El verdadero peligro del hack a Twitter

Patricio Cavalli / UCEMA 

Por Patricio Cavalli

El Economista. 26 de julio de 2020

Vamos a imaginar el peor escenario. Son las cinco de la mañana en Beijing y los servicios de inteligencia mundiales detectan un tweet de @RealDonaldTrump diciendo: “La opresión China sobre Hong Kong ha terminado. He ordenado a nuestra Flota del Pacífico movilizarse para liberar al pueblo de esa ciudad. China, es suficiente!”.

Pensémoslo un segundo y elaboremos sus consecuencias. Sí, puede ser un desastre.

No vivimos en el mundo en que queremos vivir. Vivimos en un mundo donde los líderes mundiales realmente gobiernan a través de Twitter. Los ministros reciben órdenes a través de esta red, las bolsas se mueven y los ejércitos se movilizan cada vez que un Presidente twittea.

No hace falta que el Presidente Trump ordene atacar Hong Kong. Sólo basta que alguien hackee su cuenta de Twitter, para que el ataque se vuelva real.

Escalemos el drama. ¿Qué pasa si alguien decidiera hackear no una sino varias cuentas de líderes mundiales?

¿Qué ocurre si Xi Jinping responde a ese hipotético tweet con otro, escalando el conflicto? ¿Y seguido a ese, el Papa Francisco hace retweet de Donald Trump con algo similar a: “El Señor nos quiere astutos como zorros y nobles como palomas, pero la lanza de San Jorge debe alzarse cada tanto contra el peligro del dragón”? ¿Cómo resuena “el dragón” en la mente de los analistas militares de ambos lados del Pacífico? ¿Qué pasa si Vladimir Putin se suma con otro ataque verbal?

¿Qué sigue?

Posiblemente, nada. Posiblemente. Uno quiere creer que el mundo tiene mecanismos de emergencia -teléfonos rojos, diplomáticos en alerta, backchannels de centrales de inteligencia- que podrían entrar en acción y desescalar el problema. Pero…¿estamos seguros de que esos canales funcionarán?

Llevémoslo ahora a nuestro terreno, el de los negocios. Una mañana, el CEO de Danone, Emmanuel Faber twittea: “Queremos avisar que lamentablemente, el virus de Covid-19 se transmite por los lácteos y a través del agua.” Otro tweet de The Coca Cola Company lo ratifica. La OMS se suma a la alerta mundial.

Todo es falso, todo un hack. Faber no hizo ningún tweet. Danone, Coca Cola y la OMS tampoco. El yogur y el agua son seguros. Pero los hackers hicieron su tarea muy bien, y para la “twittersfera” los mensajes son reales.

Hagamos control de daños: en el mejor de los casos, los caños de las casas se llenarán de litros de leche y yogur, postrecitos Danette y Coca Light descartados. En el peor, millones de personas acuden en masa a hospitales, las acciones de las empresas se desploman, miles pierden sus ahorros y empleos, y la gente deja de tomar agua de la canilla. Ah, sí. En medio de la crisis otro tweet de la OMS dijo eso: “El coronavirus puede transmitirse a través del agua del grifo.”

En suma, un hack a Twitter puede desatar una catástrofe.

Podríamos seguir trazando escenarios durante años, y ni Lars Von Trier podría imaginar todos los posibles: caída de las Bolsas, cierre de líneas de crédito bancarios, caos masivo, presidentes despidiendo ministros o dándoles órdenes por RT en vez de decretos (esto último ocurrió), la Fed bajando tasas y luego subiéndolas, Elon Musk diciendo que tiene capitales saudíes asegurados para hacer privada a su empresa nuevamente (ah, no, momento… esto ya ocurrió de verdad), el CEO de Apple Tim Cook diciendo que en realidad está avergonzado de ser gay en pleno “pride week”. Son decenas de incontables desastres económicos, de relaciones públicas, políticos, militares.

Todo causado por… ¿qué? Nuestra eterna confianza en un “medio de comunicación” que no es realmente un medio, y que favorece un tipo de comunicación unidireccional sin contrachequeos de ningún tipo.

