La llegada de Elon Musk a la sede de Twitter el 26 de octubre de 2022, con un recipiente sin duda adquirido apresuradamente para desplegar al servicio de lo que solo puede describirse como una broma de papáha provocado cambios sísmicos en el mundo de las redes sociales.
Twitter, una de las plataformas sociales más antiguas, ha sido la piedra angular de la participación en línea para millones de personas y organizaciones durante más de una década, pero de repente se enfrenta a un futuro muy diferente, y algunos de los cambios más grandes se encuentran en el campo de la seguridad cibernética. .
Musk ha cultivado durante mucho tiempo una reputación de declaraciones impulsivas y decisiones espontáneas que a menudo lo han llevado a problemas: los fanáticos dirían que tipifica el antiguo lema de Mark Zuckerberg, el barón de las redes sociales, “muévete rápido y rompe cosas”, y, hasta la fecha, ha aplicado esta actitud en Twitter, despidiendo empleados a diestro y siniestro, y realizando cambios radicales antes de revertirlos de forma igualmente abrupta.
Entre algunos de los incidentes de más alto perfil que han ocurrido en Twitter en las últimas dos semanas se encuentran las salidas repentinas de su director de seguridad de la información (CISO), director de privacidad y oficial de protección de datos, y oficial de cumplimiento; cambios en su sistema de verificación de marca azul que han resultado en una ola de suplantación de cuentas de alto perfil; y, a principios de esta semana, los cambios en los microservicios utilizados en Twitter, supuestamente a instancias personales de Musk, que parecen haber causado fallas en los procesos de autenticación multifactor de SMS de la plataforma.
En el momento de escribir este artículo, no ha habido ningún incidente cibernético importante o violación de datos que afecte a los usuarios de la plataforma. Sin embargo, existe una percepción creciente de que la terminación abrupta de miles de empleados de Twitter por parte de Musk está causando que la plataforma se deshilache a medida que comienzan a acumularse varios problemas técnicos pequeños.
Además, ya hay señales claras de que el estilo de gestión de Musk está comenzando a introducir niveles de riesgo intolerables para los usuarios de la organización, sobre todo desde la perspectiva de la gestión de la marca. El gigante del sector publicitario Omnicom Media ya ha aconsejado a sus clientes que dejen de gastar en Twitter, mientras que la Comisión de Bolsa y Valores (SEC) de EE. UU. y la Comisión Federal de Comercio (FTC) están siguiendo de cerca la situación, al igual que la Oficina del Comisionado de Información del Reino Unido. (ICO).
Un portavoz de ICO le dice a Computer Weekly: “El cumplimiento de la ley de protección de datos del Reino Unido debe ser una alta prioridad para todas las empresas, sin importar su tamaño o estatura. Continuaremos monitoreando la situación con Twitter a medida que evolucione, y alentaremos a cualquier persona que tenga inquietudes a informarnos”.
Entonces, a la luz de los problemas actuales en Twitter, parece el momento adecuado para considerar si la plataforma sigue siendo un lugar seguro para los usuarios comerciales y qué pueden hacer las organizaciones para protegerse en caso de que aumente la escala del riesgo potencial. En resumen, ¿deberías tomar medidas drásticas en Twitter?
¿Confianza? Desaparecido
“Se ha dicho mucho sobre la seguridad psicológica de usar Twitter, tanto antes del colapso actual de los controles de moderación y ética como después”, dice Rachael Greaves, directora ejecutiva y fundadora de Castlepoint Systems, un proveedor de servicios de gestión de la información y servicios de gestión de riesgos.
“La cultura de la empresa siempre se ha inclinado precariamente sobre el abismo del riesgo mientras se esfuerza por alcanzar los altos frutos de la saturación y monetización del mercado, con una cultura que parece volverse más tolerante con el daño potencial y real a sus usuarios con el tiempo”.
Ciertamente, la confianza que los usuarios tienen en Twitter se ha dañado gravemente y, si bien es posible que aún no sea irreparable, la confianza, una vez rota, puede demorar años en repararse y será menos resistente en el futuro.
“Creo que la confianza parece estar disminuyendo con bastante rapidez”, dice Jake Moore, asesor global de seguridad cibernética de ESET. “La confianza se ha destacado mucho en el núcleo de Twitter durante la última década.
Esa marca azul es muy difícil de conseguir… No se puede ofrecer una marca azul como esa a todo el mundo. Se diluye lo que significa la verificación
Jake Moore, ESET
“La gente lo usa para corroborar información, para publicar noticias rápidamente, y ha generado un nivel de confianza en el que muchas personas confían. Parece un gran cambio que esta confianza, que no se genera de la noche a la mañana, haya disminuido. tan rápidamente.”
