La divulgación afirma que los controles de acceso laxos aumentaron el impacto de la planta del gobierno indio.
La denuncia de Peiter «Mudge» Zatko contenía muchas afirmaciones alarmantes sobre Twitter, desde mediciones confusas de bots hasta mala conducta ejecutiva, pero una de las afirmaciones más alarmantes fue que la empresa estaba infiltrada activamente por agentes del gobierno indio. Para una plataforma que siempre se ha presentado como un refugio para periodistas y activistas, es un reclamo preocupante y que la empresa no ha confrontado directamente en las respuestas dadas a los medios estadounidenses.
Pero las acusaciones son menos extravagantes de lo que parecen, y forman parte de un problema mucho mayor para las plataformas tecnológicas internacionales.
La presentación de Zatko ante la SEC afirma que, en el transcurso de su tiempo como jefe de seguridad de Twitter, se le informó que el gobierno indio obligó a Twitter a emplear a uno de sus agentes.
En una sección del informe titulada “penetración de inteligencia extranjera y amenazas a la democracia”, la presentación señala:
El gobierno indio obligó a Twitter a contratar a individuos específicos que eran agentes del gobierno, quienes (debido a las fallas arquitectónicas básicas de Twitter) tendrían acceso a grandes cantidades de datos confidenciales de Twitter.
La relación entre Twitter y el gobierno indio ha sido particularmente tensa, llegando a un punto crítico en 2021 en una redada de la oficina de la compañía en Delhi en respuesta a un mal uso percibido de la etiqueta de «medios manipulados» de la plataforma. La moderación de Twitter en el país es un tema espinoso, ya que a menudo se han utilizado rumores falsos para desencadenar la violencia de las turbas contra la población minoritaria musulmana . Para la mayoría de los defensores del discurso, esas decisiones son demasiado delicadas para incluir a un empleado del actual gobierno de derecha, que algunos ven como un respaldo implícito a la violencia.
Como dijo Zatko, la falla operativa que llevó a que se empleara a un agente del gobierno se vio agravada por una falla básica de seguridad. En la presentación ante la SEC, alegó que «la mitad de los 10.000 empleados de Twitter y en aumento» tenían acceso a sistemas de producción en vivo y datos confidenciales de los usuarios. No está claro si esa lista incluía al presunto agente extranjero, pero un problema de acceso tan extenso hace que los esfuerzos de mitigación sean mucho más difíciles.
Hasta el momento, los detalles también son confusos sobre hasta qué punto Twitter hizo voluntariamente esta concesión. La plataforma ha tenido problemas en India y actualmente presenta un desafío legal contra el gobierno indio por órdenes de bloquear cierto contenido que criticaba a la administración Modi. Su competidor Facebook también ha tenido problemas, pero de otro tipo: en 2020, su jefe de política en India renunció después de haber sido fuertemente criticado por no abordar el discurso de odio antimusulmán en la plataforma.
La prensa india, muy consciente de que la vigilancia y la intimidación de los periodistas han aumentado constantemente en el país, ha tratado las acusaciones con seriedad, aunque los reporteros del país parecen haber tenido problemas para obtener información adicional de la plataforma.
“La revelación de un denunciante de que el gobierno indio obligó a Twitter a contratar a su agente, quien luego obtuvo acceso a los datos de los usuarios de la plataforma, debería alarmar a cualquiera que esté remotamente interesado en la salud de la democracia en el país”, se lee en un artículo de opinión en The Hindu , uno de los periódicos en inglés más importantes del país. “Como mínimo, requiere una respuesta oficial del Gobierno y también de Twitter”.
Cuando The Verge se acercó para hacer comentarios , un portavoz de Twitter envió una declaración emitida por el director ejecutivo y proporcionada previamente a la prensa , en la que cuestionaba las afirmaciones de Zatko como una «narrativa falsa sobre Twitter y nuestras prácticas de privacidad y seguridad de datos que está plagada de inconsistencias e imprecisiones y carece de información importante». contexto.»
