Peiter Zatko el denunciante de Twitter que advirtió al Congreso

Cuando Twitter contrató a Peiter "Mudge" Zatko como jefe de seguridad en noviembre de 2020, la empresa aún se recuperaba de una fechoría de hackers adolescentes: un pequeño grupo de atacantes había tomado el control de las cuentas verificadas de Barack Obama, Joe Biden, Elon Musk y Apple para promover una estafa con Bitcoin. La junta directiva quería un responsable de seguridad serio y, sobre el papel, consiguió al más serio que había disponible. Dieciocho meses después, en enero de 2022, Twitter lo despidió.

Seis meses después, trabajando con los abogados de Whistleblower Aid, presentó una demanda de 84 páginas ante la SEC, la FTC y el Departamento de Justicia, y luego compareció bajo juramento ante el Comité Judicial del Senado. Describió una empresa que no sabía qué datos tenía, no sabía quién podía acceder a ellos y no era capaz de mantener a los servicios de inteligencia extranjeros fuera de sus propios sistemas de ingeniería.

"Cuando una plataforma de medios influyente puede ser comprometida por adolescentes, ladrones y espías, esto es importante para todos nosotros."
Peiter "Mudge" Zatko @ Comité Judicial del Senado, declaración de apertura, 13 de septiembre de 2022

De L0pht a DARPA a Twitter

Mudge no era una contratación de seguridad corporativa que casualmente descubrió algo. Era un rostro público de la piratería informática estadounidense antes de que la mayoría de los ingenieros de Twitter terminaran sus estudios. Como miembro del colectivo bostoniano L0pht y, más tarde, de Cult of the Dead Cow, compareció en una audiencia del Comité de Asuntos Gubernamentales del Senado en mayo de 1998 y dijo a los senadores que los siete hombres que estaban a su lado podrían derribar todo internet en aproximadamente media hora. La frase aún se cita en los manuales de ciberseguridad porque resultó ser bastante acertada.

Peiter "Mudge" Zatko en DARPA, 10 de febrero de 2011
© Monica King / Departamento de Defensa de EE.UU. (dominio público)

Entre 2010 y 2013 dirigió programas en DARPA, donde ayudó a establecer la Oficina de Innovación de Información de la agencia y lanzó Cyber Fast Track, un programa de pequeñas subvenciones que canalizaba dinero hacia investigadores de seguridad independientes sin la habitual carga de la contratación federal. Luego pasó un tiempo en el grupo Advanced Technology and Projects de Google, después en Stripe, antes de que el entonces CEO de Twitter, Jack Dorsey, lo reclutara personalmente tras la adquisición de 2020.

Esa biografía importa porque Twitter no contrató a un responsable de cumplimiento que confundiera unos sistemas deficientes con un fraude. Contrató a la persona que citan otros expertos en seguridad, y él encontró la plataforma peor de lo que esperaba. Desde entonces ha declarado a los investigadores del Senado que lo que vio dentro de la empresa lo convenció de que era un problema de seguridad nacional y no solo uno corporativo.

La divulgación de julio de 2022

La demanda que Whistleblower Aid presentó en julio de 2022 tenía aproximadamente 200 páginas con sus anexos. Se presentó ante la SEC, la FTC y el Departamento de Justicia, y se hizo pública un mes después, cuando CNN y el Washington Post se hicieron con ella. La divulgación apuntaba a tres cosas a la vez: el cumplimiento por parte de la empresa de una orden de consentimiento de la FTC de 2011 sobre la protección de los datos de los usuarios, sus afirmaciones a los inversores sobre cómo contabilizaba usuarios y bots, y sus controles de acceso internos.

La afirmación sobre el control de acceso fue la que hizo que los profesionales de la seguridad se atragantaran con el café. Zatko informó a los reguladores de que aproximadamente la mitad de los empleados de Twitter eran ingenieros, y que casi cualquiera de ellos podía desplegar código en producción en vivo y leer o modificar los datos de cualquier usuario de la plataforma. No había entornos de pruebas dignos de ese nombre, no había sistemas de desarrollo segregados, y el entorno de producción era donde los ingenieros depuraban. En cualquier empresa regulada normal esto sería un incidente que habría que notificar; en Twitter era el proceso de compilación diario.

La demanda también alegaba que los ejecutivos habían engañado repetidamente a la propia junta directiva de la empresa sobre con qué frecuencia habían fallado las defensas de Twitter, y que los recuentos internos de cuentas bot no eran lo que daban a entender los documentos presentados ante la SEC. La respuesta de Twitter en aquel momento fue que Zatko era un exdirectivo descontento cuyo relato estaba plagado de inexactitudes. También esa es una defensa con una larga historia; la junta de Theranos dijo algo parecido sobre Tyler Shultz y Erika Cheung antes de la imputación.

Bajo juramento ante el Senado

El 13 de septiembre de 2022 Zatko compareció ante el Comité Judicial del Senado y leyó una declaración escrita bajo juramento. La frase inicial marcó el tono del resto de la audiencia.

"Estoy aquí hoy porque el liderazgo de Twitter está engañando al público, legisladores, reguladores e incluso a su propia junta directiva. (...) No importa quién tenga las llaves si no hay cerraduras."
Peiter "Mudge" Zatko @ Comité Judicial del Senado, 13 de septiembre de 2022

Los senadores de ambos bandos lo trataron como un testigo creíble, algo inusual en ese comité aquel año. Chuck Grassley repasó punto por punto las acusaciones relativas al decreto de consentimiento de la FTC. Richard Blumenthal insistió en la seguridad nacional. Tom Cotton planteó la pregunta de si los servicios de inteligencia extranjeros ya tenían a gente dentro de la empresa.

