U.S. Markets open in 25 mins

Exclusiva: El ex jefe de seguridad de Facebook explica cómo la hipersegmentación amenaza la democracia

En octubre de 2018, Alex Stamos, que solo cuenta con un título de bachiller universitario en Ciencias de la Computación e Ingeniería Eléctrica, dio su primera conferencia académica.

Fue en la Sidney Drell Lecture, celebrada en la Universidad de Stanford, cuyo nombre hace honor a un especialista en física y control de armas. Se trata del evento más importante del año para el Centro de Seguridad y Cooperación Internacional de Stanford. Las cuatro personas que subieron al podio antes que Stamos fueron un ex director de la Agencia de Seguridad Nacional, dos Secretarios de Defensa de Estados Unidos, uno de los cuales aún se mantiene en el cargo, y Vint Cerf, el coinventor de la arquitectura de Internet.

A sus 39 años de edad, Stamos acaba de dimitir de su puesto como Oficial de Seguridad a cargo de Facebook. Fue el pasado mes de agosto, aunque nueve meses antes le habían restado gran parte de su autoridad en el trabajo. Stamos suele usar vaqueros, camisas de franela y mocasines Ecco, pero esa noche lució resplandeciente con su traje corporativo hecho a medida, un uniforme que aprendió a usar para transmitir una imagen más creíble en las reuniones del Comité de la Junta y las audiencias del Congreso.

“He mirado la sala y me ha quedado claro que existen algunas diferencias entre esta audiencia y las conferencias de hackers en las que me siento más cómodo hablando”, dijo nerviosamente al inicio de su discurso. “Las diferencias no se limitan a las credenciales académicas, son más evidentes por la cantidad de piercings en el cuerpo”.

Alex Stamos, entonces Jefe de Seguridad dela Información en Yahoo! Inc, a la izquierda, escucha a Craig Spiezle, a la derecha, Director Ejecutivo, fundador y presidente de Online Trust Alliance mientras testifica ante el Comité de Seguridad Nacional del Senado, el 15 de mayo de 2014 en Washington, DC. (Foto de Win McNamee/Getty Images)

A pesar de las incongruencias, Stamos fue la opción más obvia para el discurso, afirmó Amy Zegart, miembro principal de la Confederación Internacional de Sociedades de Autores (CISAC) y de la Institución Hoover. En su momento, Drell se dedicó a evitar el mayor desafío de seguridad nacional de la época, la guerra nuclear. Ahora, Stamos lucha contra una de las amenazas de seguridad más importantes de nuestra era: la guerra cibernética. Por eso pasó casi tres años intentando atraerlo a la universidad. Cuando finalmente estuvo disponible, Stanford improvisó un puesto interdisciplinario de política, investigación y enseñanza solo para él. No les importó que no tuviera títulos con los cuales adornar la pared de su oficina y que colgara en su lugar sus cinco patentes.

“Alex es una persona única en todos los sentidos”, dijo Nate Persily, profesor de derecho de Stanford que también dirige en la universidad el Proyecto sobre la Democracia e Internet. “Muy pocas personas poseen su profundo conocimiento sobre los múltiples desafíos que plantea la tecnología a la sociedad. Le dio una charla increíble a mi clase sobre el entorno en el que se desenvuelve la guerra de la información. Dijo: esto es lo que hace este país, esto es lo que hace este otro país. Toda la charla fue completamente nueva para mí. Te das cuenta de que maneja mucha información a la que muy pocas personas tienen acceso”.

“Sin pulir”

Así es el perfil de Stamos, un hombre complejo del que escucharemos hablar mucho en los próximos años. En los últimos tres meses, Yahoo Finanzas ha hablado con 19 personas que lo han conocido profesionalmente a lo largo de su carrera: en Facebook, durante su tormentoso mandato como Jefe de Seguridad de Información en Yahoo e incluso antes, cuando trabajaba como consultor externo para empresas como Microsoft, Google y Tesla. Algunos pidieron permanecer en el anonimato debido a las políticas de su empleador, los acuerdos de no divulgación, las órdenes de protección u otras razones. Durante ese mismo período, Stamos concedió tres entrevistas en profundidad: una en su pequeña oficina de Stanford, otra en un restaurante informal no muy lejos de su puesto de trabajo y la última en su espaciosa y ecléctica casa colonial de 3 millones de dólares situada en las colinas de una comunidad de Silicon Valley, pero le pidió a Yahoo Finanzas que no lo identificara.

Stamos no es precisamente un hombre tímido. Publica artículos de opinión, lanza tuits polémicos y pugilísticos a una legión de casi 48.000 seguidores y ahora tiene un espacio como analista de NBC. Sin embargo, es más conocido por su paso por Facebook, durante lo que se convirtió en un momento histórico de epifanía cultural. Estaba en la zona cero justo cuando el mundo libre comenzó a plantearse la misma pregunta con la que Persily tituló un artículo académico: “¿La democracia puede sobrevivir a Internet?”.

Dado que la guerra cibernética, las noticias falsas y la publicidad online siguen golpeando y amenazando nuestra cultura; Stamos también seguirá ocupando los titulares gracias a unas habilidades únicas que ha ido perfeccionando durante una trayectoria profesional irrepetible. Stamos también nos explicó sin pelos en la lengua por qué abandonó Facebook, los errores que cometió mientras trabajó en el gigante tecnológico, dónde se equivocan los críticos de Facebook y cuáles son las verdaderas amenazas a la democracia que representan las redes sociales. Apunta fundamentalmente a la “híper segmentación” opaca de los anuncios de campaña. De hecho, está menos preocupado por lo que hizo Cambridge Analytica en el pasado que por “las 20 Cambridge Analyticas que aún existen” y que siguen comprando legalmente sus datos a otras fuentes.

Sus colegas dibujan una imagen inspiradora, pero polarizada. De hecho, existe una razón por la cual Facebook empujó a Stamos hacia la puerta de salida. Algunos de sus colegas anteriores, incluyendo aquellos que aún lo veneran, reconocen que es “poco político”, “volátil”, “dogmático”, “un promotor de sí mismo”, “agotador”, “sin pulir”, “no es el mejor líder”, “de mal genio” y, sobre todo, “sin filtros”.

No obstante, algunos afirman que esas críticas son en realidad puntos fuertes porque le dan el coraje necesario para decirles la verdad a los poderosos.

Pero eso tiene un precio.

“En algunas situaciones carecía de habilidades políticas, por lo que no era tan eficaz como deseaba o debía ser”, afirmó alguien que trabajó con él en Facebook.

“Alex es muy inteligente y apasionado”, apuntó un ex alto funcionario de Yahoo, anteriormente la empresa matriz de Yahoo Finanzas pero que ahora es propiedad de Verizon Media. “Pero puede ser tan apasionado, exagerado y emotivo que le resultaba difícil distinguir las amenazas críticas de aquellas menos importantes. Eso representa un problema, sobre todo por la importancia de su rol”.

En sentido general, Stamos es más admirado en los círculos de seguridad de la información que en los entornos corporativos tradicionales. Básicamente, las personas que trabajan en la seguridad opinan que sabe contra qué se enfrenta, pero quienes se mueven en el mundo corporativo, para quienes la ciberseguridad es tan solo una de las muchas preocupaciones, piensan que es “inmaduro” y “no sabe trabajar en equipo”.

El hecho de que abandonara Yahoo iracundo, tras solo 14 meses, y que su estadía en Facebook terminara infelizmente, en realidad ha redundado en su favor en algunos sectores de la seguridad de la información. En enero de 2017, el influyente escritor de tecnología Cory Doctorow calificó a Stamos como un “canario de seguridad humano” porque, según Doctorow, renunció a Yahoo en vez de tolerar una conducta poco ética. Vale aclarar que un “canario de seguridad” es un guiño indirecto que realiza un proveedor de servicios de Internet a sus usuarios para indicarles que el FBI ha obtenido una orden judicial para vigilar sus cuentas, aunque la orden prohíbe alertar directamente al usuario.

En noviembre, la opinión de Doctorow encontró eco en The New York Times, cuando el diario publicó una profunda investigación sobre los intentos de Facebook de minimizar la explotación de Rusia de su plataforma para llevar a cabo acciones de interferencia electoral. Al inicio de la historia titulada “Retrasar, Negar y Desviar” se retrata a Stamos, que en ese momento acababa de abandonar la empresa, como uno de los pocos hombres buenos que hay.

