camino y, sobre todo, cuánto puede aguantar Twitter en esta situación. Unos días antes, varios senadores demócratas habían pedido a la Comisión Federal de Comercio (FTC, por sus siglas en inglés) —institución que también investiga las revelaciones de Zatko— que revisara si los cambios anunciados violaban un compromiso firmado por Twitter en 2011 sobre privacidad.

La primera prueba de que Twitter se le estaba empezando a ir de las manos a Musk fue el cambio de políticas de verificación. Después de implantar el polémico check azul a aquellos usuarios que pagaban por ocho dólares al mes por Twitter Blue, el caos se apoderó de la red social y ahora no se sabe qué pasará con esta medida. Sin embargo, uno de los aspectos más temidos es una posible filtración masiva de datos de sus más de 200 millones de usuarios, cuestión sobre la que ya han llamado la atención publicaciones como Wired.

Aaron Turner, especialista en ciberseguridad y director técnico de la firma Vectra AI, considera que es "muy probable" que haya una filtración masiva de datos. "Ahora los hackers tienen una gran oportunidad de penetrar las redes y sistemas de Twitter", subraya Turner, que hace años trabajó con Zatko en Microsoft y no duda de su integridad: "Si lo que dijo era cierto, la situación va a empeorar a corto plazo". También tiene una buena opinión sobre el trabajo de Musk, por lo que considera que "si Twitter puede aguantar los próximos 6 meses, la seguridad va a mejorar mucho".

Entre tanto, un ataque podría dejar al descubierto información privada que recoge la red social. Por ejemplo, Twitter tiene el número de tarjeta de crédito de determinados usuarios —los suscriptores de Twitter Blue—, así como los documentos de identidad de los verificados. Además, sea cual sea el estatus de la cuenta, también guarda números de teléfono, correo electrónico, datos de geolocalización, fechas de nacimiento o el contenido de los mensajes directos, que inexplicablemente nunca han sido encriptados, algo que Musk ya se ha comprometido a solucionar. Además, otra de las posibilidades es que se ataque para acceder también a recursos internos de la empresa.

TE PUEDE INTERESAR

Hacerte pasar por Elon Musk solo cuesta 8$: por qué Twitter se le está yendo de las manos

Mario Escribano

Sin embargo, y más allá del escándalo que supondría algo así, Turner destaca que lo más atractivo para los atacantes puede ser "comprometer los sistemas para conseguir el control y monitorear diferentes usuarios". "Si alguien famoso está usando su número de para autenticación y tiene la aplicación de Twitter instalada, sería interesante coordinar un ataque que engañe al usuario para dar permisos a los delincuentes y tomar el control sobre otras cuentas, como las bancarias", ejemplifica. No será la primera vez que ocurre algo así en los sistemas del pájaro azul. En junio de 2020, recibió uno de los ataques más duros de su historia y afectó a algunas de las cuentas con más seguidores de la red social, como la del propio Musk, pero también las de Bill Gates y Jeff Bezos. "Duplico el dinero que envíes a mi cartera de bitcoin", escribieron desde las cuentas de los multimillonarios, además de las de otro centenar de personalidades. Por supuesto, habían sido 'hackeadas' y utilizadas para una estafa masiva.

La venganza de los rebotados

Aquel episodio vino determinado por la propia arquitectura de Twitter, donde cualquier administrador tiene acceso al conjunto del sistema. "La manera de asegurar la integridad de una plataforma de este tipo es garantizar que un administrador no puede abusar y entrar en las cuentas de cualquier usuario, ni que un desarrollador o un gerente de soporte pueda tener los mismos poderes que él", explicaba Turner en una entrevista reciente con El Confidencial, donde explicaba la investigación sobre la red social que dirigió tras el incidente de 2020. Además, añadía una metáfora cristalina: "Si alguien tiene un negocio de alquiler de apartamentos, se supone que el gerente de mantenimiento puede tener una llave para entrar a las habitaciones. Lo que no tiene sentido es que todos los empleados, como pueden ser los de recepción, tengan una llave para entrar a todos".

Es algo que ahora puede potenciar el papel de los trabajadores rebotados o, directamente, los exempleados que conozcan bien las tripas de la plataforma y quieran vengarse por la forma en la que perdieron su trabajo, algo que no es nada descabellado ni, según esta investigación, muy difícil de lograr. Tal y como enfatiza Turner, la denuncia del exjefe de Seguridad se produjo unas semanas de que se celebrara el juicio entre Twitter y Musk —es decir, uno de los momentos más delicados de la adquisición—, por lo que "la mayoría de los empleados querrían defender Twitter de la mala publicidad". Pero esa situación ha dado ahora un giro de 180 grados.

"Se han convertido en enemigos y atacantes potenciales. Hay exempleados muy descontentos que quieren demostrar los errores de Musk", avisa este especialista, que tiene claro que esta cuestión sería su "principal prioridad" si estuviera al frente de la seguridad de la red social. Es más, no descarta que esos posibles ataques internos tengan como objetivo que la propia red social se vaya al garete. "Muchos de los desarrolladores y operadores de los sistemas de Twitter tienen motivos para hacerlo", zanja.