Peiter «Mudge» Zatko, el denunciante de Twitter

Cuando Twitter contrató a Peiter "Mudge" Zatko como jefe de seguridad en noviembre de 2020, la empresa todavía se recuperaba de un incidente de hackers adolescentes: un pequeño grupo de atacantes había asumido el control de las cuentas verificadas de Barack Obama, Joe Biden, Elon Musk y Apple para promover una estafa de Bitcoin. La junta directiva quería una persona seria en seguridad, y en el papel obtuvieron la más seria disponible. Dieciocho meses después, en enero de 2022, Twitter lo despidió.

Seis meses después, trabajando con los abogados de Whistleblower Aid, presentó una demanda de 84 páginas ante la SEC, la FTC y el Departamento de Justicia, y luego se presentó ante el Comité Judicial del Senado bajo juramento. Describió una empresa que no sabía qué datos tenía, no sabía quién podía acceder a ellos y no podía mantener a los servicios de inteligencia extranjera fuera de sus propios sistemas de ingeniería.

"Cuando una plataforma de medios influyente puede ser comprometida por adolescentes, ladrones y espías, esto es importante para todos nosotros."
Peiter "Mudge" Zatko @ Comité Judicial del Senado, declaración de apertura, 13 de septiembre de 2022

De L0pht a DARPA a Twitter

Mudge no era una contratación de seguridad corporativa que casualmente descubrió algo. Era un rostro público de la pirateería estadounidense antes de que la mayoría de los ingenieros de Twitter terminaran la escuela. Como miembro del colectivo de Boston L0pht y posteriormente Cult of the Dead Cow, se presentó en una audiencia del Comité de Asuntos Gubernamentales del Senado en mayo de 1998 y dijo a los senadores que los siete hombres junto a él podrían derribar todo Internet en aproximadamente media hora. La frase todavía se cita en libros de texto de ciberseguridad porque resultó ser aproximadamente correcta.

Peiter "Mudge" Zatko en DARPA, 10 de febrero de 2011
© Monica King / Departamento de Defensa de EE.UU. (dominio público)

Entre 2010 y 2013 dirigió programas en DARPA, donde ayudó a establecer la Oficina de Innovación de Información de la agencia e lanzó Cyber Fast Track, un programa de pequeñas subvenciones que canalizaba dinero hacia investigadores de seguridad independientes sin la usual carga de contratación federal. Luego pasó un tiempo en el grupo Advanced Technology and Projects de Google, luego en Stripe, antes de que el entonces CEO de Twitter, Jack Dorsey, lo reclutara personalmente después de la asunción de 2020.

Esa biografía importa porque Twitter no contrató a un gerente de cumplimiento que confundiera sistemas deficientes con fraude. Contrataron a la persona que otros expertos en seguridad citan, y él encontró la plataforma peor de lo que esperaba. Desde entonces ha informado a investigadores del Senado que lo que vio dentro de la empresa lo convenció de que era un problema de seguridad nacional y no solo uno corporativo.

La divulgación de julio de 2022

La demanda que Whistleblower Aid presentó en julio de 2022 tenía aproximadamente 200 páginas con anexos. Se presentó ante la SEC, la FTC y el Departamento de Justicia, y llegó al dominio público un mes después cuando CNN y el Washington Post se hicieron con ella. La divulgación apuntaba a tres cosas a la vez: el cumplimiento de la empresa de una orden de consentimiento de la FTC de 2011 sobre protección de datos de usuarios, sus afirmaciones a los inversores sobre cómo contaba usuarios y bots, y sus controles de acceso interno.

La afirmación de control de acceso fue la que hizo que los profesionales de seguridad se atragantaran con su café. Zatko informó a los reguladores que aproximadamente la mitad de los empleados de Twitter eran ingenieros, y que casi cualquiera de ellos podía enviar código a producción en vivo y leer o modificar los datos de cualquier usuario en la plataforma. No había entornos de prueba significativos, no había sistemas de desarrollo segregados, y el entorno de producción era donde los ingenieros depuraban. En cualquier empresa regulada normal esto sería un incidente reportable; en Twitter era el proceso diario de compilación.

La demanda también alegaba que los ejecutivos habían engañado repetidamente a la propia junta directiva de la empresa sobre con qué frecuencia fallaron las defensas de Twitter, y que los conteos internos de cuentas bot no eran lo que los documentos de la SEC implicaban. La respuesta de Twitter en ese momento fue que Zatko era un ex ejecutivo descontento cuya narrativa estaba llena de inexactitudes. Esta es también una defensa con una larga historia; la junta de Theranos dijo algo similar sobre Tyler Shultz y Erika Cheung antes del procesamiento.

Bajo juramento ante el Senado

El 13 de septiembre de 2022 Zatko se presentó ante el Comité Judicial del Senado y leyó una declaración escrita bajo juramento. La línea de apertura estableció la temperatura para el resto de la audiencia.

"Estoy aquí hoy porque el liderazgo de Twitter está engañando al público, legisladores, reguladores e incluso a su propia junta directiva. (...) No importa quién tenga las llaves si no hay cerraduras."
Peiter "Mudge" Zatko @ Comité Judicial del Senado, 13 de septiembre de 2022

Los senadores de ambos lados del pasillo lo trataron como creíble, lo cual fue inusual para ese comité ese año. Chuck Grassley trabajó a través de las acusaciones del decreto de consentimiento de la FTC punto por punto. Richard Blumenthal presionó sobre seguridad nacional. Tom Cotton hizo la pregunta sobre si servicios de inteligencia extranjera ya tenían personas dentro de la empresa.