"Si no estás colocando agentes extranjeros dentro de Twitter, probablemente no estés haciendo tu trabajo como agencia de inteligencia extranjera."
Peiter "Mudge" Zatko @ Comité Judicial del Senado, 13 de septiembre de 2022

Citó al menos un caso concreto: el FBI había advertido al equipo de seguridad de Twitter de que un empleado estaba actuando como agente de un gobierno extranjero. Dio la voz de alarma internamente, y fue despedido. Cuando terminó la audiencia, varios senadores pedían un nuevo regulador de privacidad y seguridad que se ubicara dentro del Departamento de Justicia. En comparación con el conjunto más amplio de denunciantes en la prensa, esta audiencia caló más hondo que la mayoría porque la acusación no era un daño abstracto: era que un oficial de inteligencia extranjero podría tener unas credenciales de ingeniería de Twitter.

Atrapado en la adquisición de Musk

La divulgación se hizo pública el 23 de agosto de 2022, en medio de la demanda de Elon Musk para desligarse de su oferta de 44 000 millones de dólares para comprar la empresa. El equipo legal de Musk aprovechó la demanda en cuestión de días. Argumentaron ante el Tribunal de la Cancillería de Delaware que las afirmaciones de Zatko eran un "hecho adverso relevante" que anulaba el trato, lo citaron a declaración, y lo interrogaron el 9 de septiembre de 2022 sobre los recuentos de bots y las prácticas de seguridad.

El juez de la Cancillería dictaminó que las nuevas acusaciones podían incorporarse al caso, pero que era poco probable que hicieran lo que los abogados de Musk querían que hicieran. El 27 de octubre de 2022 Musk cerró la adquisición al precio acordado, despidió a los ejecutivos que Zatko había nombrado y renombró la empresa como X en cuestión de meses. Lo que no se hizo público hasta más tarde fue que Twitter ya le había pagado a Zatko un acuerdo confidencial de indemnización por despido de aproximadamente 7 millones de dólares en junio de 2022, semanas antes de que presentara su demanda, en unos términos que lo dejaban libre para hablar con el Congreso y con los reguladores federales. El Wall Street Journal reconstruyó ese detalle en septiembre a partir de las escasas divulgaciones que las partes estaban dispuestas a hacer.

El seguimiento de la FTC

La FTC había estado monitoreando Twitter bajo la orden de consentimiento modificada de 2022 que resultó de un acuerdo de privacidad de 150 millones de dólares alcanzado a principios de ese mismo año. En marzo de 2023 la agencia confirmó que había abierto una investigación para determinar si la empresa posterior a Musk estaba cumpliendo esa orden. La investigación se prolongó durante casi dos años.

En febrero de 2024, la presidenta de la FTC Lina Khan envió al Comité Judicial de la Cámara de Representantes una carta de 50 páginas que se convirtió en la lectura pública más concreta sobre lo que realmente había sucedido. El hallazgo principal fue que Musk había ordenado al personal dar acceso sin restricciones a un periodista externo que trabajaba en la serie "Twitter Files", diciéndoles que le concedieran "acceso total a todo en Twitter, sin límite alguno". Empleados veteranos de seguridad de la información bloquearon la orden por motivos relacionados con el decreto de consentimiento y, en su lugar, encauzaron a los periodistas a través de controles más estrictos. La FTC concluyó que no se había producido ninguna infracción definitiva, pero estuvo cerca, y documentó el tipo de resistencia interna que, según Zatko, faltaba.

Dónde terminó Mudge

Los denunciantes en el dominio de seguridad y privacidad rara vez logran seguir trabajando en su campo; los mejores desenlaces para ellos se parecen al exilio de Edward Snowden, o a un largo período de consultoría bajo un nombre distinto. Zatko ha tenido un desenlace diferente. En septiembre de 2023 se incorporó a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras como asesor técnico superior a tiempo parcial de la entonces directora Jen Easterly, trabajando en el programa de seguridad desde el diseño de la agencia, que presiona a los proveedores de software para que lancen productos que no lleguen ya defectuosos.

El 7 de agosto de 2024 anunció su regreso a DARPA como director de Sistemas de Información de la agencia, el mismo lugar donde había creado la Oficina de Innovación de Información una década antes. Publicó que esperaba "dejar una huella aún mayor en el universo esta segunda vez". Es difícil encontrar un paralelo para esta trayectoria: testigo del Senado en 1998 advirtiendo a los legisladores sobre el mal código de los demás, testigo del Senado en 2022 advirtiendo a los legisladores sobre el mal código de su propio empleador, y director de sistemas de información de una agencia federal dos años después.

La razón por la que este caso aún importa para cualquiera que gestione un programa de denuncias es que los fallos que describió Zatko son los de manual. Una plataforma de cualquier tamaño recopila datos sensibles más rápido de lo que sus controles de acceso pueden seguir el ritmo. Los ingenieros adquieren privilegios de producción que nadie en la dirección puede enumerar por completo. Las juntas directivas y los reguladores confían en las propias declaraciones de seguridad de la empresa, redactadas por las mismas personas cuyo presupuesto depende de que la respuesta resulte tranquilizadora. El sentido de un canal interno es generar la advertencia un año antes de que alguien tenga que volar a Washington con su abogado.