Sheryl Sandberg, Directora de Operaciones de Facebook, testifica ante una audiencia del Comité de Inteligencia del Senado sobre operaciones de influencia extranjera en plataformas de redes sociales en Capitol Hill en Washington, Estados Unidos, el 5 de septiembre de 2018. REUTERS/Joshua Roberts

“‘Nos echaste a los leones’, le gritó Sheryl Sandberg, Directora de Operaciones de Facebook a Stamos”, cita el artículo, después de que este diera al Comité de Auditoría de la compañía una explicación sin adornos de la magnitud de la interferencia rusa. Stamos dijo que no recuerda esas palabras, pero una fuente de Facebook afirmó que los ejecutivos estaban “frustrados porque Alex no compartió sus conclusiones con los líderes, ni siquiera con su jefe superior o sus colegas antes de acudir a la junta”.

Sin embargo, otras personas del entorno corporativo reaccionaron de manera diferente al artículo.

“Le está haciendo a Sheryl lo mismo que le hizo a Marissa”, explicó una consultora corporativa, que casi grita por teléfono al hacer alusión a la ex Directora Ejecutiva de Yahoo, Marissa Mayer. Esa consultora había asesorado a Yahoo mientras lidiaba con las consecuencias de una intrusión patrocinada por un estado en 2014, una de las más grandes de la historia. Esa irrupción, que se produjo bajo la custodia de Stamos pero no se reveló hasta septiembre de 2016, mucho después de su partida, dejó a la compañía inundada de demandas colectivas y sometida a varias investigaciones dirigidas por la Comisión de Valores y Bolsa, el Departamento de Justicia y el fiscal general del estado. La ex Directora Ejecutiva, Mayer, declaró ante el Congreso en noviembre de 2017 que se había enterado del robo de datos, que se estima afectó a 500 millones de cuentas de usuarios, casi dos años después de que ocurriera.

Sin embargo, en abril de 2018 una investigación de la Comisión de Bolsa y Valores determinó que Stamos y su equipo informaron a “los altos cargos y equipos legales de Yahoo” sobre el robo de contraseñas “en cuestión de días” después de haberlo descubierto, en diciembre de 2014. Una investigación independiente de la junta concluyó algo más turbio, pero reconoció que, en marzo de 2017 el grupo de Stamos había proporcionado al “equipo legal… información suficiente para justificar una investigación adicional importante en 2014”, aunque el equipo legal “no lo investigó lo suficiente”.

Crédito: David Foster/Yahoo Finanzas

Stamos considera que su salida de Yahoo fue por una cuestión de principios, pero no ve su salida de Facebook de la misma manera. Ofrece un punto de vista diferente sobre los errores que ha cometido la compañía en los últimos años, pero en sentido general la defiende más de lo que la critica. También describe su salida de Facebook en términos melancólicos, admitiendo haber jugado mal sus cartas. Facebook se negó a participar en este artículo, solo le envió a Yahoo Finanzas una declaración emitida por el Director de Operaciones Sandberg cuando se anunció la partida de Stamos el pasado mes de abril: “Alex ha desempeñado un papel importante en la manera en que abordamos los desafíos de seguridad y nos ayudó a establecer relaciones con diferentes colaboradores para abordar mejor las amenazas a las que nos enfrentamos. Sabemos que será un gran activo para el equipo de Stanford y esperamos poder colaborar con él en su nuevo rol”.

Aunque el contrato de indemnización de Stamos contiene una cláusula de no descrédito, afirma que ha recibido un permiso por escrito del asesor general de Facebook que le permite hablar libremente sobre su trabajo en la empresa. Reconoce que el instituto de investigación que ahora está lanzando en Stanford y que está centrado en el vínculo entre las redes sociales y las elecciones, podría pedirle a Facebook que lo financiara, de la misma manera en que solicitará fondos de otras compañías y organizaciones sin ánimos de lucro.

En Facebook, Stamos jugó mal sus “cartas de Juego de Tronos”, afirmó. No se debió únicamente a que enajenó a Sandberg, el Gerente de Operaciones, o al Director Ejecutivo Mark Zuckerberg, sino que con su falta de tacto y astucia ofendió a diferentes personas situadas en otros niveles. Cree que esas personas, que llevaban más años trabajando en la compañía, podían llegar a Zuckerberg y tenían su confianza, una opinión que comparte otro empleado de Facebook que trabajaba allí en aquel momento.

Stamos confesó: “Una crítica legítima que me han hecho es: ‘Alex, no puedes tener siempre la razón’. No ascendí en el mundo corporativo. Mi trabajo como consultor consistía en ser 100% honesto. Quienes trabajan en el mundo corporativo aprenden a desarrollar una actitud pasivo-agresiva, ¿verdad? No se enfrentan cara a cara con la gente. Nunca he desarrollado esa habilidad. Así que les causé enfado”.

Las cartas de la NSA

Stamos nació en Fair Oaks, un suburbio de Sacramento, en febrero de 1979. Es hijo de un ortodoncista y una ama de casa. Su abuelo, de origen griego, era hijo de un pastor. Emigró del este de Chipre después de la Segunda Guerra Mundial con apenas el quinto grado, pero Stamos cuenta que consiguió un trabajo como liniero en AT&T y en la década de 1990 había llegado a ser gerente de ingeniería en la oficina de PacTel en Sacramento.

Tanto en las clases como en las entrevistas para este artículo, Stamos habla muy rápido, a veces en ráfaga, de manera que sus palabras se vuelven tan compactas que resultan ininteligibles. Habla de la seguradinformacio (seguridad de la información), de los dispositUSP (dispositivos USB) o de la direcausraliaseñal (la Dirección de Señales de Australia, su NSA, básicamente). Al mismo tiempo, olvida que un oyente no puede procesar instantáneamente todos los acrónimos y nombres de código que salpican sus narrativas: PLA, FSB, SVR, GRU, APT1, ECPA, Aurora, Lázaro…

“Tenía siete u ocho años cuando tuvemicomder64”, es decir, “cuando tuvimos un Commodore 64”. Utilizó el módem de acceso telefónico de la familia para acceder al BBSes, un servicio de tablón de anuncios. “En esos grupos fue donde aprendí una especie de hackeo prematuro. Se trataba de tomar el control de los foros o entrar en los servicios de tablón de anuncios de las personas y cosas por ese estilo”.

Nada malicioso. “Pero cuando eres un adolescente”, continúa, “si te interesa ese tipo de cosas, no tienes una salida legítima, ¿verdad?”.

Alex Stamos, con unos 8 años de edad, junto a su hermano menor, Peter. Foto cortesía de Alex Stamos.

Como la mayoría de las personas de su generación que se interesaron por la seguridad, Stamos es fundamentalmente un autodidacta, aprendió con sus colegas. Hay que recordar que el sector de la seguridad tiene apenas unos 30 años ya que la mayoría de los entendidos vincula su origen a la aparición del gusano Morris en 1988. Mientras Stamos crecía, no solo no existían cursos formales sobre seguridad informática sino que la tecnología estaba evolucionando tan rápido que los libros no podían seguirle el paso.

Sus habilidades comenzaron a llamar la atención mientras cursaba el último año de escuela secundaria. Cuenta que recibió una carta inesperada de la Agencia de Seguridad Nacional en la que le ofrecían una beca universitaria completa a cambio de un compromiso similar al que les brindan a los miembros del Cuerpo de Capacitación de Oficiales de la Reserva, para que luego trabajara para ellos.

“Fue algo aterrador”, contó, “porque no tenía idea de cómo me encontraron”. Rechazó la oferta y se inscribió en la Universidad de California en Berkeley. Valoró Stanford, pero eligió la Universidad de California por el ambiente y porque le ofrecieron una beca completa. Mientras Stanford parecía “tranquilo y relajado”, el campus de Berkeley era “un caos total”, contó. “Crecí en un suburbio, así que tomar la decisión fue fácil”.

En la universidad finalmente recibió una instrucción formal en informática. Pero el aprendizaje entre compañeros en las conferencias de hackers a las que asistía fue crucial. Jeff Moss, también conocido como The Dark Tangent, lanzó la primera conferencia DEF CON en 1993, a la cual asistieron alrededor de 100 personas, según Moss. Como indicador de cuanto ha crecido esta comunidad, basta saber que la conferencia que se celebró en 2018 atrajo a 28.000 participantes.

Personas caminando sobre un gráfico en el suelo durante la convención de hackers Def Con en Las Vegas, Nevada, Estados Unidos, el 29 de julio de 2017. REUTERS/Steve Marcus

En el verano de 1997, justo antes de que Stamos comenzara la universidad, su padre lo llevó a DEF CON 5, la primera conferencia para Stamos, en Las Vegas. De hecho, Stamos ni siquiera tenía edad legal para alquilar una habitación.

