Una revelación explosiva de un denunciante por parte del exjefe de seguridad de Twitter esta semana expone a la compañía a nuevas investigaciones federales y potencialmente miles de millones de dólares en multas, obligaciones regulatorias más estrictas u otras sanciones del gobierno de EE. UU., según expertos legales y exfuncionarios federales.
Twitter enfrenta tremendos riesgos legales derivados de la denuncia de Peiter "Mudge" Zatko, quien afirma en un divulgación de casi 200 páginas a las autoridades que la empresa está plagada de fallas en la seguridad de la información y que, en algunos casos, sus ejecutivos han engañado a su propia junta y al público sobre la condición de la empresa, si no es que han perpetrado un fraude total.
Twitter acusó a Zatko, quien trabajó en la compañía desde noviembre de 2020 hasta que fue despedido en enero por lo que Twitter dice que fue un desempeño deficiente, de promover “una narrativa falsa sobre Twitter y nuestras prácticas de privacidad y seguridad de datos que está plagada de inconsistencias e imprecisiones y carece de contexto importante.” Zatko es un experto en ciberseguridad de gran prestigio con experiencia en puestos de alto nivel en Google, Stripe y el Departamento de Defensa. La revelación de su denunciante fue reportada por primera vez por CNN y The Washington Post el martes.
Cumplimiento de un acuerdo de privacidad de la FTC de 2011
En su divulgación al gobierno de los EE. UU., Zatko afirma que Twitter sufre "deficiencias atroces" en su postura de seguridad cibernética, engañó deliberadamente a los reguladores sobre su manejo de los datos de los usuarios y que la empresa no está cumpliendo con sus obligaciones en virtud de un Acuerdo de privacidad de 2011 con la Comisión Federal de Comercio, una orden jurídicamente vinculante que requiere, entre otras cosas, la creación de "garantías razonables" para proteger la información personal de los usuarios. La FTC se negó a comentar sobre la divulgación.
La divulgación condenatoria de Zatko alega que aproximadamente la mitad de los empleados de Twitter, incluidos todos sus ingenieros, tienen un acceso interno excesivo al producto en vivo de la empresa, conocido dentro de la empresa como "producción", junto con los datos reales del usuario. También alega que la compañía carece de la capacidad de defenderse contra amenazas internas, gobiernos extranjeros y filtraciones accidentales de datos.
“Un principio fundamental de ingeniería y seguridad es que el acceso a los entornos de producción en vivo debe limitarse tanto como sea posible”, dice la divulgación. “Pero en Twitter, los ingenieros crearon, probaron y desarrollaron un nuevo software directamente en producción con acceso a datos de clientes en vivo y otra información confidencial en el sistema de Twitter”.
Denunciante de Twitter alega políticas de ciberseguridad imprudentes y negligentes
Twitter le dijo a CNN que su historial de cumplimiento con la FTC habla por sí solo, citando auditorías de terceros presentadas a la agencia bajo la orden de consentimiento de 2011. Twitter agregó que cumple con las regulaciones de privacidad pertinentes y que ha sido transparente con los reguladores sobre sus esfuerzos para solucionar cualquier deficiencia en sus sistemas. Zatko no participó en el trabajo de auditoría y no comprendió completamente las obligaciones de la FTC de Twitter ni cómo la empresa las estaba cumpliendo, dijo Twitter.
La divulgación afirma que el personal de Zatko estaba "íntimamente familiarizado" con los problemas de Twitter ante la FTC y que fueron ellos quienes le dijeron a Zatko que Twitter nunca cumplió con la orden de 2011, ni estaba en camino de cumplirla.
“Respetamos absolutamente el contenido de la divulgación de Mudge”, dijo a CNN John Tye, abogado de Zatko y fundador de Whistleblower Aid, la organización que lo representa.
Zatko puede ser elegible para un premio monetario del gobierno de los EE. UU. como resultado de sus actividades de denuncia. La “información original, oportuna y creíble que conduce a una acción de ejecución exitosa” por parte de la SEC puede ganar a los denunciantes hasta un 30% de reducción de las multas de la agencia relacionadas con la acción si las sanciones ascienden a más de $ 1 millón, dijo la SEC. La SEC ha otorgado más de mil millones de dólares a más de 1 denunciantes desde 270.
Zatko presentó su divulgación a la SEC “para ayudar a la agencia a hacer cumplir las leyes” y para obtener protección federal para denunciantes, dijo Tye. “La perspectiva de una recompensa no fue un factor en la decisión de Mudge y, de hecho, ni siquiera sabía sobre el programa de recompensas cuando decidió convertirse en un denunciante legal”.
La divulgación del denunciante se produce meses después de que la FTC planteó sus propias acusaciones que Twitter usó indebidamente la información de seguridad de la cuenta con fines publicitarios en violación de la orden de 2011. Gorjeo acordó pagar $ 150 millones en mayo para resolver esos reclamos, en un segundo acuerdo de la FTC.