Ese “medio”, es además una empresa y, por lo tanto, una organización que se mueve siguiendo objetivos de audiencia y comerciales.

Patricio Cavalli / UCEMA

El hackeo incluyó a cuentas verificadas de alto perfil: la de Obama, entre ellas

Esa empresa fue hackeada hace una semana y sus cuentas usadas para un fraude electrónico.

Esa empresa tiene un oversight muy endeble y un CEO part-time que dedica parte de su tiempo a pasear por el Africa, además de dirigir otra empresa -Square-, que le reditúa más ingresos.

Esa empresa recibió durísimas advertencias hace pocos meses.  Y no la escuchó.

Esa empresa es Twitter.

Y una de las principales advertencias que recibió vino por medio de una carta que le envió su“activist investor” Scott  Galloway, profesor de la Universidad de NYU, autor, emprendedor y fundador del startup educativo Section4.

En su carta al directorio de Twitter en diciembre de 2019, Galloway llamó directamente a reemplazar al CEO y cofundador de la compañía, Jack Dorsey, basándose entre otras razones en los bajos resultados financieros vis-a-vis empresas similares; el éxodo de ejecutivos de alto nivel y la pésima “performance ciudadana” de la empresa, permitiendo la propagación del “hate speech”, falsa ciencia y racismo.

El llamado de Galloway resuena más fuerte hoy, precisamente porque como él mismo explica en diálogo con El Economista, su pedido de remover al “part-time CEO” de la empresa, “todavía sigue firme, más allá del hack”.

Y es que el hack, con su gravedad real y potencial, desnuda la seriedad con la que las empresas, gobiernos y la comunidad en general deberían tomarse este tema. En el balance no está solamente la performance de una empresa, si no cuestiones de seguridad o la democracia.

En el intercambio que sigue, Galloway permite entrever un camino para desnudar la gravedad real del problema, abarcarlo y empezar a resolverlo.

En los últimos meses, ha hablado mucho sobre el fracaso de liderazgo de Twitter, con un “CEO a tiempo parcial” y otros problemas. ¿Imaginó que tal escenario podría desarrollarse debido a estas fallas y fue esto algo que le preocupó de antemano?

No estoy tan preocupado por hacks como este, sino por la interferencia extranjera en nuestras elecciones (EE.UU.), que es constante y mucho más difícil de detectar. Rusia ha estado movilizando bots para reforzar las cuentas de #MAGA (siglas para “Make America Great Again”). Su objetivo es la división social, especialmente a lo largo de las líneas raciales. Me preocupa el papel que tiene Twitter en la división social y el grado en que esto se ve aprovechado por los jugadores extranjeros.

Por lo que parece [al cierre de esta edición, parte de esta información estaba siendo descartada], este podría ser un ataque externo, pero también hay indicios de “participación interna”. Esto podría significar que la compañía se infiltró o que no se implementaron suficientes salvaguardas. ¿Crees que un “trabajo interno” es incluso peor que un ataque externo? ¿Qué podría dar fe de una empresa fuera de control en algunos aspectos?

No, no fue un trabajo interno, pero se hizo uso de protocolos de seguridad débiles de la compañía. Los piratas informáticos utilizaron inicios de sesión fáciles de obtener en los canales de Slack de los empleados. Twitter debe ser mucho más cuidadoso con la información del usuario, pero este hack fue mucho más un espectáculo, una demostración, que una acción perniciosa.

¿Cree que se puede culpar al liderazgo de Twitter, y especialmente al CEO? Me refiero a esto porque podría significar que la arquitectura organizacional falló en muchos niveles, en un tema crítico.

El CEO es por defecto responsable de todo lo que sucede en la empresa. La respuesta de Jack (Dorsey) fue buena, asumió la responsabilidad. Todavía creo que una plataforma con tanta influencia no debería tener un CEO a tiempo parcial. Espero que Jack renuncie antes de fin de año.