"Si no estás colocando agentes extranjeros dentro de Twitter, probablemente no estés haciendo tu trabajo como agencia de inteligencia extranjera."
Peiter "Mudge" Zatko @ Comité Judicial del Senado, 13 de septiembre de 2022

Nombró al menos un caso específico: el FBI había advertido al equipo de seguridad de Twitter que un empleado estaba actuando como agente para un gobierno extranjero. Levantó la alarma internamente, y fue despedido. Para cuando terminó la audiencia, varios senadores estaban pidiendo un nuevo regulador de privacidad y seguridad que se ubicara dentro del Departamento de Justicia. Comparado con el canon más amplio de denunciantes en la prensa, esta audiencia impactó más que la mayoría porque la acusación no era un daño abstracto: era que un oficial de inteligencia extranjera podría tener un acceso de ingeniería de Twitter.

Atrapado en la adquisición de Musk

La divulgación se hizo pública el 23 de agosto de 2022, en medio de la demanda de Elon Musk para alejarse de su oferta de $44 mil millones para comprar la empresa. El equipo legal de Musk aprovechó la demanda dentro de días. Argumentaron en el Delaware Court of Chancery que las afirmaciones de Zatko eran un "evento adverso material" que anuló el trato, lo citaron para una deposición, y lo cuestionaron el 9 de septiembre de 2022 sobre conteos de bots y prácticas de seguridad.

El juez de la Chancellery dictaminó que las nuevas acusaciones podían agregarse al caso pero eran poco probables que hicieran el trabajo que los abogados de Musk querían. El 27 de octubre de 2022 Musk cerró la adquisición al precio acordado, despidió a los ejecutivos que Zatko había nombrado, y renombró la empresa X dentro de meses. Lo que no se hizo público hasta más tarde fue que Twitter ya le había pagado a Zatko un acuerdo confidencial de separación de aproximadamente $7 millones en junio de 2022, semanas antes de que presentara su demanda, en términos que lo dejaron libre para hablar con el Congreso y reguladores federales. El Wall Street Journal armó ese detalle en septiembre de las divulgaciones limitadas que las partes estaban dispuestas a hacer.

El seguimiento de la FTC

La FTC había estado monitoreando Twitter bajo la orden de consentimiento modificada de 2022 que resultó de un acuerdo de privacidad de $150 millones anteriormente ese mismo año. En marzo de 2023 la agencia confirmó que había abierto una investigación sobre si la empresa post-Musk estaba cumpliendo con ese orden. La investigación tomó la mejor parte de dos años.

En febrero de 2024, la Presidenta de la FTC Lina Khan envió al Comité Judicial de la Cámara una carta de 50 páginas que se convirtió en la lectura pública más concreta sobre lo que realmente había sucedido. El hallazgo principal fue que Musk había ordenado al personal dar a un escritor externo que trabajaba en la serie "Twitter Files" acceso sin restricciones, diciéndoles que otorgaran a la persona "acceso total a todo en Twitter, sin límites en absoluto". Los empleados veteranos de seguridad de la información bloquearon la orden por razones de decreto de consentimiento y enrutaron a los escritores a través de controles más estrechos en su lugar. La FTC concluyó que no había violación final, pero fue cercano, y documentó el tipo de reacción interna que Zatko dijo que faltaba.

Dónde terminó Mudge

Los denunciantes en el dominio de seguridad y privacidad rara vez logran seguir trabajando en su campo; los resultados mejores para ellos se ven como el exilio de Edward Snowden, o un largo período de consultoría bajo un nombre diferente. Zatko ha tenido una situación posterior diferente. En septiembre de 2023 se unió a la Agencia de Seguridad de Infraestructuras y Ciberseguridad como asesor técnico sénior a tiempo parcial para la entonces directora Jen Easterly, trabajando en el programa de diseño seguro de la agencia que empuja a los proveedores de software a enviar productos que no estén rotos de antemano.

El 7 de agosto de 2024 anunció su regreso a DARPA como el Jefe de Información de la agencia, el mismo lugar donde había establecido la Oficina de Innovación de Información una década antes. Publicó que esperaba "hacer una mella aún más grande en el universo esta segunda vez". La trayectoria es difícil de encontrar un paralelo: testigo del Senado en 1998 advirtiendo a los legisladores sobre el mal código de otros, testigo del Senado en 2022 advirtiendo a los legisladores sobre el mal código de su propio empleador, CIO federal dos años después.

La razón por la que este caso aún importa para cualquiera que ejecute un programa de denuncias es que los modos de fallo que Zatko describió son los canónicos. Una plataforma de cualquier tamaño recopila datos sensibles más rápido de lo que sus controles de acceso pueden mantenerse al día. Los ingenieros adquieren privilegios de producción que nadie en la dirección puede enumerar completamente. Las juntas directivas y los reguladores confían en las propias atestaciones de seguridad de la empresa, que están escritas por las mismas personas cuyo presupuesto depende de que la respuesta sea tranquilizadora. El punto de un canal interno es producir la advertencia un año antes de que alguien tenga que volar a Washington con su abogado.