Ahora, la divulgación de Zatko plantea la posibilidad de otra posible violación de los compromisos de Twitter con la FTC: una posición extraordinariamente peligrosa para una empresa y sus ejecutivos, según Jon Leibowitz, quien era presidente de la FTC en el momento del acuerdo de Twitter en 2011.
“Si los hechos son ciertos, constituirían violaciones de la orden y de la Ley de la FTC, y eso convertiría a Twitter en un tres veces perdedor”, dijo Leibowitz a CNN en una entrevista. “No habría ninguna razón para que la FTC no les arrojara el libro”. Por supuesto, agregó Leibowitz, la FTC primero tendría que realizar una investigación exhaustiva para determinar por sí misma si se ha producido una nueva violación.
El senador Richard Blumenthal, presidente del subcomité del Senado sobre protección al consumidor y exfiscal general de Connecticut, dijo en un comunicado el martes que las revelaciones de Zatko “revelan que la responsabilidad por las fallas de seguridad de Twitter recae en los de arriba”.
Además, instó a la FTC en una carta a investigar las acusaciones, diciendo que los funcionarios deberían multar y responsabilizar personalmente a los ejecutivos de Twitter si se descubre que fueron responsables de violaciones de la Ley de la FTC o de la orden de consentimiento de Twitter. La propia credibilidad de la FTC está en juego, dijo Blumenthal en la carta, que también fue enviada a la FTC el martes.
“Si la Comisión no supervisa vigorosamente y hace cumplir sus órdenes, no serán tomadas en serio y estas peligrosas infracciones continuarán”, escribió Blumenthal.
“Las cosas en realidad empeoraron significativamente”
Según sus estatutos, la FTC está autorizada para enjuiciar “actos y prácticas comerciales desleales o engañosas”. En la era de Internet, eso significa cada vez más perseguir a las empresas que afirman proteger la información digital de los consumidores pero que, de hecho, no cumplen con sus afirmaciones públicas o tergiversan esas protecciones.
El acuerdo original de Twitter de 2011 surgió de dos supuestos incidentes donde los piratas informáticos pudieron comprometer las contraseñas débiles de los empleados y hacer mal uso de su acceso para apoderarse de las cuentas de Twitter y husmear en la información privada, a pesar de las declaraciones públicas de Twitter sobre la protección de la privacidad y la seguridad de los usuarios.
El acuerdo de Twitter no fue una admisión de irregularidades. Pero Requisitos Twitter para crear “un programa integral de seguridad de la información que esté razonablemente diseñado para proteger la seguridad, la privacidad, la confidencialidad y la integridad de la información no pública del consumidor”, un compromiso que, según Zatko, nunca se cumplió.
Como parte de su último acuerdo con la FTC de este año, Twitter se comprometió con obligaciones de seguridad cibernética aún más granulares, que incluyen tener "políticas y controles de acceso" para todas las bases de datos que contengan datos de usuarios, así como para sistemas que otorguen a los empleados acceso a cuentas de Twitter o que tengan información que “habilite o facilite” el acceso a los sistemas internos de Twitter. Esas obligaciones ya están en vigor tras la firma de la orden por parte de un juez esta primavera, lo que aumenta aún más la exposición legal potencial para Twitter.
A pesar de los crecientes requisitos reglamentarios de Twitter, Zatko alega que no ha cambiado mucho en la empresa desde la queja inicial de la FTC hace más de una década.
“Las cosas en realidad empeoraron significativamente”, alega su divulgación al Congreso. La divulgación afirma que incluso cuando Twitter estaba negociando activamente el segundo acuerdo con la FTC el año pasado, la compañía, en un incidente completamente separado, permitió que se repitiera el mismo tipo de uso indebido de datos con fines publicitarios.
En respuesta a más de 50 preguntas específicas de CNN relacionadas con la divulgación, Twitter no abordó la acusación de Zatko en torno a ese incidente. Reconoció que sus equipos de ingeniería y productos pueden acceder al entorno de producción en vivo de Twitter siempre que tengan una justificación comercial específica, y agregó que los miembros de otros departamentos, como finanzas, legal, marketing, ventas, recursos humanos y soporte, no pueden. Twitter también le dijo a CNN que las computadoras de los empleados se verifican automáticamente para determinar si están actualizadas, y aquellas que no pasan las verificaciones no pueden conectarse a producción.
Potencial para un nuevo acuerdo o demanda
Lo que está en juego en la divulgación podría ser enormemente significativo. Un hallazgo de la FTC de que Twitter ha violado su orden por tercera vez podría resultar en las sanciones más severas que la agencia jamás haya impuesto a la empresa. Actualmente, la FTC también está presidida por Lina Khan, una escéptico vocal de las plataformas tecnológicas y de lo que ella llama una industria de “vigilancia comercial” que se beneficia de las laxas normas nacionales de privacidad. Bajo Khan, la FTC está considerando redactar nuevas y radicales normas de privacidad que podría afectar directamente a las empresas de toda la economía, incluido Twitter, y cómo recopilan, usan y comparten datos personales.
Si la FTC concluye que ocurrió una violación, tendría dos opciones principales para responsabilizar a Twitter, dicen exfuncionarios de la agencia. Podría buscar un tercer acuerdo con la empresa, o podría demandar a Twitter por las órdenes de consentimiento existentes y pedirle a un tribunal las sanciones correspondientes.
En el caso de un acuerdo, la FTC podría incluso tratar de nombrar ejecutivos individuales, haciéndolos personalmente responsables y obligándolos a aceptar obligaciones sobre su propia conducta por las que podrían ser responsables si ellos o la empresa violan la orden nuevamente.
Si resulta que Twitter violó sus obligaciones legales, dijo Leibowitz, la FTC debería "considerar muy seriamente... poner bajo orden a los ejecutivos responsables".
La mera amenaza de nombrar ejecutivos individuales puede ser efectiva, agregó. Durante su tiempo como presidente de la FTC, Leibowitz recordó: “No puedo decirle cuántos directores ejecutivos vinieron a mi oficina diciendo: 'Por favor, no me nombre. Simplemente no quiero ser nombrado. No me importa si pago más dinero; No me importa si mi empresa se somete a una orden más fuerte. Pero simplemente no quiero que me nombren'”.
Megan Gray, exabogada de cumplimiento de la FTC que ha trabajado en algunos de los casos de privacidad más importantes de la agencia, dijo que las herramientas a disposición de la FTC son numerosas. (CNN habló con Gray antes de que las acusaciones de Zatko se hicieran públicas y sin revelar su existencia, y luego nuevamente el martes después de que CNN y The Washington Post informaron sobre la divulgación de Zatko).
“Multas crecientes, más informes de cumplimiento, controles más granulares y restricciones en sus líneas de negocio”, dijo Gray, marcando una lista de opciones. “O un requisito para obtener anuncios aprobados previamente por la agencia, o excluirlos de ciertos tipos de transacciones”.
Una agencia que necesita más herramientas para responsabilizar a las empresas
Twitter ha citado sus auditorías de terceros como evidencia de que ha cumplido con sus compromisos con la FTC. Pero, en general, la forma en que los requisitos de auditoría de la FTC suelen funcionar en la práctica puede dejar a las empresas fuera de peligro con demasiada facilidad, dijo Gray.
Por ejemplo, muchas órdenes de la FTC están escritas de manera lo suficientemente amplia como para permitir que una empresa cumpla con sus obligaciones en función, entre otras cosas, de las “certificaciones” de que cumplen, una promesa de dedo meñique, dijo Gray a CNN. En los informes a la FTC, las empresas que realizan auditorías de terceros simplemente pueden decir, o citar declaraciones de la empresa auditada, que la empresa cumple.
Desde 2011 hasta 2022, la orden de consentimiento de Twitter con la FTC permitió informes de auditoría basados en certificaciones. Luego, en su segundo acuerdo este año, la FTC hizo que los requisitos de auditoría fueran más específicos, prohibiendo que los auditores externos de Twitter se basen “principalmente” en las certificaciones de la administración de Twitter.
Incluso con ese tipo de restricciones, todavía hay motivos para desconfiar de los informes de auditoría de la FTC, dijo Gray. Eso se debe a que los auditores externos no son pagados por la FTC, sino por las empresas auditadas, dijo.
“Entonces, los incentivos están completamente fuera de control para las empresas de auditoría”, agregó Gray.
Twitter le dijo a CNN que las auditorías son solo uno de los programas de privacidad y seguridad que Twitter tiene para cumplir con sus obligaciones con la FTC.
Muchos funcionarios actuales y anteriores de la FTC, así como legisladores estadounidenses y defensores de los consumidores, han presionado para brindar a la FTC más herramientas para responsabilizar a las empresas, particularmente después de la Corte Suprema el año pasado. abatido la capacidad de la agencia para buscar alivio monetario bajo algunas circunstancias.
Algunos defensores de una supervisión más estricta han pedido, por ejemplo, permitir que la FTC emita multas a las empresas por infringir por primera vez la Ley de la FTC. Actualmente, la FTC generalmente solo puede tratar de imponer sanciones civiles a una empresa después de haber violado un acuerdo previo.
En el caso de Twitter, negociar una orden de consentimiento por tercera vez puede parecer extraño, dijo otro exfuncionario de la FTC, que habló bajo condición de anonimato para hablar con más franqueza. Pero en el caso de que encuentre una violación, y como en cualquier caso, la FTC deberá sopesar lo que cree que puede obtener de Twitter a través de un acuerdo frente a lo que la agencia podría obtener de un tribunal de primera instancia.
Hay riesgos de litigios prolongados, en los que un tribunal puede otorgar menos a la FTC, dijo el exfuncionario.
“Algunas personas piensan que estas órdenes no son nada”, dijo el exfuncionario, “pero no lo son. Tal vez en algunos casos lo sean y las empresas no los tomen en serio. Pero en muchos casos lo hacen, y la FTC puede causar mucho dolor. Mucho dolor."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., una compañía de Warner Bros. Discovery. Reservados todos los derechos.