Hay mucho en juego en este tema debido al alcance casi global de Twitter y la gran cantidad de datos confidenciales que protege. Aunque el contenido de los tweets es público de forma predeterminada, los mensajes directos funcionan como un canal secundario privado entre los usuarios, pero que muchos empleados pueden interceptar. A raíz de un ataque informático en 2020 en el que se vulneraron varias cuentas de famosos ampliamente seguidas , salió a la luz que los contratistas con acceso a las herramientas internas de Twitter las habían usado para fisgonear a los famosos durante años, consultando mensajes directos para leer conversaciones privadas y usando Registro de IP para rastrear sus ubicaciones aproximadas. No hace falta decir que es una capacidad que muchos gobiernos represivos estarían encantados de tener.
No son solo los gobiernos extranjeros los que podrían intentar romper la seguridad de Twitter desde adentro. Otra sección de la divulgación de Zatko detalla su intento de bloquear los sistemas de Twitter para defenderse de posibles amenazas internas después de la insurrección del 6 de enero, y el posterior descubrimiento de que no había forma de que esto sucediera.
De hecho, Twitter se ha visto comprometido de una manera muy similar antes. En 2019, se descubrió que dos ex empleados de Twitter en los EE. UU . accedían a la información de la plataforma sobre críticos de Arabia Saudita bajo la dirección del gobierno saudí. Luego de su exposición, el Departamento de Justicia los acusó de actuar como agentes extranjeros no registrados .
UN PROBLEMA PERSISTENTE
Los grupos de seguridad nacional se han centrado particularmente en este tipo de ataque interno en los últimos años. En un informe de 2021 enviado a las empresas estadounidenses, el Centro Nacional de Seguridad y Contrainteligencia advierte que un número creciente de actores estatales y no estatales están apuntando a los Estados Unidos, tratando de obtener inteligencia “empleando una variedad de técnicas ilegales, incluidas amenazas internas, penetraciones cibernéticas, ataques a la cadena de suministro y operaciones combinadas que combinan algunos o todos estos métodos”.
Entonces, para cualquier empresa del tamaño de Twitter, la pregunta no es si se enfrentarán a una amenaza interna, sino cuándo . David Thiel, director de tecnología del Observatorio de Internet de Stanford y ex ingeniero de seguridad en Facebook, le dijo a The Verge que la mejor práctica para las empresas de tecnología es asumir que se producirán amenazas internas y limitar su impacto de forma preventiva. La investigación del personal es un paso importante, dijo Thiel, pero dado que no atrapará a todos los malos actores posibles, los controles de acceso estrictos y los sistemas de monitoreo sofisticados son cruciales.
“Es un área delicada porque no quieres entrar en la situación en la que consideras a todos los que trabajan para ti en un país en particular como espías potenciales”, dijo Thiel. “Entonces, esto es algo que debe hacerse con controles técnicos que se aplican de manera uniforme y equitativa en todo el mundo”.
También es posible que los ejecutivos de Twitter sintieran que no tenían más remedio que cumplir. Rose Jackson, directora de Democracy & Tech Initiative en el Laboratorio de Investigación Forense Digital del Atlantic Council, dice que el gobierno de los EE. valerse por sí mismos cuando navegan por cuestiones geopolíticas delicadas.
Pero el resultado sigue siendo un precedente escalofriante para las plataformas y sus usuarios. Jackson dice que una situación hipotética en la que Estados Unidos obligara a las empresas a emplear agentes de inteligencia seguiría siendo «más allá de los límites».
“Si Estados Unidos le dijera a Twitter que si quería continuar operando en Estados Unidos, que un funcionario de inteligencia de Estados Unidos debía ser incluido en su personal, y Twitter dijo ‘está bien’, entonces eso sería un gran escándalo digno de una seria investigación”, dijo Jackson a The Verge . “Las implicaciones de seguridad nacional, las implicaciones de seguridad cibernética de esto, es una idea extravagante de que ese sería un comportamiento aceptable”.
Fuente: theverge