Sin embargo, en aquel momento DEF CON había dejado atrás su infancia. Las grandes empresas como Microsoft y las agencias gubernamentales habían comenzado a enviar empleados a la convención. Al ver una oportunidad de negocio, Moss comenzó una segunda serie, más cara, llamada Black Hat Briefings, que se enfocó en ese público. Más tarde, cuando Stamos tuvo sus propios ingresos, también asistió a esos eventos. Vale aclarar que, aunque Moss vendió Black Hat en 2005, aún dirige DEF CON. También desempeña otros roles, lo cual indica cuán importantes fueron esas conferencias. A sus 44 años de edad, Moss es miembro del Consejo de Relaciones Exteriores, la Iniciativa del Cyber Statecraft del Consejo del Atlántico y el Consejo Asesor de Seguridad Nacional de Estados Unidos.

Los hackers “aprenden mientras comen”

Tras graduarse en 2001, Stamos empezó a trabajar en un puesto de seguridad en LoudCloud, una empresa pionera de computación en la nube. Allí, trabajó con una boutique de seguridad exterior llamada @stake, una de las dos empresas líderes de la época. Cuando LoudCloud se dividió en 2002, Electronic Data Systems compró la mitad de Stamos y Joel Wallenstrom de @stake lo reclutó para que se sumara a su equipo.

“Para tener éxito en @stake necesitabas ser una navaja suiza en todas las áreas de la informática. Eso fue lo que catapultó a Alex al éxito. Él sabe de todo un poco, desde cómo construir sobre el metal puro hasta cómo usar cualquier tipo de servicio en la nube que puedas imaginar”, recordó Wallenstrom, quien ahora es Director Ejecutivo de Wickr, una aplicación de mensajería con un sólido encriptado.

Stamos continuó su educación en @stake.

“Aprendíamos mientras comíamos”, recordó Katie Moussouris, quien trabajó allí al mismo tiempo que Stamos. Algunas de las mejores mentes de la piratería informática del país compartían sus conocimientos. Más tarde, Moussouris se trasladó a Microsoft y ahora dirige su propia firma, llamada Luta Security. Se ha convertido en una autoridad reconocida a nivel nacional en el área de la recompensa de errores, un sector en el que se diseñan programas a través de los cuales las compañías o agencias ofrecen recompensas a los hackers por informar de forma responsable sobre las vulnerabilidades en su infraestructura. Moussouris ha diseñado programas de este tipo para el Departamento de Defensa, incluido “Hack the Pentagon” (“Piratea el Pentágono”).

El mayor cliente de Stamos en @stake fue Microsoft. “Fue una experiencia increíble. Tuvimos que trabajar en XP SP2 y Windows 2003, que fueron los primeros intentos de Microsoft por solucionar los problemas de seguridad que llevaban acumulando durante una década”, recordó.

En 2004, Symantec, que luego se vio envuelta en una disputa legal con Microsoft, compró @stake. “Ese día Microsoft echó a mi equipo del campus” para evitar posibles conflictos, recordó Stamos.

Fue una gran oportunidad. Él, Wallenstrom y otros tres @stakers se separaron para fundar su propia boutique, llamada iSEC, con Microsoft como cliente ancla. Otro de sus primeros clientes fue Google, que ese año lanzó un producto llamado Gmail.

Durante ese renacer, Bliss se convirtió en el friki de la seguridad informática. El comercio electrónico interactivo, o Web 2.0, aún estaba dando sus primeros pasos. “Así que descubrieron e investigaron muchos de los problemas de seguridad inherentes a ese modelo”, dijo Heather Adkins, quien se unió a Google en 2002 y ahora es su Director de Seguridad y Privacidad de la Información. “Alex y el equipo que construyó estuvieron a la vanguardia de la investigación y la lucha contra esos problemas”.

iSEC fue una startup clásica, formada por entre 20 y 30 personas que ni siquiera podían pagar una oficina. Stamos se casó en 2003 y el armario de su esposa duplicó su tamaño a la par del armario de servidores de la empresa. De hecho, recuerda haber cubierto un servidor con un zapatero para amortiguar el ruido que hacía durante la noche. En la actualidad, Stamos y su esposa, quien es profesora, tienen dos niños y una niña de 11, 9 y 7 años, respectivamente.

Ahora que interactuaba directamente con los clientes, Stamos se vio obligado a dominar los desafíos interpersonales que representaba su trabajo. Siempre portaba malas noticias. Los consultores de seguridad tenían que advertirles a los clientes de los principales riesgos que corrían, a menos que invirtieran grandes sumas de dinero en parches.

“Nos dedicamos a decirle a la gente que sus bebés eran feos”, dijo Wallenstrom. “Alex era bastante bueno en eso”.

Stamos comentó que, si hubiera nacido niña, su madre la habría llamado Cassandra. En la mitología griega, Cassandra era una vidente que hacía profecías precisas sobre la fatalidad que nadie quería escuchar.

Aurora: una intrusión patrocinada por el estado chino

A lo largo de los años, iSEC sumó más clientes de clase alta como Oracle, Bank of America, JPMorgan Chase, Tesla y Facebook. Las tareas de Stamos fueron más allá del trabajo con el malware y las pruebas de penetración y se orientaron a problemas más importantes sobre políticas públicas. En 2010, cuando Google tuvo problemas con las autoridades europeas por la privacidad debido a sus prácticas de recopilación de datos a través de Street View, contrató a Stamos para supervisar la destrucción forense de los archivos ofensivos. “Una trituradora que pueda destruir un disco duro es una máquina realmente aterradora”, apuntó Stamos.

En 2009 vivió su primera experiencia con las intrusiones patrocinadas por el estado. Google descubrió que había sido objeto de una serie de ataques, ahora conocidos como Operación Aurora, por un equipo de hackers chinos muy persistentes. Años más tarde, la firma de seguridad Mandiant identificó que provenían de dos unidades del Ejército Popular de Liberación de China. Google, quien reveló públicamente los ataques en enero de 2010, también se dio cuenta de que los intrusos se habían infiltrado en al menos otras 20 compañías. Adkins de Google compartió los nombres de muchas de esas compañías con Stamos para ayudar, dijo.

Esos trabajos llevaron a Stamos al Centro Nacional Antiterrorista en Liberty Crossing, Virginia. “Hicimos una reunión informativa con la DNI, la oficina del Director de Inteligencia Nacional, sobre lo que habíamos aprendido de las tácticas chinas”.

Desde su postura perspicaz, ¿los hackers patrocinados por el estado eran una maravilla digna de admirar? Cree que en realidad se trata de una percepción errónea. No son precisamente “muy superiores al resto de los adversarios”, explicó. “La gran diferencia es que en su caso el ataque no tiene que ser económicamente viable o terminar con una monetización. Así que pueden dedicar meses a entrar en una empresa sin tener un objetivo claro”.

En esta foto tomada el viernes 8 de junio de 2012, Alex Stamos, entonces Director de Tecnología de Artemis Internet, una compañía del Grupo NCC, posa junto a un cartel con el nombre del dominio en sus oficinas en San Francisco. (Foto AP/Eric Risberg, Archivo)

A finales de 2010, NCC Group, una firma de seguridad británica, compró iSEC, pero el grupo continuó operando como antes. Luego, en 2012, Stamos lanzó una ambiciosa startup interna dentro de NCC llamada Artemis Internet. Quería crear una especie de comunidad cerrada dentro de Internet con estándares de seguridad muy elevados. Esperaba obtener el permiso para usar “.secure” como dominio y luego exigir que todos los que lo usaran cumpliesen con sus exigentes estándares de seguridad. La ventaja para los participantes era que sus clientes estarían seguros de que su compañía era lo que decía ser, no un sitio falso, y que protegería sus datos lo mejor posible.

Sin embargo, el proyecto fracasó. Artemis fue superada en la puja por el dominio “.secure” y, lo que fue aún peor, hubo poco entusiasmo comercial por el proyecto.

“La gente no estaba tan interesada en pagar un extra por un registrador de nombres de dominio que podría sacarlos de Internet si fallaban una prueba de conformidad”, observó Moussouris de Luta Security.

De Edward Snowden a Aaron Swartz

En junio de 2013, el ex empleado del gobierno Edward Snowden filtró información altamente clasificada de la Agencia de Seguridad Nacional, y esta comenzó a aparecer en artículos de diarios como The Guardian, The Washington Post, Der Spiegel y The New York Times.

Las revelaciones sacudieron el mundo tecnológico y abrieron una grieta de desconfianza entre Silicon Valley y la comunidad de inteligencia de los Estados Unidos. Más allá del problema en torno a la libertad civil que planteó la vigilancia de los ciudadanos estadounidenses, las compañías tecnológicas se sorprendieron de que la NSA hubiera pasado años explotando las vulnerabilidades de su infraestructura en vez de informarlas rápidamente para poder corregirlas.

Stamos se encontraba entre esas personas indignadas. “Los documentos de Snowden demostraron que todo lo que les importaba era recopilar información acerca de los enemigos de Estados Unidos. No les interesaba lograr que la tecnología estadounidense o las compañías fueran más seguras”.