Es solo una hipótesis, pero siento que este ataque podría haber sido mucho peor. Es decir: hacks coordinados con cuentas de líderes mundiales “advirtiendo” o “anunciando” acciones militares o económicas. Sabemos que las agencias militares y de seguridad están prestando mucha atención a las órdenes de sus comandantes en jefe a través de estas plataformas. ¿Crees que este escenario es posible? ¿Cómo abordaría este problema para evitar que ocurra una catástrofe en el futuro?

Sí, ese era el peligro en este hack, ya que nuestro presidente (Donald Trump) es tan volátil e impredecible, que podríamos comenzar una guerra nuclear en un par de tweets. Estuvimos al borde de algo como esto el año pasado, cuando se burlaba de Kim Jong-Un. Fue surrealista ver esto en Twitter y conocer las vastas e irreparables consecuencias que podría tener un intercambio así.

¿Crees que las marcas tomarán este truco como una ventaja para promover su llamado “boicot” en las redes sociales, y ahora específicamente en Twitter?

Sí, podría usarse como justificación contra un boicot a Twitter. Pero la mayoría de las marcas no anuncian mucho en Twitter, porque la plataforma es tan tóxica, tan impulsada por la ira y la indignación, que la mayoría de las marcas no quieren anuncios junto a un grupo de bots rusos. Los jugadores más importantes en publicidad son Facebook y Google, y ha sido muy bueno ver a las marcas ponerse de pie y boicotearlas. La negativa de (Mark) Zuckerberg a editar mentiras descaradas en la publicidad política, al tiempo que permite a los candidatos políticos enviar mensajes específicos a audiencias muy específicas, que son más vulnerables a las sugerencias, es desastrosa para nuestra democracia. También estoy preocupado por las próximas elecciones y por el hecho de que no hemos visto suficientes esfuerzos de seguridad por parte de Twitter y Facebook (asegurándose) de que están trabajando para evitar el tipo de interferencia cibernética que tuvimos desde Rusia en 2016.

¿Crees que Twitter podría estar enfrentando acciones legales, ya que se trataba de una estafa de fraude en la que estaba involucrado dinero real?

Sí, están siendo investigados por ello, y con razón.

Como “accionista activista”, ¿planea volver a llamar al liderazgo de Twitter debido a este ataque, o redoblar sus esfuerzos en relación con el trabajo de Dorsey y el modelo comercial de Twitter?

No estoy planeando escribir o pedir un cambio basado en el hack, porque mi llamado anterior para reemplazar a Jack (Dorsey) con un CEO a tiempo completo aún está vigente. Todavía espero que renuncie antes de fin de año. Una plataforma con tanta influencia merece un CEO a tiempo completo.

La forma en la que tenemos que pensar a Twitter desde ahora, no puede ser más como “la red del pajarito”. Tenemos que verla desde su posición como actor de influencia estratégica, un factor serio y peligroso, que si no es tenido en cuenta por su peso específico puede descarrilar vidas, negocios, economías, así como la seguridad y el bienestar de millones de personas.

Este hack fue sólo un tiro por sobre la línea de flotación. El próximo no sabemos. Sumemos la potencia de esta red a la estupidez colectiva de los líderes mundiales y tenemos un peligro muy real y cercano amenazando nuestra sociedad.

“Twitter tendrá que gastar más en seguridad. No creo que el peligro radique en la incompetencia y la posición insostenible de que su CEO puede pasar sus tardes dirigiendo otra empresa. El peligro real es un Presidente que ha decidido gobernar a través de canales inseguros”, cierra Galloway.

Estuvo en lo cierto una vez. Por favor no le den la razón de nuevo.

 


 

The real danger of the Twitter hack

Let’s imagine the worst case scenario. It’s five in the morning in Beijing and the world intelligence services detect a tweet from @RealDonaldTrump saying: “The Chinese oppression over Hong Kong has ended. I have ordered our pacific fleet to mobilize to free the people of that city. China, it’s enough!”.

Let’s think about it for a second and work out the consequences. Yes, it can be a disaster.

We do not live in the world we want to live in. We live in a world where world leaders really rule through Twitter. Ministers receive orders through this network, stock exchanges move up or down, and armies mobilize every time a President tweets.

There is no need for President Trump to order an attack on Hong Kong. It is only enough that someone hacks his Twitter account, for the attack to become real.

