Los problemas de seguridad de Twitter son anteriores a Elon Musk – y despedir al personal no va a ayudar

Foto del autor

Pasó un mes de la nueva gestión de Twitter y el icono del pájaro azul no ha dejado de ser noticia.

Una tumultuosa serie de idas y venidas condujo finalmente a la adquisición por parte de Musk a finales de octubre, culminando finalmente en un acuerdo de 44.000 millones de dólares.

El hombre más rico del mundo ofreció comprar la popular plataforma de medios sociales para, según él, proteger la libertad de expresión. Sin embargo, la gente se pregunta ahora si tiene la misma visión en cuanto a su derecho a la privacidad.

Desde el despido de altos ejecutivos junto con aproximadamente la mitad de la plantilla de la empresa hasta la creación de una versión premium y su nombramiento como nuevo CEO, Musk ha estado bastante ocupado en sus primeros 30 días al mando.

Si bien Twitter ya estaba manchado por anteriores trampas de seguridad y privacidad de datos, ahora los expertos en ciberseguridad están expresando su preocupación por el comportamiento imprudente de Musk. Y, aunque los controvertidos perfiles prohibidos han vuelto a la plataforma, muchos usuarios están acudiendo a servicios alternativos.

Entonces, ¿qué está en juego para la privacidad de los que están dispuestos a quedarse?

Twitter y los problemas de privacidad anteriores a Musk

No es de extrañar que ahora todas las miradas estén puestas en el pájaro azul.

Los problemas de privacidad de Twitter comenzaron mucho antes de la adquisición de Musk. La popular empresa de redes sociales tiene un historial de fallas en la protección de los datos de los usuarios.

En 2009, un hacker secuestró varias cuentas de alto perfil (se abre en una nueva pestaña) para enviar mensajes de phishing utilizando el login corporativo de un empleado. Los perfiles hackeados incluían a Barack Obama, Fox News y Britney Spears.

Sólo un año después, el regulador estadounidense FTC presentó una denuncia contra la empresa de redes sociales por abuso de datos de los usuarios. La Comisión prohibió a Twitter durante 20 años. (opens in new tab) de engañar a los consumidores mientras mantiene «un programa integral de seguridad de la información».

Lamentablemente, no parece haber cambiado mucho desde entonces.

La FTC multó a Twitter con 150 millones de dólares por acusaciones similares en mayo de este año. La empresa fue declarada culpable de utilizar indebidamente los datos de los usuarios, como las direcciones de correo electrónico y los números de teléfono, para la publicación de anuncios dirigidos.

Mientras animaba a los usuarios a proporcionar sus números personales por razones de seguridad, la empresa abusó de facto de su confianza durante seis largos años entre 2013 y 2019.

En diciembre de 2020 le tocó a un responsable irlandés del GDPR castigar a la firma de redes sociales con una multa de 550 millones de dólares (se abre en una nueva pestaña) por no informar correctamente de una violación de datos.

Más recientemente, un denunciante de Twitter dio la voz de alarma (se abre en una nueva pestaña). En la plataforma aún persisten importantes fallos de seguridad que amenazan la información personal de los usuarios e incluso la seguridad nacional.

El famoso hacker Peiter «Mudge» Zatko, que trabajó como jefe de la división de seguridad de Twitter entre noviembre de 2020 y enero de 2022, afirmó que miles de empleados pueden acceder a la información personal de cualquier usuario a pesar de no necesitarlo para desarrollar su trabajo.

También alegó que la empresa seguía engañando a los organismos regionales de supervisión al ocultar sus problemas de seguridad.

¿Qué ha cambiado desde la adquisición de Musk?

Es justo decir que Musk no sólo adquirió Twitter, sino también su maltrecha infraestructura de privacidad y seguridad. Sin embargo, muchos expertos creen que el frágil estado de la compañía ha empeorado desde que el nuevo CEO tomó el mando.

La oleada de despidos que siguió a la adquisición de Musk es probablemente el acontecimiento más preocupante, y no sólo desde la perspectiva de los derechos de los trabajadores.

Es una receta para el desastre.

Vuk Janosevic, director general de Blindnet

Más del 50% de la plantilla fue despedida, y muchos otros empleados decidieron renunciar. Entre ellos se encontraban muchos ejecutivos de los departamentos más críticos, como los de privacidad de datos, cumplimiento y transparencia.

El experto en privacidad Vuk Janosevic, director general y cofundador de la consultora de privacidad Blindnet (se abre en una nueva pestaña), dijo que esto es especialmente preocupante para una empresa como Twitter que carece de una red de tecnologías de preservación de la privacidad.

«Tienen un software que no está construido para la privacidad y toda la infraestructura alrededor – como jefe de seguridad, jefe de privacidad y jefe de asesoría legal – todos se fueron», dijo.