Para ser claros, su reacción tuvo ciertos matices. “No estaba simplemente en contra de la policía”, apuntó. Como consultor, había ayudado a recopilar pruebas que se utilizaron para procesar a los “malos”.

Aaron Swartz posa en Borderland Books en San Francisco, el 4 de febrero de 2008. REUTERS/Noah Berger

De hecho, también lo contrataron como experto en defensa en un par de casos importantes en el mundo de la piratería, incluido el sumamente controvertido proceso penal federal contra Aaron Swartz, quien ayudó a crear Reddit. En enero de 2013, Swartz, que se enfrentaba a cargos por delitos graves por haber irrumpido en los servidores del MIT en un intento por crear un archivo gratuito en Internet de revistas científicas, se ahorcó. Tenía tan solo 26 años.

Stamos acudió al funeral de Swartz en Chicago. Cuenta que “escuchar los lamentos de su madre lo radicalizó”.

En diciembre de 2013, mientras luchaba contra esas emociones e impulsos conflictivos, pronunció una charla en DEF CON 21 que llamó: “El dilema del Sombrero Blanco”. Habló sobre el juramento hipocrático que realizan los médicos desde hace más de 2.000 años.

“Fueron los primeros sacerdotes científicos, ¿verdad? […]. Utilizaron la observación y el conocimiento para curar a las personas, y eso los llevó a ocupar una posición de poder en la sociedad, y los médicos decidieron […] que eso les confería cierto tipo de responsabilidad. Somos el sacerdocio tecnológico del siglo XXI, o quizás del tercer milenio. Todos aquí han reparado las computadoras de su familia”, señaló en su charla. “Cada vez que lo haces, te recuerda la increíble complejidad del mundo que subyace en nuestras actividades cotidianas y que la mayoría de la gente no comprende. Pero lo hacemos. Tal vez eso nos ata a las mismas obligaciones morales que los médicos han tenido siempre”.

Al final de la charla, planteó una serie de hipótesis en las que un jefe pedía a un oficial de seguridad que traicionara sus convicciones éticas. Un ejemplo fue: supongamos que encuentras un mecanismo secreto de “recopilación de datos” en la infraestructura de tu empresa y tu jefe le ordena que te “olvides del asunto”.

Para cada caso hipotético brindó una serie de posibles respuestas. Es revelador que la respuesta correcta nunca era hacer lo que te ordenaban.

Tres meses más tarde se convirtió en Oficial de Seguridad de la Información en Yahoo.

Los ruinosos acueductos de Roma

A principios de 2014, Stamos era una figura importante en la comunidad de seguridad. Ofrecía conferencias con frecuencia, tenía un número creciente de seguidores en Twitter y estaba escribiendo un blog influyente llamado Unhandled Exception, cuyo nombre refiere a una falla de software que no se ha corregido.

Cuando Artemis fracasó y no pudo tener el nombre de dominio “.secure”, Stamos buscó un nuevo desafío. Ansiaba ensuciarse las manos.

“Tanto como consultor como comentarista, pasé años quejándome de lo que hacían los demás”, recordó. “‘Oh, Dios mío, mira cómo se ha equivocado esta gente. Qué estúpido’. Empecé a darme cuenta de que las quejas no son útiles a largo plazo. Alguien tenía que asumir la responsabilidad de hacer las llamadas difíciles. Acepté ese trabajo en Yahoo, entre otras razones, para poder ver lo que ocurría entre bambalinas”.

Cuando se unió a Yahoo, en marzo de 2014, algunos miembros de la comunidad de seguridad se sorprendieron al ver que había aceptado el trabajo. Yahoo tenía una infraestructura antigua fundada en 1994, lo cual significa que era más difícil de proteger y, en aquel momento, se había descuidado mucho. “Era como los ruinosos acueductos de Roma”, contó Moussouris, de Luta Security. “Asegurar aquella infraestructura requeriría años de trabajo”.

La entonces Directora Ejecutiva de Yahoo Inc., Marissa Mayer, llega a la Casa Blanca para asistir a una reunión de líderes empresariales con el Presidente Barack Obama y el Vicepresidente Biden en la Casa Blanca en Washington, el miércoles 28 de noviembre de 2012. (Foto AP/Jacquelyn Martin)

Aunque el equipo de seguridad de Yahoo había sido muy respetado desde principios hasta mediados de la década del 2000, cuando los miembros recibieron el glorioso apodo de Los Paranoicos, aquello era agua pasada. La compañía había atravesado una contracción, dificultades financieras y agitación interna. Cuando Marissa Mayer asumió el cargo en julio de 2012, fue la quinta Directora Ejecutiva de la compañía en tres años. Al comienzo de su mandato, en enero de 2013, despidió al Oficial de Seguridad de la Información de Yahoo en ese momento y no lo reemplazó durante 14 meses, hasta que contrataron a Stamos.

“No tener un Oficial de Seguridad de la Información al mando fue increíblemente perjudicial”, diría más tarde un miembro de su equipo de seguridad, Ramses Martínez, que testificó en un litigio que surgió de las violaciones de datos que sufrió la compañía tiempo después. Durante ese periodo su seguridad se hundió a niveles “deplorables”, afirmó. Sin nadie al mando, Los Paranoicos se fueron desintegrando y pasaron de ser 62 a 43, según las cifras que luego salieron a la luz en la demanda. Martínez, quien se fue a trabajar a Apple en agosto de 2015, no respondió a nuestros mensajes.

Ahora sabemos que en agosto de 2013, siete meses antes de la llegada de Stamos, la compañía fue víctima de la intrusión más grande de la historia informática en la que se vieron comprometidas 3 mil millones de cuentas. Fue una intrusión diferente de la que patrocinó un estado de 2014, en esta ocasión se cree que afectó a 500 millones de cuentas. Aún no se conoce la identidad de los hackers responsables del ataque de 2013. Las repercusiones del ataque de 2013 se exacerbaron debido a que en aquel momento las contraseñas personales seguían siendo cifradas con una tecnología obsoleta, hash MD5, que se decodificó fácilmente utilizando la potencia de procesamiento disponible. Poco después Yahoo mejoró la encriptación de contraseñas. De hecho, todas las descripciones de los problemas de seguridad de Yahoo que aparecen en este artículo son meramente anecdóticas, ya que durante los años siguientes tanto Yahoo como Verizon Media, cuya empresa matriz adquirió la compañía en junio de 2017, realizaron numerosas actualizaciones de seguridad.

Sin embargo, Stamos también se unió al equipo de Yahoo en un momento de optimismo. “Me uní a lo que puedes llamar el final del principio de la época de Mayer en Yahoo”, contó Stamos. “Marissa trajo toda esta emoción”.

“Parte de mi trato fue que podría invertir en contratar a buenos profesionales”, continuó. Y durante varios meses lo hizo.

Pero en septiembre de 2014 el inversionista Starboard Value compró gran parte de la compañía y exigió a Mayer que encontrara inmediatamente una manera de monetizar el valor para los accionistas. De repente todo cambió, dice Stamos. Era difícil contratar, se realizaron despidos furtivos y no pudo usar los recursos asignados.

Además, los desafíos técnicos resultaron ser mayores de lo previsto. “Había partes de la red que ya nadie sabía cómo funcionaba”, contó. “Las personas que la construyeron también se habían ido o jubilado”.

La falla más importante es que no había un sistema de detección de intrusos, un detalle que consideraba “básico” para proteger a una importante empresa tecnológica en 2014. “No había manera de saber si alguien había accedido a alguna computadora o rastrear la presencia de los ‘malos’ en la red”.

Cuando llegó, Yahoo estaba teniendo un gran problema con los “robos de cuentas”, una situación en la que los spammers enviaban anuncios que parecían provenir de las cuentas de correo de Yahoo de los usuarios. Ahora Stamos cree que esos problemas se debieron a la intrusión de 2013.

“La evidencia estadística mostró que se produjo una violación de las contraseñas”, relató. “Hubo un precipicio en este gráfico que nos indicó que ese fue el punto en el que se cortó el acceso a las contraseñas a los atacantes”.

Pero no hubo pruebas contundentes. Dice que en ese momento discutió el asunto con el abogado general Ron Bell, pero se niega a dar más información al respecto debido a que Yahoo invocó el privilegio abogado-cliente en lo referido a esas conversaciones en litigios posteriores.

Al no poder invertir en un sistema de detección de intrusos de última generación, el equipo de Stamos hizo malabares para mejorar la seguridad. Usando lo que tenían a su alcance, hurgaron en la red para ver si algún atacante había aprovechado un error de software llamado Shellshock que era muy común en aquella época. Entonces encontraron algo raro.