Let’s scale the drama: what if someone decided to hack not one, but multiple accounts of world leaders?

What happens if Xi Jinping responds to that hypothetical tweet with another one, escalating the conflict? And followed by that one, Pope Francis retweets Donald Trump with something along the lines of: “The Lord wants us as smart as foxes and as noble as doves, but the spear of Saint George must rise from time to time against the danger of the dragon.” How does “the dragon” resonate in the minds of military analysts on both sides of the pacific ocean? What if Vladimir Putin joins in with another verbal attack?

What’s next?

Possibly, nothing. Only possibly. One would like to believe that the world has emergency mechanisms – red phones, diplomats on alert, backchannels and intelligence centers – which could take action and de-escalate the problem. But, are we sure those channels will work?

Let us now take this to our field: business. One morning, Danone CEO Emmanuel Faber tweets: “We must warn the public that, unfortunately, Covid-19 is transmitted through dairy and water.” Another tweet from The Coca Cola Company confirms it. WHO joins the global alert.

Everything is fake, everything a hack. Faber did not tweet. Danone, Coca Cola and the WHO either. Yoghurt and water are safe. But hackers did their homework well, and for the “tweetersphere”, the messages are real.

Let’s do damage control: at best, the pipes of the houses will be filled with liters of discarded milk and yoghurt, Danette desserts and Coca Cola Light. At worst, millions of people flock to hospitals, corporate stocks plummet prompting thousands to lose their savings and jobs, and people stop drinking tap water. Oh yeah. In the midst of the crisis, another WHO tweet said that: “Coronavirus can be transmitted through tap water.”

In sum, a Twitter hack can unleash a catastrophe.

We could go on like this, tracing scenarios for years, and not even Lars Von Trier could imagine all the possible ones: falling stock markets, bank closing lines of credit, massive chaos, presidents dismissing ministers or giving them orders by RT instead of executive orders (the latter happened), the Fed lowering rates and then raising them, Elon Musk saying that he has secured Saudi capital to make his company private again (ah, no, wait one moment … this also really happened …), Apple’s CEO Tim Cook saying that in he is actually ashamed of being gay in the middle of pride week. There are dozens of countless economic, public relations, political, and military disasters looming in the horizon.

All caused by … what? Our misplaced trust in a communication tool that is not really a tool, and a medium that favors a complex type of one-way communication without any kind of checks or oversight.

This mass media is more than anything else, a company, and therefore an organization that moves mostly following audiences and commercial objectives.

That company was hacked a week ago, and its accounts used for cybernetic fraud.

That company has a very weak oversight, and a part-time CEO who spends part of his time walking around Africa, in addition to running another company -Square-, which is a source of greater financial income for him.

That company received harsh warnings a few months ago. And it didn’t listen.

That company is Twitter.

And the main warning it received came through a letter from his activist investor Scott Galloway, a professor at NYU University, author, entrepreneur, and founder of the educational startup Section4.

In his letter to the Twitter board in December 2019 (https://www.profgalloway.com/twtr-enough-already), Galloway called directly to replace the company’s CEO and co-founder, Jack Dorsey, based among other reasons on the low financial results vis-a-vis similar companies; the exodus of high-level executives and the company’s lousy citizenship, allowing the spread of hate speech, false science and racism.

Galloway’s call resonates louder today, precisely because as he himself explains in dialogue with El Economista, his request to remove the company’s part-time CEO is ‘still firm, beyond the hack.’

And it is the hack, with its real and potential gravity, which exposes the seriousness with which companies, governments and the general community should take this issue. In the balance lies not only the performance of a company, but also security issues and even democracy.

In the exchange that follows, Galloway allows us to glimpse a path to reveal the real depth of the problem, and begin to solve it.

El Economista: In the past months, you have been very vocal about Twitter’s failure of leadership, with a ‘part-time CEO’, and other problems. Did you envision that such a scenario could unfold because of these failures, was this something that worried you in advance ?

Scott Galloway: I’m not as worried about hacks like this, as I am about the steady but much harder to detect foreign interference in our elections. Russia has been mobilizing bots to bolster #MAGA accounts. Their goal is social division, especially along racial lines. I’m concerned about the role Twitter has in social division, and the degree to which that is affected by foreign players.

EE: For what it looks like [at the closing of this edition, part of this information was being discarded], this might be an outside attack, but also there is indication of ‘inside participation’. This could mean the company was infiltrated, or that sufficient safeguards were not in place. Do you think that an ‘inside job’ is even worse than an outside attack ? That it could attest to a company out of control in some regards?

SG: No, it wasn’t an inside job, but it made use of weak company protocols. The hackers used logins that were easy to get on employee Slack channels. Twitter needs to be much more careful with user information, but this hack was more of a show than it was pernicious.

EE: If this thesis (Inside job, or participation) is confirmed, do you think it can be blamed on Twitter’s leadership, and specially it CEO? I mean this because it could mean that the organizational architecture failed at many levels, on a critical issue.

SG: The CEO is by default responsible for everything that happens in the company. Jack’s response was good, he took responsibility. I still believe a platform with such huge influence shouldn’t have a part-time CEO. I hope Jack will step down by the end of the year.

EE: It’s only a hypothesis, but I feel like this attack could have been much worse. I.e.: coordinated hacks with world leaders accounts ‘warning’ or ‘announcing’ military or economic actions against each other. We know military and security agencies are paying close attention to their commanders-in-chief issuing orders via this platforms. Do you think this scenario is possible? How would you address this problem, to prevent a catastrophe to happen in the future?

SG: Yes, that was the danger in this hack, that since our president is so volatile and unpredictable, that we could have a nuclear war started over a couple of tweets. We were on the brink of something like this last year, when he was taunting Kim Jong-Un. It was surreal to watch this play out over Twitter and to know the vast and irreparable consequences that a Twitter exchange could have.

EE: Do you think brands will take this hack as an advantage to further their so-called ‘boycott’ on social media, and now specifically on Twitter?

SG: Yes, it could be used as rationale against a Twitter boycott. But most brands don’t advertise on Twitter much, because the platform is so toxic, so driven by anger and outrage, that most brands don’t want ads next to a bunch of Russian bots. The bigger players in advertising are Facebook and Google, and it’s been great seeing brands step up and boycott them. Zuckerberg’s refusal to edit blatant lies in political advertising — while allowing political candidates to microtarget specific messages into very specific audiences that are most vulnerable to suggestion — is disastrous for our democracy. I’m also worried about the upcoming election and the fact that we haven’t seen enough assurance and effort being made by Twitter and Facebook that they are working to prevent the kind of cyber interference we had from Russia in 2016.

EE: Do you think Twitter could be facing legal action, since this was a fraud scam where actual money was involved?

SG: Yes, they are being investigated for it, and rightly so (link).

EE: As an ‘activist shareholder’, do you plan on calling again on Twitter’s leadership because of this attack, or redoubling your efforts concerning Mr. Dorsey’s job, and Twitter’s business model?

SG: I’m not planning to write or call for change based on the hack, because my previous call to replace Jack with a full-time CEO still stands. I still hope he steps down by the end of the year. A platform with such huge influence deserves a full-time CEO.

So, the way in which we have to think about Twitter from now on, cannot be anymore as simply “the blue bird’s network”. We have to see it from its position as an actor of strategic influence, a power factor and a dangerous tool, which can derail lives, businesses, economies, as well as the safety and well-being of millions of people.

This hack was just a shot across the bow. The next one could be for real. Let’s sum the power of this network to the collective stupidity of our world leaders, and we have a very real and close danger threatening our societies.

“[Twitter] will have to spend more on security. I don’t think the danger lies in the incompetence and unsustainable position that your CEO may spend his evenings running another company. The real danger is a President who has decided to govern through insecure channels”, closes Galloway.

He was right once. Please don’t make him right again.

 

Patricio Cavalli is a business advisor based in Buenos Aires, founder of Cavalli Insights and professor at UCEMA

Persona
Patricio Cavalli

Proximos Seminarios

Publicaciones

Programas relacionados