Moore destaca los problemas con la verificación de marca azul, que pasa de ser una señal de que un usuario es una voz confiable en su campo a un servicio de suscripción de $ 8 para cualquiera que quiera gastar el dinero, como un factor clave en la erosión de la confianza del usuario, y dice que ha puesto en riesgo tanto la integridad de la marca como la reputación.
“Esa marca azul es muy difícil de conseguir. Sé de periodistas de altísimo perfil que, hasta hace dos semanas, todavía luchaban por conseguirlo. Eso en sí mismo dio cierto prestigio de que Twitter solo brindó la forma adicional de verificación a aquellos que podían verificar en el más alto grado.
“No se puede ofrecer una marca azul como esa a todo el mundo”, dice. “Diluye lo que significa la verificación. ¿Y este botón gris ‘oficial’? ¿De qué se trata, pues? Incluso podría comenzar a preguntarse si puede confiar en las cuentas que sabe que son oficiales, porque no sabemos cómo es su seguridad o cuáles son sus políticas”.
Oliver Pinson-Roxburgh de Defense.com está de acuerdo en que la debacle de la marca azul ha cambiado las reglas del juego en términos de confiabilidad y está abriendo la puerta a otras fuentes de riesgo cibernético para los usuarios.
“En lugar de ser ‘hackeado’ tradicionalmente a través de la plataforma, el mayor problema proviene de los ataques basados en la información del adversario, especialmente la suplantación de identidad. Cuando todos los usuarios adquirieron la capacidad de adquirir una marca azul, una idea central en el corazón de Twitter cambió… Es temporada abierta para ataques de suplantación de identidad y suplantación de identidad personales y profesionales. De hecho, un cambio notable será que el aumento de las cuentas falsas también aumentará la probabilidad y dará mayor credibilidad a otros ataques informativos como el phishing.
“Las empresas se están poniendo al día con esta nueva realidad en Twitter. Recientemente, alguien registró un nombre de usuario similar al del gigante farmacéutico Eli Lilly, pagó $ 8 por una marca azul y rápidamente borró miles de millones del precio de sus acciones con un solo tweet. Era muy poco lo que Eli Lilly podía haber hecho para defenderse de este ataque”, dice.
Una perspectiva jurídica
Hablando con Computer Weekly bajo condición de anonimato, un experto legal con especialización en tecnología y protección de datos dice que está de acuerdo con el sentimiento general de que el caos reina en la era de Musk, pero señala que, en realidad, sabemos muy poco sobre lo que es. en realidad pasando.
Sin embargo, desde una perspectiva legal, está muy claro que Twitter necesita absolutamente contar con líderes clave de seguridad y cumplimiento: ha designado a Renato Monteiro como RPD en funciones, aunque no está claro qué significa “en funciones” en este contexto.
Aun así, existen crecientes preocupaciones legales sobre el cumplimiento de la protección de datos de Twitter y si cumple con los estándares de la Unión Europea (UE) y el Reglamento General de Protección de Datos (RGPD) del Reino Unido.
“Las organizaciones deberían estar preocupadas por el cumplimiento de la protección de datos de Twitter y si todavía se lo toma en serio en un mundo donde Elon Musk está a cargo, pero esa es una visión basada en la música ambiental; no hemos visto evidencia de incumplimientos que hayan surgido”, dice el experto legal.
Tampoco, agregan, hay evidencia de que los procesos dentro de Twitter estén fallando en términos de su cumplimiento, simplemente porque ha pasado muy poco tiempo desde que se adquirió el servicio.
“Todos los indicadores están ahí de que se avecinan cosas malas, pero lo que son es una incógnita”, dicen. “Un factor indicativo es la salida repentina de los oficiales de cumplimiento y gobierno de datos. Esa es una preocupación. Se deben plantear preguntas sobre por qué se fueron”.
“No me sorprendería si Twitter se encontrara a sí mismo como un objetivo cada vez mayor para piratas informáticos nefastos y equivalentes, o personas con agendas anti-Musk o anti-Estados Unidos. [or] incluso personas internas descontentas con rencor, todo lo cual crea potencialmente una exposición al riesgo para las empresas”.
En términos de cumplimiento de GDPR, la situación sigue siendo muy fluida. Durante el curso de la investigación de este artículo, surgieron sugerencias de que Twitter ha incumplido o dejará de cumplir con el mecanismo One-Stop-Shop (OSS) del RGPD. Esta es una cláusula que permite a las organizaciones comprometerse exclusivamente con un único regulador principal de la UE, a diferencia de 27 organismos diferentes. En el caso de Twitter, su OSS es la Comisión de Protección de Datos de Irlanda (DPC).