El 9 de octubre el equipo de respuesta a incidentes dirigido por Martínez identificó el problema. Los hackers habían accedido al sistema. Habían localizado y atacado la herramienta de administración de cuentas de Yahoo y la estaban utilizando para realizar redadas quirúrgicas en las cuentas de correo electrónico de objetivos específicos: periodistas rusos, funcionarios del gobierno ruso, industriales rusos, etc. “Siberia” fue el nombre en clave que usó el equipo para ese ataque.

Hasta noviembre, al menos 26 cuentas estaban comprometidas, además de la de Directora Ejecutiva Mayer y Stamos. Yahoo notificó al FBI junto a esas 26 víctimas en diciembre, pero no realizó una divulgación más amplia. Durante ese periodo el equipo de seguridad facilitó numerosos informes a altos funcionarios de Yahoo, un hecho que nadie pone en discusión.

Mientras tanto, el equipo de Stamos estaba luchando por sacar a los hackers del sistema. “Creo que el trabajo para investigar y reparar la brecha de seguridad fue uno de los mejores que he hecho en mi carrera”, confesó. “Nos entregaron una red que no contaba con ninguna de las protecciones estándar que cabría esperar de una red de ese nivel en 2014. Algunas de las contraseñas del servidor interno no se habían cambiado en 15 años. Los hackers se apropiaron de la contraseña de Filo, que debe su nombre al cofundador de Yahoo, David Filo, la cual permitía acceder a una puerta trasera que brindaba el ingreso a cada servidor. Tampoco había datos de flujo de red disponibles y la gestión de la configuración era horrible.

“Para sacarlos de la red”, explicó, “tuvimos que cambiar partes masivas de la red mientras estaba funcionando. Durante un fin de semana de diciembre, finalmente pudimos poner todo en su lugar y cambiar por completo las partes principales del funcionamiento de Yahoo. Pensé que existía una posibilidad de que hiciéramos caer todo Yahoo mientras lo hacíamos, pero no ocurrió. Así que estoy muy orgulloso del equipo”.

La gran exfiltración: Aleksey Belan y los 30 millones de cookies falsificadas

El miércoles 10 de diciembre de 2014 ocurrió un evento crucial que agravó aún más la situación. Ese fue el evento al que se referían Mayer y otros altos cargos cuando afirmaron que no se les había informado hasta dos años después, cuando Stamos ya se había ido. Los Paranoicos descubrieron que, a principios de noviembre, los atacantes habían copiado y transferido (exfiltrado) a un servidor fuera de Yahoo al menos una parte de la base de datos de usuario (UDB) de respaldo que almacena grandes cantidades de información personal de los usuarios.

Ese mismo día, a las 5:03 PM, Stamos envió por correo electrónico una “presentación del incidente” a cinco abogados internos de Yahoo, incluido el abogado general Bell, según un correo electrónico publicado posteriormente en el litigio. La presentación completa, una serie de diapositivas preparada por el jefe de respuesta a incidentes Martínez, aún se encuentra bajo secreto de sumario. Pero los extractos citados en los registros son claros y contundentes: “en el mejor de los casos, es probable que se hayan comprometido 108 millones de credenciales de la UDB, en el peor de los escenarios podría tratarse de todas las credenciales que se almacenaban en la UDB”.

Stamos, que pasó más de un mes intentando programar una reunión cara a cara con Mayer para hablar sobre la intrusión, finalmente se reunió con ella la noche siguiente, según revelan los intercambios de correos electrónicos. Tras la reunión, envió un correo electrónico al consejero general Bell, que estaba fuera de la ciudad, con el objetivo de concertar una llamada para informarle sobre los pasos a seguir. Bell prometió llamarlo tan pronto como llegara a San Francisco.

Stamos dice que se realizaron muchas reuniones informativas pero que no puede recordar los detalles de las conversaciones en particular. Él y Martínez también informaron al Comité de Auditoría de la junta de Yahoo sobre la intrusión en abril y junio, de acuerdo con las actas en las que no se indican detalles.

Stamos dice que la alta dirección, incluida Mayer, “sabía todo lo que sabíamos. No escondimos nada”. El testimonio de Martínez concuerda con él.

Yahoo no divulgó públicamente la exfiltración de los datos, ni pidió a sus usuarios, aparte de los 26 objetivos conocidos, que cambiaran sus contraseñas.

“No estuve de acuerdo con eso”, indicó Stamos, “pero no era mi decisión. Y no me culpé por ello. Consideré que mi trabajo se limitaba a vencer a los malos”.

Esta imagen proporcionada por el FBI muestra el anuncio de “búsqueda y captura” de Alexsey Belan. (FBI vía AP)

A pesar de los esfuerzos de su equipo, ahora sabemos que no logró perseguir a los hackers fuera de la red de Yahoo. Según una acusación federal no sellada de marzo de 2018, los “atacantes” en realidad era un joven de 27 años muy hábil llamado Alexsey Belan. Nacido en Riga, Letonia, y ciudadano ruso. Ya había sido acusado en ausencia dos veces en Estados Unidos por intrusiones anteriores en sitios de comercio electrónico. También había estado en la lista de los hackers “más buscados” del FBI y fue objeto de un Aviso Rojo de Interpol desde 2012.

Belan estaba trabajando bajo las órdenes de dos oficiales del Servicio Federal de Seguridad (FSB) ruso, un descendiente del KGB soviético. Al mismo tiempo, según la acusación, parece que el FSB permitió que Belan se recompensara por su trabajo de inteligencia saqueando la red de Yahoo para obtener ganancias personales, sembrando un gran caos digital que incluía el robo de tarjetas de crédito, los programas de envío de correo no deseado y el desvío de búsquedas a sitios falsos.

En abril de 2015, Belan, que había usado un software “limpiador de registro” para cubrir sus huellas, regresó a la red para atacar varias cuentas por orden del FSB, aunque también buscaba números de tarjetas de crédito de otros usuarios. En junio, el mes en que Stamos dejó Yahoo para irse a Facebook, Belan instaló un script malicioso en la red que podía falsificar cookies en masa, que luego utilizó para realizar una exfiltración de datos fuera de la empresa. Con las cookies, un software instalado en el navegador de un usuario que indica que alguien ha visitado un sitio anteriormente, podía ingresar sigilosamente a cuentas específicas sin una contraseña. En julio, hizo 17.000 cookies de ese tipo y enseñó a su contacto del FSB cómo usarlas. En agosto, robó y exfiltró el código fuente de Yahoo para hacer cookies, lo que le permitió, así como al FSB, extraer las cookies fuera del sitio. Todo parece indicar que crearon 30 millones de cookies, las cuales se replicaron en datos criptográficos en la base de datos exfiltrada de los usuarios. Si se hubieran cambiado las contraseñas, esas cookies no habrían funcionado, indica la acusación.

Usando cookies, Belan siguió accediendo a las cuentas de docenas de objetivos del FSB, como un reportero de investigación del Kommersant Daily, un funcionario del Fondo Monetario Internacional, un funcionario de juegos de Nevada, hasta octubre de 2016, un mes después de que Yahoo revelara la intrusión de 2014.

A menudo, cuando Belan ingresaba a una cuenta de Yahoo, encontraba información relacionada con otras cuentas online de los usuarios. El FSB contrató a un segundo hacker, un canadiense llamado Karim Baratov, para que usara esa información para ingresar a las otras cuentas de sus objetivos, principalmente a Gmail. Baratov fue arrestado en Canadá en marzo de 2018 y extraditado a Estados Unidos. Ahora cumple una condena de cinco años de prisión. Sin embargo, Belan sigue en libertad.

Yahoo dio a conocer la brecha de seguridad de 2014 en septiembre de 2016 y la brecha de 2013 en diciembre de 2016. La compañía fue sometida a una presión legal después de que sacaran a la venta datos de cientos de millones de cuentas en la Internet profunda. La Comisión de Valores y Bolsa de Estados Unidos multó a Yahoo con 35 millones de dólares en abril de 2018 por no haber revelado antes la brecha de 2014 y la compañía aún está negociando para resolver la última de las acciones colectivas, un proceso que ya le han costado más de 80 millones de dólares. El entonces abogado general de Yahoo, Bell, renunció en marzo de 2017 a su indemnización y perdió millones de dólares. La junta también le negó a la entonces Directora Ejecutiva, Mayer, un bono en efectivo por valor de hasta 2 millones de dólares, y ella accedió voluntariamente a renunciar a un premio en acciones en 2017, que se reportó ascendía a 12 millones de dólares. Mayer y Bell no respondieron a nuestros correos electrónicos, y un abogado de Bell declinó hacer comentarios.

El módulo de núcleo

A inicio de 2015, menos de un año después de su llegada, Stamos se empezó a frustrar en Yahoo. Todavía no había podido implantar un sistema de detección de intrusos.

