Las dos versiones de Peiter Zatko, más conocido como Mudge

Las dos versiones de Peiter Zatko, más conocido como Mudge

Software

De hacker melenudo a aliado de Musk: así es el gurú que puede dinamitar Twitter desde dentro

El experto en ciberseguridad que ha denunciado las malas prácticas de Twitter fue un pionero del hacktivismo y ha trabajado para el Pentágono. 

24 agosto, 2022 01:48

Twitter tiene graves y numerosos problemas de seguridad que ponen en riesgo la información personal de sus usuarios. Al menos eso es lo que asegura Peiter Zatko, su jefe de seguridad hasta principios de este año, en un demoledor informe presentado hace un mes ante la Comisión de Bolsa y Valores de Estados Unidos, el Departamento de Justicia y la FTC. En el documento, Zatko detalla las "deficiencias extremas y flagrantes" de la compañía en materia de seguridad, especialmente en lo relacionado con hackeos y robo de cuentas y el spam que inunda la red social.

[El exjefe de seguridad de Twitter denuncia sus "atroces deficiencias" frente a hackeos y spam]

Cuando la compañía estaba tratando de recuperarse del intento de compra y posterior 'espantada' por parte de Elon Musk, este nuevo escándalo puede provocar un auténtico terremoto en la empresa. De momento, los abogados del fundador de Tesla ya han pedido poder utilizar en el juicio el informe de Zatko, desvelado por The Washington Post, para evitar la adquisición y la penalización por retirar su oferta. 

Las graves acusaciones de Zatko hablan de "negligencia e incluso complicidad" en el reiterado engaño sobre la seguridad de la plataforma no sólo a sus usuarios, sino también a sus inversores y a las autoridades estadounidenses. Pero, ¿quién es este pionero del hacktivismo que se ha convertido en el azote de su exempresa?

Adelantado a su tiempo

Según se lee en su propio perfil de Twitter, el lema personal de este célebre hacker reconvertido en experto en ciberseguridad es bastante elocuente: "Haz una mella en el universo. Encuentra algo que necesite ser mejorado: ve allí y arregla las cosas. Si no eres tú, ¿quién lo hará?". Visto lo visto, parece decidido a cumplir con ello, dejando en evidencia a sus antiguos empleadores y a una de las redes sociales más influyentes en la opinión pública.

Este experto en seguridad de redes, programador de código abierto, escritor y hacker nació en Boston en 1970. Hijo de un profesor de química y de una geóloga, Zatko creció en Alabama y Pensilvania, tocando el violín y la guitarra y saltándose las medidas de seguridad de los primeros videojuegos. 

Peiter Zatko, en el centro, en su comparecencia en el Congreso de los EEUU

Peiter Zatko, en el centro, en su comparecencia en el Congreso de los EEUU Twitter Omicrono

La música fue su primera vocación y logró graduarse con honores en el prestigioso Berklee College of Music, cambio las seis cuerdas por los ceros y unos del lenguaje binario como su principal ocupación. En el mismo campus estaba el laboratorio de informática del MIT, donde el ya entonces conocido como Mudge pasaba cada vez más tiempo junto a otros hackers en ciernes.

Desde Boston, Zatko se convirtió en una figura indispensable del mundillo como parte del grupo L0pht y la cooperativa Cult of Dead Cow, muy activos en los primeros albores de Internet. Él fue personalmente responsable de las primeras investigaciones sobre un tipo de vulnerabilidad de seguridad conocido como desbordamiento de búfer, pero también de avisos de seguridad y posibles vulnerabilidades de distintos programas y protocolos. 

Su primer trabajo 'oficial' fue en BBN Technologies, un contratista del gobierno estadounidense como responsable de parte de la arquitectura interna de ARPAnet, la versión militar de Internet. Por aquel entonces, a principios de los años 90, llevaba una doble vida: como Mudge, su alias para mantener el anonimato en el circuito hacker, y como Peiter Zatko en su papel de experto en seguridad.  

