Los hackeos a Twitter tienen que parar

Twitter ha sido hackeado esta semana. No solo las cuentas de algunas personas, sino de todos los usuarios de Twitter. Alguien comprometió toda la red de Twitter, y probablemente robó las credenciales de acceso de uno de los administradores de sistemas de la empresa. Esas son las personas en las que confiamos para garantizar que Twitter funcione sin problemas.

A modo de estafa habitual (como, por ejemplo, robar bitcoins), el hacker utilizó ese acceso para enviar tweets desde diferentes cuentas conocidas y fiables de personas como Joe Biden, Bill Gates y Elon Musk. Pero es fácil imaginar escenarios más nefastos. Imagínese que un gobierno utiliza este tipo de ataque contra otro gobierno y coordina una serie de falsos tweets de cientos de políticos y otras figuras públicas el día antes de unas elecciones generales para influir en el resultado. O para escalar un conflicto internacional. Si se hace bien, ese ataque puede ser devastador.

No se sabe si los hackers tuvieron acceso a los mensajes directos de Twitter. Estos MD no están encriptados de extremo a extremo, lo que significa que no están encriptados dentro de la red de Twitter y los hackers pueden haber accedido a ellos. Esos mensajes entre líderes mundiales, directores generales de diversas industrias, periodistas y sus fuentes, así como organizaciones sanitarias, son mucho más valiosas que los bitcoin. (Si yo fuese un organismo nacional de inteligencia, podría incluso recurrir a una estafa de bitcoins para encubrir mi verdadero objetivo de recopilar inteligencia). En 2018, Twitter declaró que estaba explorando la posibilidad de encriptar esos mensajes, pero aún no lo ha hecho.

Las plataformas de comunicación por internet como Facebook, Twitter y YouTube son vitales en la sociedad actual. Son la forma en que nos comunicamos entre nosotros y el modo en que nuestros líderes electos se comunican con los ciudadanos. Son una infraestructura esencial. Sin embargo, están dirigidas por empresas con fines de lucro que cuentan con poca supervisión por parte del gobierno. Y esto ya no es sostenible. Tanto Twitter como este tipo de empresas son fundamentales para nuestro diálogo nacional, para nuestra economía y para nuestra democracia. Tenemos que empezar a tratarlas de esa manera, y eso significa poder exigirles que realicen un mejor trabajo en cuanto a la seguridad o disolverlas si es necesario.

En el caso de Twitter ocurrido esta semana, las tácticas del hacker no fueron particularmente sofisticadas. Probablemente sabremos qué fallos de seguridad de Twitter permitieron el hackeo, los cuales posiblemente incluyan un ataque de intercambio de SIM dirigido al proveedor de servicios de telefonía móvil de un empleado, o incluso a un interno sobornado. El FBI lo está investigando.  

Este tipo de ataque es lo que se considera un «nuevo patrón de hackeo». Estos nuevos patrones son endémicos en los sistemas informáticos y no son algo de lo que nosotros, como usuarios, podamos defendernos mediante el aumento de nuestros sistemas personales de seguridad. No importó que las cuentas individuales tuvieran una contraseña complicada y difícil de recordar o una autenticación de dos factores. Tampoco si se accedía a ellas desde un Mac o de un PC. Literalmente, no había nada que los usuarios pudiesen hacer para protegerse del ataque. 

Este tipo de violaciones son vulnerabilidades de seguridad que afectan no solo a un sistema, sino a toda una clase de sistemas. Pueden explotar una vulnerabilidad en un sistema operativo particular que permite a un atacante tomar el control de forma remota de cada ordenador que ejecute ese software específico. O una vulnerabilidad en las grabadoras de vídeo digital y las cámaras web habilitadas para internet que permite a un atacante utilizar esos dispositivos en una red de bots masiva. O una única vulnerabilidad en la red de Twitter que permite a un atacante apoderarse de todas las cuentas.

Para los usuarios de Twitter, este ataque tuvo un doble impacto. Mucha gente confía en los sistemas de autenticación de Twitter para asegurarse de que alguien que se hace pasar por cierta celebridad, político o periodista, es realmente esa persona. Al hackear esas cuentas, la confianza en ese sistema se vio afectada. Posteriormente, tras el descubrimiento del ataque y el cierre temporal de todas las cuentas verificadas por Twitter, el público perdió una fuente de información vital.