En febrero, le envió un correo electrónico a su jefe, Jay Rossiter, el entonces vicepresidente de ciencia y tecnología de la compañía. Se quejó de que había perdido a siete personas, el 11% de su plantilla, debido a los recortes. Esos recortes dejaron a su equipo “muy por debajo de lo que necesitaba, con el personal mínimo necesario para proteger a Yahoo ante una amenaza en el entorno actual”, advirtió en el correo electrónico que salió a la luz durante el litigio. “Tendremos que hacer futuras revisiones de seguridad de productos y proveedores que Los Paranoicos no pueden revisar, por favor haga que su L2 acepte el riesgo’”. Los L2 eran los principales funcionarios que respondían directamente ante Mayer, como Rossiter, con quien no se pudo contactar para entrevistarlo.

Stamos dijo que en ese momento el jefe de seguridad de Facebook, Joe Sullivan, le invitó a comer. Sullivan lo conocía desde que realizaba trabajos de consultoría para Facebook cuando aún estaba en iSEC. Sullivan le dijo que se iba a cambiar de trabajo y le sugirió que solicitara su puesto en Facebook. Stamos dijo que mantuvo algunas conversaciones preliminares pero que en ese momento no estaba preparado para dar el paso.

Recuerda que la gota que colmó el vaso llegó en mayo. Su equipo encontró lo que él llama un “módulo de núcleo” o “rootkit” en los servidores de correo de Yahoo, un software que proporciona acceso al ordenador de manera oculta. “Al inicio, pensamos que los rusos habían vuelto”.

Sin embargo, descubrió que quienes habían colocado el dispositivo eran ingenieros de la unidad de correo que aparentemente cumplían con una orden judicial de vigilancia. El dispositivo buscaba una cadena de caracteres en particular en los correos electrónicos, de acuerdo con un relato posterior de Reuters.

Stamos estaba furioso porque todo había sucedido a sus espaldas. Afirma que los ingenieros lo hicieron de una forma que “creó una vulnerabilidad de seguridad”. Sospecha que lo mantuvieron al margen porque los directores temían que los instara a enfrentarse a la orden de vigilancia.

“Creo que fue una decisión intencional. Marissa tomó esa decisión”, dijo.

Por otro lado, una persona familiarizada con lo que sucedió ofreció el punto de vista de Yahoo. Sostuvo que Yahoo siempre fue diligente en lo que se refiere a proteger la privacidad de sus usuarios. Sin embargo, en este caso particular, no solo cumplió con una solicitud legal, sino que la compañía creía que se trataba de un asunto excepcionalmente urgente e importante. Su puesta en práctica fue sencilla y la llevó a cabo el equipo que siempre trabajaba con esos temas, afirmó dicha persona.

En cualquier caso, Stamos notificó que abandonaba la compañía con 30 días de antelación.

“Pensaba: ‘¿en serio?’”, contó. “¿Cómo puedo hacer este trabajo si no confías lo suficiente en mí? Las cosas tampoco estaban mejorando. No me aprobaban nada. Empeoraban activamente los sistemas sin informarme. ¡Había una puerta trasera! ¿Cuál es el objetivo de que esté aquí?”. Verizon Media no quiso hacer comentarios al respecto.

Entonces, abandonó Yahoo en junio y empezó en Facebook ese mismo mes.

“La empresa más importante del mundo”

A pesar del descontento de Stamos en Yahoo, siguió adquiriendo experiencia mientras trabajó en la compañía. Según personas que trabajaron en el Consejo de Seguridad Nacional de la Casa Blanca y su Oficina de Ciencia y Tecnología, ambos organismos consultaron periódicamente con él temas de infraestructura y encriptación. También trabajó con la policía para combatir los abusos de la tecnología que no eran de índole cibernéticos: redes de abuso sexual infantil, fraude o secuestros.

El entonces director de la Agencia de Seguridad Nacional, el almirante Michael S. Rogers, hace una pausa mientras testifica en el Capitol Hill en Washington, el martes 23 de mayo de 2017. (Foto de AP/ Pablo Martínez Monsivais)

Las personas al margen del mundo de la seguridad empezaron a escuchar hablar de él. En febrero de 2015, tuvo una confrontación en vivo con el entonces director de la NSA, el almirante Michael Rogers, en una conferencia de seguridad en Washington D.C. Rogers pidió a las empresas tecnológicas que construyesen puertas traseras en los productos encriptados para permitir a las agencias de inteligencia y los agentes de la ley de Estados Unidos intervenir las comunicaciones entre los consumidores.

“Parece que está de acuerdo con el director del FBI, James Comey, en que deberíamos crear defectos en el cifrado de nuestros productos para que el gobierno estadounidense pueda decodificarlos”, empezó Stamos.

“Ese es tu punto de vista, no el mío”, respondió Rogers.

“Bueno, creo que los mejores criptógrafos públicos del mundo estarían de acuerdo en que realmente no se pueden construir puertas traseras en la criptografía”, insistió Stamos. “Sería como perforar un agujero en un parabrisas”.

El tenso tira y afloja, que duró varios minutos, no solo fue aclamado por la prensa técnica (“el ejecutivo de Yahoo mano a mano con el director de la NSA”), sino que también obtuvo gran cobertura en el Washington Post, la BBC y la CNBC.

Al pasar a Facebook, su cartera y visibilidad se expandieron exponencialmente.

“Quizá fue la compañía más importante del planeta”, dijo Stamos.

Inmediatamente sintió que el escrutinio aumentaba. Dos semanas después de su llegada, un domingo por la mañana se enfureció cuando su equipo le dijo que una falla en el software Flash de Adobe, muy utilizado en Facebook para los juegos sociales, permitía a los agentes malintencionados en China usar el programa para amenazar a estudiantes en Hong Kong.

Como era habitual, escribió un tuit furibundo: “Es hora de que Adobe anuncie cuándo desaparecerá Flash”. Sin embargo, en esta ocasión su arrebato solo generó titulares en publicaciones técnicas: el director científico de Facebook quería eliminar un producto de software líder en el sector.

“El Director Ejecutivo de Adobe llamó a los ejecutivos de Facebook para quejarse”, recordó Stamos. “Ellos apoyaron mi posición, pero también me pidieron que fuera más cuidadoso”. Adobe no respondió a la solicitud de entrevista.

Luego llegaron las elecciones presidenciales de 2016, que colocaron a Stamos en un punto de mira donde no había estado ningún otro agente de seguridad de la información.

El candidato Donald Trump no solo era un maestro de las redes sociales, sino que muchos lo veían como la personificación del mismísimo demonio. Las métricas de las redes sociales ansiaban y recompensaban exactamente lo que Trump distribuía. Sus algoritmos buscaban el engagement por encima de todo, el cual estaba motivado por la sensación, la indignación, la provocación, el odio, la ira y las mentiras. Cuando fue elegido presidente de Estados Unidos por un margen muy estrecho, el vencido se preguntaba: ¿fue coincidencia que, a medida que las redes sociales crecían, esta estrella del mundo televisivo políticamente inexperta lograse el avance electoral del siglo?

Facebook fue objeto de una oleada de escrutinio puesto que la gente lo culpaba por la victoria de Trump. Sus algoritmos habían provocado burbujas de filtro, según teorizaron. El hecho de no proteger la privacidad de los datos del usuario había permitido a los Super PAC republicanos, a través de Cambridge Analytica, dirigirse a los votantes clave con anuncios de campaña engañosos. Su negligencia había permitido que los agentes de inteligencia rusos y los trolls de internet se manifestaran en su plataforma.

Como Jefe de Seguridad de Facebook, se presumía que Stamos si no era culpable, al menos estaba involucrado. En realidad, no tuvo nada que ver con sus algoritmos o con sus políticas de privacidad de datos en evolución que generaron la controversia de Cambridge Analytica.

“Es una pregunta interesante”, reflexionó el profesor Persily, jefe del Proyecto sobre la Democracia de Stanford, “si Hillary Clinton hubiera ganado, habríamos tenido igualmente años de críticas nacionales e internacionales a las plataformas de redes sociales y, en particular, a Facebook”.

Más rusos: El GRU

Para Stamos, el mundo empezó a cambiar en la primavera de 2016, cuando un especialista ruso que trabajaba con él le hizo una advertencia. Como informó The New York Times, le reveló a Stamos que las personas que creía que eran agentes del gobierno ruso estaban revisando las cuentas de Facebook de los funcionarios involucrados en la campaña presidencial estadounidense. No estaban haciendo nada ilegal, ni siquiera violando los términos de servicio de Facebook (TOS, por sus siglas en inglés) de aquel momento, pero podría ser el tipo de reconocimiento que precede a un ataque cibernético.

Facebook notificó al FBI, pero no cerró las cuentas.