“El problema es que si el DPC dice que no podemos ser su One-Stop Shop, Twitter de repente estaría expuesto a la aplicación de 27 Estados miembros, y potencialmente a una aplicación separada de la ICO, por lo que esencialmente 28 investigaciones, que desde una perspectiva legal es una absoluta pesadilla. A Twitter le interesa mantener contento al DPC”, dicen.
Entonces, ¿deberías dejar Twitter?
Esta es la pregunta que muchos líderes empresariales y de seguridad tendrán desconcertados. ¿Retira la presencia de Twitter de su organización y corre el riesgo de perderse los beneficios de una presencia activa en las redes sociales? ¿O tal vez se necesita un enfoque más cauteloso para el uso de Twitter?
Hay muchos que dicen que este no es necesariamente el momento de reducir el uso organizacional de Twitter, y tampoco es el momento de mudarse a una plataforma como Mastodon que, aunque vale la pena en sus objetivos, en general no ha sido probada en términos de uso corporativo.
“No creo que sea el momento de empaquetarlo todo, no. Las cosas cambian rápidamente todo el tiempo, y no quiero que las empresas se disparen un tiro en el pie si Musk tiene otras ideas para vender la plataforma o tiene algo más en mente”, dice Moore. “Tanto las empresas como los usuarios deberían pecar de precavidos siempre que puedan”.
“No se apresure a nada”, dice Elena Davidson, directora ejecutiva de Liberty Communications, una agencia de relaciones públicas con sede en Londres. “Nuestro consejo sigue siendo mantenerse firme y no hacer cambios drásticos; Obtenga más información sobre las implicaciones de los cambios y no cambie sus planes hasta que esté seguro de los cambios en la plataforma… No abandone la plataforma por completo. Tómese el tiempo para desarrollar su estrategia basada en los hechos”.
A corto plazo, sugiere, sería prudente no suscribirse a Twitter Blue, el servicio de marca azul pagado, hasta que se sepa más sobre lo que implica este proceso.
En el futuro, dice Davidson, debería quedar impresionado en los equipos de redes sociales que todavía hay muchas estrategias que pueden implementar para garantizar e incluso aumentar la confianza en sus organizaciones.
“Recuerde aportar contenido relevante respaldado por terceros que refuerce su marca y credibilidad”, dice Davidson. “Utilice multimedia como videos y fotos para aumentar el compromiso y la credibilidad; consulte otros identificadores de Twitter utilizados por su empresa, ejecutivos, socios y clientes. Esto ayudará a construir su credibilidad aún más. No olvide cruzar también el vínculo con los identificadores que se ejecutan en otras plataformas sociales como LinkedIn.
Finalmente, agrega: “Asegúrese de etiquetar a terceros confiables y de buena fe en sus tweets y publicaciones; esto ayudará a aumentar aún más su credibilidad”.
David Emm de Kaspersky agrega: “Es importante que las empresas tengan una estrategia claramente definida para el uso corporativo de todas las redes sociales, particularmente Twitter. Esto debe incluir quién en el negocio puede tener acceso y uso de la cuenta corporativa, pautas sobre cómo usarla, incluido cómo responder (o no) a los trolls, con una comprensión de una estrategia de escalamiento a los equipos técnicos o legales. sea necesario. Y, por último, la empresa debe revisar la seguridad de su cuenta con regularidad para asegurarse de que los beneficios de usar la plataforma no se vean superados por los aspectos negativos”.
David Higgins, director sénior de la Oficina de Tecnología de Campo de CyberArk, agrega que para algunas organizaciones, se justifica un grado de precaución aún mayor: “Aquellos que administran cuentas de redes sociales gubernamentales tienen razones para ser cautelosos, dado que la autenticación para estas es menos sencilla. Por lo general, los equipos de personas dentro de una agencia tienen acceso y pueden publicar información en estas cuentas, con contraseñas comúnmente compartidas internamente entre los diferentes miembros del equipo y cambiadas con poca frecuencia. Y eso los convierte en un objetivo muy fácil para los atacantes o personas internas maliciosas para la desinformación, especialmente dado que no se lleva un registro de quién publicó qué y cuándo.
Incluso si todos los controles de seguridad permanecen activos, los malos actores han olido la sangre en el agua y están pululando.
Grebas de Rachael, Castlepoint Systems
“Las medidas de seguridad para estas cuentas deben ser…