Hay muchas tecnologías de seguridad que empresas como Twitter pueden implementar para protegerse mejor a sí mismas y a sus usuarios, pero ese no es el problema. El problema es económico, y solucionarlo requiere hacer dos cosas. Una es regular estas empresas y exigirles que inviertan más dinero en seguridad. La segunda es reducir su poder de monopolio.

Las normas de seguridad de los bancos son complejas y detalladas. Si un empleado de un banco de bajo nivel es sorprendido jugando con las cuentas de las personas o, si por error, le da sus credenciales de acceso a otra persona, el banco recibirá una multa cuantiosa. Dependiendo de los detalles del incidente, es posible que los altos ejecutivos del banco sean considerados personalmente responsables. La amenaza de estas acciones ayuda a mantener nuestro dinero seguro. Sí, le cuesta dinero a los bancos y, en ocasiones, reducen sus beneficios de forma considerable. Pero los bancos no tienen otra opción.

Lo contrario es cierto para estos gigantes tecnológicos, ya que deciden el nivel de seguridad de sus cuentas y los usuarios no tienen voz ni voto en el asunto. Si ofrecen opciones de seguridad y privacidad, es porque decidieron que el usuario podía tener acceso a ellas. No existe ninguna normativa. No hay responsabilidades. Ni siquiera hay transparencia. ¿Acaso sabe hasta qué punto sus datos están seguros en Facebook, en iCloud de Apple o en cualquier otro lugar? No. Nadie lo sabe, a excepción de esas empresas. Sin embargo, son fundamentales para la seguridad nacional del país. Y son un producto o servicio de consumo excepcional al que se le permite operar sin una supervisión gubernamental adecuada.

Por ejemplo, la cuenta de Twitter del presidente Donald Trump no fue hackeada como la de Joe Biden, porque esa cuenta tiene «protecciones especiales», cuyos detalles desconocemos. Tampoco sabemos qué otros líderes mundiales tienen este tipo de protección o el proceso de decisión que rodea a las personas que las obtienen. ¿Es un proceso manual? ¿Se puede escalar? ¿Todas las cuentas verificadas pueden tener este tipo de protección? Sus conjeturas son tan buenas como las mías.

Además de las medidas de seguridad, la otra solución es terminar con los monopolios tecnológicos. Empresas como Facebook y Twitter tienen tanto poder porque son muy grandes, y no se enfrentan a una verdadera competencia. Esto supone un riesgo para la seguridad nacional, así como un riesgo para la seguridad personal. Si hubiese 100 compañías diferentes similares a Twitter y suficiente compatibilidad para que todas sus fuentes se fusionen en una interfaz, este ataque no habría sido tan grave. Más importante aún, el riesgo de que se produzca un ataque similar, pero con un objetivo más específico desde el punto de vista político, no sería tan elevado. Si hubiera competencia, las diferentes plataformas ofrecerían diferentes opciones de seguridad, así como diferentes reglas de publicación y diferentes normas de autenticación. Todo sería diferente. La competencia es la forma en que funciona nuestra economía, la forma en que impulsamos la innovación. Los monopolios tienen más poder para hacer lo que quieran con el fin de obtener beneficios, incluso si eso perjudica a las personas durante el proceso.

Este no ha sido el primer problema de seguridad de Twitter que ha afectado a personas conocidas o influyentes. En 2017, en su último día de trabajo, un empleado cerró la cuenta del presidente Donald Trump. En 2019, dos personas fueron acusadas de espiar para el gobierno saudí mientras trabajaban como empleados de Twitter. Es posible que este hackeo sirva de advertencia. Pero si los incidentes pasados relacionados con Twitter y otras empresas no se tienen en cuenta, pasarán inadvertidos. Invertir menos en seguridad y dejar que la sociedad pague el precio final es mucho más rentable. No culpo a las empresas tecnológicas. Su objetivo empresarial es hacer tanto dinero como sea legalmente posible. Solucionar esta situación requiere cambios en la legislación, no en los corazones de los líderes de las empresas.