Ya entonces, tanto él como sus colegas en L0pht sostenían que la mejor manera de abordar los riesgos, puertas traseras y agujeros de seguridad del software era hacerlos públicos. Habitualmente, las empresas se dedicaban a ocultar esos mismos avisos sobre problemas de seguridad, con la ingenua esperanza de que ningún atacante encontrara las vulnerabilidades. Esa táctica oscurantista fue puesta en evidencia en diversas ocasiones por el propio Mudge, que anticipó la necesidad de continuos parches y actualizaciones de seguridad que actualmente es la norma.

[Twitter confirma el hackeo de millones de cuentas: cambia tu contraseña y estos ajustes de seguridad]

Mudge pronto se convirtió en uno de los portavoces más elocuentes y habituales del movimiento de gray hat hacking, como se conoce a los especialistas de seguridad que trabajan al margen de lo establecido pero sin intenciones criminales. De hecho, él y sus compañeros de L0pht fueron llamados a testificar en 1998 ante el Congreso de Estados Unidos y hablaron abiertamente sobre la baja calidad de los estándares de seguridad de Internet. 

En esas comparecencias también dio muestras de su arrogancia: aseguró ante los congresistas que en 30 minutos podía 'tirar' Internet durante un par de días, con lo que se conoce como ataque de denegación de servicio o DDoS.

Peiter Zatko junto a Bill Clinton en una cumbre de seguridad

Peiter Zatko junto a Bill Clinton en una cumbre de seguridad La Casa Blanca Omicrono

No fue su única ración de popularidad. En el año 2000 se reunió con el por entonces presidente Bill Clinton, precisamente para informarle sobre las constantes oleadas de ataques DDoS que hacían tambalearse los cimientos de Internet y costaban cientos de millones a las empresas tecnológicas.

El paso a la legalidad

Un año antes de ese encuentro, L0pht fue uno de los primeros colectivos de hackers que pasaron de la clandestinidad a convertirse en una empresa formal de seguridad, llamada @stake. Allí trabajó Peiter Zatko hasta 2004, cuando fue adquirida por Symantec, lo que le llevó a regresar a BBN.

Su desempeño más importante a partir de 2013 tuvo lugar en DARPA, el brazo tecnológico del Pentágono que se encarga de innovar y diseñar nuevo armamento, tanto fuera como dentro del ciberespacio. Allí trabajó en diversos proyectos, la mayoría relacionados con la detección de amenazas y el refuerzo contra la penetración en las redes militares.

Su principal contribución durante esos años fue hacerse cargo de la iniciativa Cyber Fast Track (CFT), un programa diseñado para proporcionar financiación a los esfuerzos de investigación externos a la agencia. Es decir, se encargó de encontrar nuevos hackers como él que, a pequeña escala, podían aportar nuevas soluciones en cortos espacios de tiempo: el plazo de entrega del contrato más habitual del CFT era de sólo siete días.

[Antivirus, armas y 'criptos': John McAfee, el genio que acabó suicidándose en una cárcel española]

Por su trabajo en DARPA hasta 2013, Zatko recibió el Premio al Servicio Público Excepcional del Secretario de Defensa, el mayor galardón civil no profesional posible. Ese año se trasladó a la División de Tecnología y Proyectos Avanzados de Google, pero dos años más tarde, tuvo la oportunidad de encargarse de un proyecto originalmente defendido por la propia L0pht.

Hablamos del Laboratorio de Pruebas Cibernéticas Independientes, gestionado por Zatko y su mujer y financiado por el Departamento de Seguridad Nacional y la industria tecnológica. Su idea pasaba por crear un organismo independiente encargado de realizar pruebas y redactar normas de ciberseguridad, sobre todo para evitar vulnerabilidades en las infraestructuras críticas.

Finalmente y tras varios ciberataques contra Twitter que pusieron en entredicho la seguridad de la plataforma, Jack Dorsey le ofreció convertirse en su jefe de seguridad. Una colaboración que tocó a su fin a principios de año cuando Zatko fue despedido por la actual directiva de la red social y que ahora, tras el demoledor informe contra su exempresa, no tiene final feliz posible. 

También le puede interesar: