Twitter Inc. ha tenido dificultades durante años para vigilar el creciente número de empleados y contratistas que tienen la capacidad de restablecer las cuentas de los usuarios y anular su configuración de seguridad, un problema del que el director ejecutivo, Jack Dorsey, y la junta han sido advertidos varias veces desde el 2015, según exempleados con conocimiento de las operaciones de seguridad de la compañía.
La supervisión de Twitter sobre los 1,500 trabajadores que restablecen cuentas, revisan las infracciones de los usuarios y responden a posibles violaciones de contenido para los 186 millones de usuarios diarios del servicio ha sido una fuente de preocupación recurrente, dijeron los empleados.
La amplitud de los datos personales a los que la mayoría de esos trabajadores pueden acceder es relativamente limitada, incluidas direcciones de protocolo de Internet, direcciones de correo electrónico y números de teléfono, pero es un punto de partida para espiar o incluso hackear una cuenta, dijeron.
Los controles fueron tan porosos que, en un momento, en el 2017 y 2018, algunos contratistas iniciaron una especie de juego en el que creaban consultas falsas de la mesa de ayuda que les permitían echar un vistazo a las cuentas de celebridades, incluida Beyoncé, para rastrear los datos personales de las estrellas, incluidas sus ubicaciones aproximadas obtenidas de las direcciones IP de sus dispositivos, dijeron dos de los exempleados.
Las preocupaciones sobre la capacidad de Twitter para proteger los datos de los usuarios se profundizaron este mes, después de que piratas informáticos secuestraran las cuentas de algunos de sus usuarios más famosos, incluidos líderes políticos, titanes de negocios y celebridades, como parte de una aparente estafa de criptomonedas.
La presión en Twitter para proteger a sus usuarios no se limita a los datos personales que recopila sobre ellos –que es mínima en comparación con otras redes sociales–, sino que se extiende a la influencia que ejercen sus usuarios, especialmente los líderes mundiales o los disidentes políticos que se oponen a ellos.
Mientras las investigaciones federales e internas están en curso, Twitter ha dicho que los piratas informáticos de alguna manera engañaron a los empleados para obtener acceso a las cuentas pirateadas.
Los atacantes contactaron al menos a un empleado de Twitter por teléfono, en un esfuerzo por obtener información de seguridad que los ayudaría a acceder a las herramientas internas de soporte al usuario de Twitter, según personas familiarizadas con la investigación.
Twitter requirió que los empleados tomaran un curso de capacitación en seguridad en línea la semana pasada, que cubrió una serie de técnicas de phishing, incluidas llamadas telefónicas, agregaron las personas.
Una portavoz de Twitter dijo que la compañía lleva a cabo una capacitación de seguridad regular, “en línea con nuestro compromiso de proteger la privacidad y la seguridad de las personas a las que servimos”.
La portavoz cuestionó la descripción por parte de los exempleados de la supervisión de las cuentas de usuario de la empresa y afirmó que la compañía tiene herramientas para “adelantarse a las amenazas a medida que evolucionan”.
Twitter está mejorando constantemente su aparato de seguridad con nuevas herramientas, dijo, y citó programas recientes relacionados con la privacidad que han reforzado las protecciones de los usuarios, incluida la capacitación de nuevos empleados.
Confirmó que la supervisión de las cuentas de usuario de Twitter incluye a 1,500 empleados y contratistas a tiempo completo, pero dijo que “no tenemos indicios de que los socios con los que trabajamos en el servicio al cliente y la gestión de cuentas hayan tenido un rol aquí”, en referencia a la reciente violación de cuentas de Twitter.
Los empleados y los contratistas solo tienen acceso a las herramientas que necesitan para hacer su trabajo, que incluye permisos para ejecutar restablecimientos de contraseña en las cuentas, dijo la portavoz. El acceso también viene con “una amplia capacitación en seguridad y supervisión administrativa”, dijo.
Dorsey, en referencia al ataque reciente, dijo a los inversores esta semana que la compañía “se quedó atrás, tanto en nuestras protecciones contra la ingeniería social de nuestros empleados como en las restricciones en nuestras herramientas internas”.
Este relato se basa en entrevistas con cuatro exempleados de seguridad de Twitter, además de más de media docena de personas cercanas a la compañía.
Según los antiguos empleados de seguridad, la gerencia de Twitter a menudo se ha demorado en las actualizaciones de los controles de seguridad de la información, al tiempo que prioriza productos y características de consumo, una fuente de tensión para muchas empresas.
Los esfuerzos para dirigir mejor el personal de apoyo al usuario y los contratistas de Twitter también se han acortado, lo que ha resultado en un lugar de trabajo donde demasiadas personas tienen acceso a demasiadas herramientas poderosas, dijeron los exempleados. Incluso con algunos sistemas de seguimiento básicos, los contratistas han encontrado soluciones para explorar detalles sobre antiguos amantes, políticos, marcas favoritas y celebridades, agregaron.
En el ataque del 15 de julio, 130 cuentas se vieron comprometidas –incluidas las de Barack Obama, Joe Biden, Jeff Bezos y Elon Musk–, y los datos de ocho de esas cuentas fueron robados, dijo Twitter sin identificar las cuentas.
Se enviaron tuits desde las cuentas secuestradas prometiendo que los seguidores que enviaran bitcóins a una dirección específica recibirían el doble de reembolso, o su apoyo contribuiría a los esfuerzos de alivio de la pandemia. Twitter reconoció que varios de sus empleados fueron blanco de una campaña maliciosa para adquirir credenciales para su sistema, “solo disponible para nuestro equipo de soporte interno”, según un comunicado del 17 de julio.
Un oscuro colectivo de piratería que se dedica a comprar y vender nombres de usuario cortos e inteligentes de Twitter e Instagram ha afirmado haber estado involucrado en el ataque, que está siendo investigado por el FBI.
Las preocupaciones sobre el acceso interno a las cuentas de Twitter fueron llevadas a la junta directiva de Twitter casi anualmente durante el período del 2015 al 2019, solo para diferirse por otras prioridades, incluidos otros programas de seguridad cibernética, según dos de los exfuncionarios de seguridad. Esas presentaciones no siempre se vieron como una amenaza urgente para la seguridad de Twitter o la privacidad de sus usuarios, según cuatro personas familiarizadas con las presentaciones de la junta.
Los programas de seguridad, como apuntalar el sistema que alberga los archivos de respaldo de Twitter o mejorar la supervisión del sistema utilizado para monitorear la actividad de los contratistas, a veces, fueron archivados en favor de productos de ingeniería diseñados para aumentar los ingresos, según dos de los exempleados.
Algunos de los contratistas de Twitter que se volvieron expertos en espiar las cuentas de Beyoncé y otras celebridades fueron empleados por Cognizant Technology Solutions Corp. en hasta media docena de ubicaciones, dijeron los dos exempleados.
Cognizant, que continúa trabajando con Twitter, declinó hacer comentarios. Un representante de Beyoncé no respondió de inmediato a una solicitud de comentarios. Twitter declinó responder preguntas sobre el acceso a la cuenta de Beyoncé. A través de una portavoz de la compañía, la junta directiva de Twitter declinó hacer comentarios.
El escudriño a las cuentas no se consideró una preocupación importante de seguridad entre los ejecutivos de Twitter, a pesar de que la dependencia de la compañía de contratistas para manejar las funciones de soporte administrativo ha crecido en la última media década, según dos de los exmiembros del equipo de seguridad de Twitter.
El espionaje de cuentas sucedió con tanta frecuencia que los miembros del equipo de seguridad a tiempo completo de Twitter en Estados Unidos tenía dificultades para realizar seguimiento a las intrusiones, según los dos exempleados. Mientras que algunos de los contratistas fueron atrapados y despedidos, otros comenzaron a usar el sistema de registro formal y crearon solicitudes fraudulentas que afirmaban que algo andaba mal con una cuenta de usuario, solo para tomar esa queja y reanudar su intrusión, según los empleados.
“Muy pocas empresas entienden cuán vulnerables son sus operaciones a medida que se expanden fuera de su sede”, asegura Paul Ortiz, consultor de seguridad de la cadena de suministro. “Este riesgo aumenta exponencialmente si se introducen en la ecuación los trabajadores por contrato de terceros”.
El ataque de la semana pasada fue el último de una serie de vergonzosas violaciones de seguridad en Twitter en los últimos años, algunas de ellas relacionadas con el acceso interno a las cuentas.
En noviembre del 2017, la cuenta del presidente de EE.UU., Donald Trump, fue eliminada temporalmente como un acto de rebelión de un empleado de atención al cliente en su último día en la empresa.
En agosto del 2019, la cuenta de Dorsey fue pirateada y utilizada para publicar mensajes antisemitas. Twitter culpó al operador de telefonía móvil de Dorsey. El año pasado, el Departamento de Justicia de EE.UU. acusó a un par de exempleados de Twitter por supuestamente espiar para Arabia Saudita y abusar de su acceso para recopilar datos privados de críticos sauditas prominentes.
La intrusión a Twitter destaca una falla de seguridad común entre las nuevas empresas de alto vuelo y las compañías tecnológicas más jóvenes, según Patrick Westerhaus, exinvestigador de ciber y criptomonedas del FBI.
”El problema que vemos una y otra vez con las compañías de tecnología que están hipercentradas en el crecimiento y los ingresos es un marco inmaduro y una falta general de preocupación por la seguridad, el riesgo de terceros y los controles antifraude”, dijo Westerhaus, director ejecutivo de Cyber Team Six, una empresa de seguridad.