Peiter Zatko, también conocido por el seudónimo de "Mudge", apareció en la CNN hace 20 años y señaló los problemas de seguridad de Internet. Ya entonces habló de cómo las grandes empresas ignoraban sistemáticamente estas vulnerabilidades de seguridad porque les resultaba más cómodo. En su época fue un conocido hacker y hasta hace poco era el jefe de seguridad de Twitter. Se confía aún más en él como denunciante porque conoce su trabajo.
En una reciente entrevista a la CNN, habla de las vulnerabilidades de seguridad de Twitter. Al parecer, su detallada "revelación" del 6 de julio de 2022, cuyos detalles sólo conocen las autoridades investigadoras, habla, entre otras cosas, de que aproximadamente la mitad de los 10.000 empleados de Twitter tienen acceso a información sensible como las cuentas de usuario y los mecanismos de control del gigante de las redes sociales. Mudge compara este acceso crítico de varios miles de empleados con el acceso de los pasajeros a la cabina de un avión. Además, se dice que Twitter no tiene una visión general de los numerosos bots y que no ha eliminado los datos de los usuarios de acuerdo con la ley.
Mudge está siendo asesorado por John Tye, fundador de Whistleblower Aid. El mismo que representó a Francis Haugen, el denunciante de Facebook. John Tye fue él mismo un denunciante que descubrió actividades ilegales de la NSA durante la administración Obama.
Bajo el nombre de "Mudge", Peiter Zatko dirige su cuenta de Twitter, que creó en 2011. En la actualidad cuenta con 65 mil seguidores.
Muchos se preguntarán por qué Mudge hizo pública esta información justo en el momento de la próxima transacción de Twitter con Musk. Para entenderlo, hay que echar un vistazo a la historia. Twitter ha tenido enormes problemas con las filtraciones de datos y la piratería informática. Entre otros, dos hackers adolescentes han conseguido acceder a las cuentas de usuarios de Twitter, incluidos usuarios destacados como Joe Biden, con varios millones de seguidores. Imagínese. Si dos adolescentes pudieron acceder a cuentas, qué podrían hacer los hackers de Putin, por ejemplo.
En 2020, el grupo Twitter contrató a Mudge como uno de los cinco principales ejecutivos del grupo. Se suponía que las filtraciones de seguridad de datos iban a terminar. Dos años más tarde, es despedido por presunto bajo rendimiento. Su abogado, John Tye, afirma que Mudge hizo el chivatazo antes de que se hiciera público el acuerdo entre Twitter y Musk.
Alex Spiro, el abogado de Musk, afirma que le pareció extraño el despido de Mudge y de otros empleados clave de Twitter a la luz de lo que él y su equipo descubrieron y por ello llamó al Sr. Zatko como testigo.
El propio Mudge afirma haber sido despedido en enero de 2022 tras hacer un chivatazo interno sobre los problemas mencionados. Curiosamente, el cofundador y consejero delegado de Twitter, Jack Dorsey, también se separó de la empresa en enero de 2022.
Mudge dijo en la entrevista de la CNN en agosto sobre su motivación que quiere hacer del mundo un lugar mejor, un lugar más seguro.
¿Es Mudge un héroe que lucha por la seguridad y la privacidad de las personas o está librando una guerra personal contra el gigante de las redes sociales? ¿Por qué un hacker que lleva décadas luchando contra la ciberinseguridad aceptó un puesto bien pagado en una corporación como Twitter? Como jefe de seguridad, podría haber esperado poder llegar hasta la médula de la corporación, al menos en términos de seguridad. ¿Una infiltración perfecta o la obra de un filántropo desinteresado?
¡Permanecemos atentos!
Como denunciante, está protegido por varias leyes en EE.UU., como la Ley Sarbanes-Oxley, la Ley Dodd-Frank y la Ley de Protección del Empleado Concienciado de Nueva Jersey. Al igual que la Directiva de la UE sobre la denuncia de irregularidades, el denunciante sólo está protegido si se cumplen determinados requisitos. Tras la revelación de infracciones legales y represalias relacionadas por parte del empleador, el denunciante puede presentar una demanda ante un tribunal de distrito estadounidense competente en virtud de las leyes mencionadas. El abogado de Mudge confirmó a las autoridades competentes en la "Divulgación" del 6 de julio de 2022 que los documentos divulgados por el Sr. Zatko se limitaron cuidadosamente a los que eran pertinentes y "suficientemente necesarios" para demostrar las violaciones de la ley por parte de Twitter. Además, Whistleblower Aid realizó amplias redacciones antes de revelar información interna de Twitter a las fuerzas de seguridad, y examinó y filtró los documentos según el criterio del privilegio legal. Tampoco se remitieron todos los documentos.
Un denunciante en Alemania tendría que hacer algo parecido y buscar asesoramiento en una organización como Whistleblower Aid para poder hacerlo todo bien. Sin embargo, la Ley de Protección de los Denunciantes no prevé la protección de personas jurídicas como las organizaciones sin ánimo de lucro como apoyo a los denunciantes. No sólo nosotros, sino también varias organizaciones de renombre como Transparencia Internacional han criticado esta deficiencia de la nueva ley.
Los medios sociales han adquirido una enorme importancia en el mundo digital. Tanto si las empresas quieren ganar alcance B2B o B2C, como si los políticos están cortejando a más votantes o incitando a un levantamiento, todo sucede en línea en los medios sociales. Hemos escrito sobre ello varias veces en nuestros blogs. Las plataformas han crecido con gran rapidez. Sin embargo, las estructuras de control y las medidas de seguridad no han crecido proporcionalmente. Las brechas se utilizan a menudo, por ejemplo, para difundir información con cuentas falsas y ganar alcance para determinados usuarios. Algunas de las cuentas falsas no se crean manualmente, sino que se generan con la ayuda de métodos asistidos por IA. Por ejemplo, se utilizan fotos y datos de perfil generados por IA para que el perfil sea lo más auténtico y atractivo posible. Para las propias plataformas, el número de cuentas de usuario es relevante. Cuanto menos se sepa sobre las cuentas falsas, mejor.
Mientras tanto, otras plataformas de medios sociales como LinkedIn también han establecido más medidas de seguridad contra las cuentas falsas. Por ejemplo, incluso piden copias del DNI cuando se crea una cuenta, o las cuentas se bloquean incluso si hay la más mínima incoherencia. Según nuestra experiencia, el algoritmo de LinkedIn está especialmente atento a las búsquedas de bandera roja de determinados orígenes y nacionalidades. Lo que LinkedIn hace con los datos personales de más de 800 millones de miembros y si los datos se eliminan realmente como se afirma es más que cuestionable.
Infórmese sobre cómo puede detectar a tiempo el fraude y otros riesgos y proteger a sus empleados con el sistema más seguro, la plataforma Smart Integrity.
DISS-CO® es una empresa innovadora de tecnología legal con un fuerte enfoque en eGRC y RegTech. Construida por investigadores experimentados en la detección de fraudes y otras infracciones en diversos sectores.