Tras el éxodo, el equipo legal está pasando la carga a los ingenieros para que autocertifiquen el cumplimiento de las normas de la FTC, el GDPR y otras regulaciones. Algo que incluso provocó la advertencia de uno de sus abogados (se abre en una nueva pestaña).

Eso es porque cada ingeniero está construyendo sólo una pequeña parte de todo el flujo del producto. Por lo tanto, tiene que confiar en el hecho de que todo el mundo tiene la misma ética y la comprensión de la privacidad de los datos.

«Esa es una receta para el desastre», dijo Janosevic a TechRadar. «Hay formas de construir un software que preserve la privacidad, algo llamado derechos del sujeto y medición del consentimiento, interoperabilidad de la radiación. Pero reconstruir Twitter para hacer esto requiere una empresa masiva».

Estos resultados ya han tenido un impacto, ya que los usuarios han sido bloqueados de su cuenta por algunas fallas con la autenticación de múltiples factores (se abre en una nueva pestaña), por ejemplo.

«Es el momento. Borra tus DMs de Twitter», escribió de nuevo otro experto en ciberseguridad, Graham Cluley, en una entrada de su blog mientras la reputación del gigante de las redes sociales se desmorona poco a poco.

Al mismo tiempo, la decisión de Musk de hacer que la comprobación azul de Twitter para las cuentas verificadas sea exclusiva para los miembros premium también ha provocado un aumento de los perfiles de estafa que asoman por la plataforma. Esto podría facilitar la difusión de la desinformación, también.

A pesar de que Janosevic considera este problema como un «defecto del producto», una membresía de pago significa que la empresa tendrá que manejar datos aún más sensibles como los detalles de pago y las direcciones de facturación.

Además, la ambiciosa visión de Musk de convertir Twitter en una «aplicación para todo (se abre en una nueva pestaña)» ciertamente no apacigua las nuevas y viejas preocupaciones sobre la privacidad.

Todo esto requiere que se recojan, almacenen y, sí, compartan muchos más datos.

Por el momento, tanto los responsables de la FTC como los del GDPR han confirmado que están siguiendo atentamente los nuevos acontecimientos que se desarrollan desde la sede.

¿Qué es lo siguiente para la privacidad de los usuarios?

Nos guste o no, Twitter 2.0 está tomando forma poco a poco. Y lo que es seguro ahora es que Musk y el resto del personal tendrán que trabajar duro para volver a ganarse la confianza de todo el mundo: desde los usuarios y los inversores hasta los expertos en privacidad y los responsables de cumplimiento.

«Desde el punto de vista de la privacidad, diría que estoy muy preocupado», dijo Janosevic a TechRadar. «Esto no significa que vaya a acabar mal. Se puede hacer, pero hay muchos retos en Twitter ahora mismo.

«Retos políticos, retos técnicos, retos regulatorios: No puedo ni imaginar cómo es la lista de prioridades para Elon, pero no hay excusa para no hacerlo, para reconstruir un sistema que devuelva la confianza de los usuarios a la plataforma.»

Es cierto, el historial de Twitter en lo que respecta a la privacidad es cuanto menos turbio. Sin embargo, algunas de las nuevas características podrían ser tranquilizadoras para la mayoría de los usuarios.

Hace tiempo que Elon Musk señaló la falta de DMs encriptados como una preocupación. Ahora, ha anunciado oficialmente que su renovación de Twitter incluirá el cifrado de extremo a extremo de todos los mensajes. Los chats de voz y vídeo encriptados también están en proyecto.

«Queremos que los usuarios puedan comunicarse sin preocuparse por su privacidad, [or] sin estar preocupados por una brecha de datos en Twitter que haga que todos sus DMs lleguen a la web, o pensar que tal vez alguien en Twitter podría estar espiando sus DMs», dijo Musk, detallando su visión de Twitter 2.0, informó The Verge.

«Eso, obviamente, no va a estar bien y ya ha ocurrido algunas veces».

Ver más

Mientras Twitter se ocupa de sanear su reputación pública y técnica, los usuarios no pueden dejar nada al azar en torno a la protección de su privacidad.

Desde el uso de software de seguridad, como los servicios de VPN y los gestores de contraseñas, hasta la personalización cuidadosa de la configuración de privacidad, tal y como argumentó Janosevic, en 2022 los usuarios deben ser conscientes de sus propios datos.

«Si no te piden el consentimiento y no tienes la capacidad de controlar fácilmente la información en el sistema, tienes que asumir que están abusando de ella».

«Si estás en Twitter y sigues tuiteando, sé consciente de ello. Puedes seguir compartiendo información, personal o pública, sea cual sea. Sólo tienes que ser consciente de que el sistema no tiene la infraestructura para proteger tu consentimiento y proteger tu privacidad. Tus derechos de privacidad».