Ahora sabemos que, en marzo de 2016, dos unidades del GRU, el Departamento Central de Inteligencia de los militares rusos, lanzaron una campaña de phishing dirigida a los voluntarios y empleados del Comité Nacional Demócrata, el Comité de Campaña del Congreso Demócrata y la campaña de Hillary Clinton. Según una imputación que llegó al Asesor Especial Robert Mueller III en julio de 2018, engañaron a las personas para que entregaran sus credenciales de contraseñas, que luego usarían para entrometerse en las redes de sus empleadores.

El 21 de marzo, los oficiales de GRU robaron 50.000 correos electrónicos de la cuenta del presidente de campaña de Clinton, John Podesta. En abril, entraron en la red del Comité Nacional Demócrata y se hicieron con el control de 33 de sus servidores. A finales de mayo robaron miles de correos electrónicos del Comité Nacional Demócrata (DNC, por sus siglas en inglés).

El 8 de junio, pretendiendo ser “hacktivistas estadounidenses”, lanzaron el sitio web DCLeaks.com. Ese mismo día también crearon una página de Facebook de DCLeaks y abrieron una cuenta de Twitter de @dcleaks.

Pronto, el GRU empezó a filtrar en el sitio DCLeaks.com algunos de los correos electrónicos robados. Los agentes de inteligencia utilizaron la página de Facebook afiliada, registrada con el nombre falso de Alice Donovan, para enviar a los lectores al sitio de la filtración. También crearon otras cuentas falsas para hacer lo mismo, usando nombres como Jason Scott y Richard Gingrey.

Alex Stamos habla en el Festival WIRED25: WIRED celebra su 25 aniversario – Del 2 al 14 de octubre de 2018 en San Francisco, California. (Foto de Phillip Faraone/Getty Images para WIRED25)

El 14 de junio, el Washington Post informó que el DNC había sido hackeado por agentes del gobierno ruso, la conclusión a la que llegó la firma consultora del DNC, CrowdStrike. Para quienes llevan un registro de las historias en paralelo, ese mismo día Michael Cohen, abogado personal del candidato Donald Trump, le dijo al desarrollador hotelero Felix Sater que él, Cohen, no seguiría adelante con el viaje a Rusia que había planeado durante meses. El viaje estaba relacionado con los planes para construir una Torre Trump en Moscú.

En agosto, otra boutique de seguridad identificó específicamente a DCLeaks como un frente ruso. Sin embargo, Facebook no cerró la cuenta de inmediato ya que no violaba sus TOS.

“Eso desencadenó un gran debate interno”, contó Stamos. “Pero al final no fue importante”.

Lo que quiso decir es lo siguiente. Después del informe CrowdStrike, el GRU creó una persona, apodada Guccifer 2.0, para impugnar su conclusión. Afirmando ser un hacker solitario de Rumania, el personaje de Guccifer 2.0 se acercó a los reporteros y al recientemente acusado asesor de la campaña de Trump, Roger Stone, para decirles dónde encontrar correos electrónicos incriminatorios, como aquellos, por ejemplo, que sugerían que en la principal campaña demócrata los funcionarios habían jugado sucio para socavar las primarias de Bernie Sanders. Wikileaks pronto contactó con Guccifer 2.0, ofreciendo el uso de su canal más famoso para filtrar la información de contrabando.

“Entonces, una vez que pusieron todo eso en manos de periódicos como Politico, The Hill y otros, quienes fueron los primeros en escribir la historia, les siguieron The New York Times, Washington Post y otros que ampliaron la información. Y, con 24 horas de noticias por cable, no importó que se hubieran eliminado sus cuentas de Facebook o no”.

Stamos lo expresó de manera más directa en un tuit en noviembre pasado: “Los medios de difusión fueron dirigidos por el GRU y escribieron las historias que querían. Podrías argumentar que esto fue mucho más impactante que la desinformación del IRA y la falta de auto-reflexión del NYT/WaPo/WSJ/TV sobre su rol”.

Finalmente, en octubre de 2016, después de que los oficiales de GRU publicaran algunos correos electrónicos robados en la página de DCLeaks en Facebook, lo cual violaba sus TOS, Facebook eliminó la cuenta.

Y aún más rusos: el IRA

Ahora también sabemos que había más rusos usando Facebook durante el período previo a las elecciones. Ya en abril de 2014, cuando Stamos todavía estaba en Yahoo, la Agencia de Investigación de Internet (IRA, por sus siglas en inglés), una granja de trolls que apoyaban al Kremlin en San Petersburgo, comenzó a prepararse para interferir en las elecciones de 2016, según se revela en otra imputación de Mueller que salió a la luz en febrero de 2018.

En septiembre de 2015, tres meses después de que Stamos llegara a Facebook, la IRA empezó a subir vídeos en YouTube, una unidad de Google, como parte de sus campañas de influencia política, y eventualmente produjo 1.107 que distribuyó en 17 canales. A inicios de 2016, sus miembros, simulando a los estadounidenses, crearon páginas de Facebook individuales y grupales con nombres como “Fronteras seguras”, “Negrivista”, “Musulmanes Unidos de América” ​​y “Corazón de Texas”. Abrieron cuentas similares en otras redes sociales, incluyendo Instagram, Twitter, Reddit, Tumblr de Yahoo y Pinterest de Facebook. Los mensajes tenían el objetivo principal de promover la campaña de Trump, pero algunos también apoyaban a Bernie Sanders. Después de que Sanders perdió su nominación, las cuentas del IRA también apoyaron el aumento de los votos de la candidata del tercer partido, Jill Stein, mientras que los falsos grupos afroamericanos y musulmanes de la agencia instaron a sus seguidores a no votar. Los informes más recientes sobre la actividad del IRA, publicados a mediados de diciembre por trabajadores contratados por el Comité de Inteligencia del Senado encontraron que en 2017, cuando Facebook realizó un escrutinio, el IRA cambió su actividad a Instagram y que la información errónea en Instagram puede haber tenido un mayor alcance que en Facebook.

Si las autoridades gubernamentales de Estados Unidos estaban al tanto de esa operación de influencia, no lo compartieron con las empresas de las redes sociales. Por tanto, en Facebook nadie conocía sobre esas campañas.

“Mi responsabilidad era que los gobiernos no piratearan Facebook ni usaran la red social para piratear a otros”, reveló Stamos.

AshkanSoltani, antiguo Jefe de Tecnología de la Comisión Federal de Comercio y asesor de la Casa Blanca, dijo que la comunidad de seguridad tardó en anticipar ese tipo de agresión. “Hicimos un buen trabajo al prever el abuso de la plataforma, pero solo en relación a los hackers que ingresan a nuestro sistema para apropiarse de nuestros datos. No pensamos que también podían llegar a nuestros sistemas para incidir en las personas que se encontraban fuera de nuestras redes. Esas personas querían usar nuestras herramientas para dañar a la sociedad”.

“Estaban usando la tecnología tal y como estaba diseñada técnicamente para ser utilizada, pero no como estaba diseñada filosóficamente para usarse”, comentó Moussouris, de Luta Security. “Los técnicos no pueden diseñar un sistema a prueba de abuso filosófico”.

El Director Ejecutivo de Facebook, Mark Zuckerberg, en el escenario durante una reunión en la sede de Facebook en Menlo Park, California, el 27 de septiembre de 2015. Foto tomada el 27 de febrero de 2015. Foto: REUTERS/Stephen Lam

Tres días después de las elecciones, el Director Ejecutivo de Facebook, Mark Zuckerberg, improvisó una declaración, ahora considerada infame, en una conferencia: “Personalmente, creo que la idea de que las noticias falsas en Facebook influyeron en las elecciones es bastante desacertada”. Más tarde se disculpó por su comentario.

“Me quedó claro entonces que no le habían informado sobre nada de lo que habíamos encontrado”, dijo Stamos.

Su equipo redactó un informe sobre lo que sabía en ese momento respecto a la actividad rusa, principalmente la actividad del GRU, y se lo presentó a Zuckerberg y al Director de Operaciones Sandberg en diciembre. The Times informó que Sandberg se molestó porque Stamos elaboró este informe sin que se lo pidieran. Stamos dice que nunca le expresó su descontento, pero no sabe si se lo dijo a otras personas.

Zuckerberg luego ordenó al equipo de productos que realizara una evaluación cuantitativa de las cuentas y “noticias falsas” en el sitio, un término nebuloso en aquel momento. En el mes de enero, este esfuerzo, conocido como Proyecto P, por propaganda, había encontrado que la gran mayoría de las noticias falsas en realidad estaban motivadas financieramente. Facebook tomó medidas para detener esta actividad, deshabilitando las cuentas no auténticas.

Mientras se desarrollaba el Proyecto P, Stamos se dio cuenta de las operaciones de influencia rusa, y posiblemente iraní, una actividad política coordinada a través de cuentas no auténticas, que tenía lugar en el sitio.

El 6 de enero de 2017, el Director de Inteligencia Nacional de Estados Unidos fusionó las evaluaciones conjuntas del FBI, la CIA y la NSA y emitió un informe que concluyó que “el presidente ruso, Vladimir Putin, ordenó una campaña de influencia en 2016 dirigida a incidir en las elecciones presidenciales estadounidenses” y que “Putin y el gobierno ruso desarrollaron una clara preferencia por el presidente electo Trump”. El informe menciona no solo la campaña de hackeo y las filtraciones de GRU sino también el uso por parte del Kremlin de “usuarios pagados en las redes sociales o trolls”. Sin embargo, excepto una vez, el informe no se refirió explícitamente a Facebook. La excepción fue una referencia al hecho de que la organización de “noticias” fundada por el Kremlin, RT America TV, había creado una aplicación de Facebook para conectar a los manifestantes de Occupy Wall Street durante el período previo a las elecciones de 2012 en Estados Unidos.

Stamos decidió que su equipo escribiera un documento sobre las operaciones de influencia en Facebook.

“Él lleva las cosas al extremo y eso nos obligó a tomar cartas en el asunto”, dijo una persona que trabajó con él en ese momento. “Intentar sacarlo a la luz fue una proeza herculina”.

El equipo legal, de políticas y comunicaciones de Facebook, todos reacios al riesgo, tuvieron que firmar. “Realizamos entre 80 y 90 borradores”, dijo Stamos. Lo más destacado fueron los ejemplos de las publicaciones, que el equipo legal temía violaran varias leyes o decretos de privacidad. Agregó que extrañamente los rusos, aunque mentían sobre sus identidades, eran considerados clientes de Facebook Irlanda y estaban protegidos por fuertes leyes de privacidad.

Curiosamente, el informe final de Stamos, que se publicó el 27 de abril de 2017, nunca usó la palabra “Rusia”. En su lugar, dijo que sus datos “no contradecían” los del informe del DNI, al que se enlazaba en una nota al pie del documento.

“Perdí esa batalla, pero al final acepté el compromiso”, dijo Stamos. De lo contrario, señaló, “íbamos a ser la segunda organización en el planeta en decir que los rusos ayudaron a Trump. Tienes que ser idiota para leer esto y no darte cuenta de que nos estamos refiriendo a Rusia. Pero no creamos la cobertura para que las personas nos pudieran citar directamente y convertirlo en titular”.

Sin embargo, aún había asuntos por resolver. El Congreso le pidió a Facebook información sobre cómo usaron los rusos los anuncios en su plataforma. La empresa realizó otro análisis cuantitativo masivo. Luego, Stamos escribió un artículo en el que resumió sus hallazgos, que salió a la luz el 6 de septiembre de 2017. Este informe reveló que los rusos, actuando a través de 470 “cuentas no auténticas”, habían gastado 100.000 dólares en aproximadamente 3.000 anuncios políticos entre junio de 2015 y mayo de 2017.

Todo parece indicar que mientras se analizaba ese informe en el Comité de Auditoría de Facebook, el miembro del comité y ex jefe de personal de la Casa Blanca, Erskine Bowles, se enfureció, según el informe del Times que se publicó 14 meses después. Un día después de la reunión informativa con Bowles, según el mismo artículo, fue cuando la Directora de Operaciones, Sandberg, acusó a Stamos de “lanzarlos a los leones”.

Políticos híper segmentados con “cien millones de rostros”

El Consejero General en funciones de Twitter, Sean Edgett, el Consejero General de Facebook, Colin Stretch, y el vicepresidente y Consejero General de Google, Kent Walker, prestan juramento ante el Comité de Inteligencia de la Cámara de Representantes para responder preguntas relacionadas con el uso que dieron los rusos a las redes sociales para influir en las elecciones estadounidenses, en el Capitol Hill, Washington, Estados Unidos, el 1 de noviembre de 2017. REUTERS/Aaron P. Bernstein

Los datos más perturbadores aún estaban por llegar. El asesor general, Colin Stretch, los reveló en un testimonio ante el comité del Senado el 31 de octubre de 2017. La compañía estimó que aproximadamente 126 millones de personas, casi el 40% de la población de Estados Unidos, habían visto al menos una parte del contenido generado por el IRA entre enero de 2015 y agosto de 2017.

Sin embargo, al mismo tiempo, Stretch dijo que el número total de historias que salieron en las noticias que vieron los estadounidenses durante ese período ascendió aproximadamente a 33 billones. Así que el contenido ruso representó alrededor de “cuatro milésimas del uno por ciento”, declaró.

De ser así, ¿en realidad fue cierta la afirmación de Zuckerberg, de la que luego se retractó, de que la idea de que las noticias falsas podían haber incidido en las elecciones era “bastante desacertada”?

“Ahora mismo, las personas están escribiendo libros sobre si la actividad rusa en general afectó las elecciones”, dijo Stamos. “Quizá nunca lo sepamos. Desde el punto de vista cuantitativo, la actividad rusa directa es todavía bastante pequeña. Incluso con todo lo que conocemos ahora”.

Cree que lo más relevante, algo característico en las opiniones de Stamos sobre las controversias de Facebook, es que ni la prensa ni el Congreso están enfocando adecuadamente el asunto.

“Casi con total seguridad, el mayor influjo de Facebook en las elecciones se debió a que la campaña de Trump y los PAC republicanos funcionó mejor en los anuncios que la del partido demócrata. Estamos hablando de 100 veces más dinero del que invirtieron los rusos y mucho más del doble de lo que gastaron los demócratas”.

“El equipo ruso no estaba tan avanzado”, continuó. En cambio, “la campaña de Trump generó miles de anuncios de forma programática. Probaron esos anuncios en cientos de diferentes segmentos de la población. Entonces, de manera automática, si uno había obtenido buenos resultados, ellos invertían su dinero en él”.

Esa híper segmentación de anuncios es “negativa para nuestra democracia”, afirmó. “Imagina que puedes enviar un correo electrónico a cada uno de los votantes del país y que cada uno de ellos es diferente. No tienes dos caras, tienes cien millones de rostros. Me gustaría que las personas tuvieran acceso a toda la base de datos de anuncios de Trump y de Hillary y a todos los datos del público objetivo”.

Sin embargo, dijo que, debido a diversas leyes de privacidad, Facebook actualmente no puede hacer públicos esos datos. Asimismo, propone que el Congreso lo exija mediante un requerimiento o una legislación.

También se siente frustrado por la persistencia de los medios con Cambridge Analytica. “Hablan de los 50 millones de perfiles de Facebook que vio el académico Aleksandr Kogan y que luego pasaron a Cambridge Analytica. El problema no es que haya podido obtener esta información en 2014, es que hoy en día hay veinte Cambridge Analyticas. Simplemente no son lo suficientemente tontos como para robar datos de Facebook. Los compran legalmente en Equifax, Transunion y Acxiom o cualquier otro agente de datos. En tanto, Facebook y Google crean un ecosistema para que puedan publicar anuncios híper segmentados”.

La reorganización

Aproximadamente tres semanas después de que Stretch testificara ante el Congreso, Stamos decidió abordar un problema de larga data relacionado con las líneas de presentación de informes en Facebook. De cierta forma, era un problema que le había preocupado durante toda su carrera.

Stamos sostiene que, en todo el sector, los equipos de seguridad a menudo llegan demasiado tarde. El objetivo de las personas que diseñan productos “es hacer algo que la gente ame y que pueda ganar dinero… Estos visionarios de productos toman estas grandes decisiones y luego descargan la responsabilidad de la seguridad sobre otras personas… Pero la responsabilidad real tiene que estar presente cuando se toman las grandes decisiones de diseño”.

A un nivel más pequeño, Facebook tenía algunos problemas organizativos específicos relacionados con este tema. Cuando Stamos llegó a la compañía, había dos silos de seguridad: uno en el departamento de ingeniería, que respondía finalmente ante Zuckerberg, y otro separado, que fue contratado para ejecutar y respondía al abogado general Stretch, quien estaba bajo el mando de Sandberg.

Stamos quería fusionar ambos grupos y hacer que respondieran a un vicepresidente de producto, alguien más cercano al proceso de toma de decisiones, que luego respondería a Zuckerberg. Él presentó una propuesta alrededor del Día de Acción de Gracias. Se imaginó que podría iniciar un proceso de propuestas y contrapropuestas que duraría unos seis meses, incluyendo diferentes reuniones.

En cambio, la decisión se tomó dos semanas más tarde y a él llegaron los hechos consumados. Habían aceptado una variante de su propuesta, pero sin contar con él. Podría conservar su título de Director de Seguridad y su paquete de compensación y continuar con el trabajo de políticas públicas, o podría encargarse de la seguridad del proyecto de realidad aumentada/realidad virtual de Oculus, o involucrarse en otros proyectos.

Stamos sospecha que el golpe se produjo por haber alienado a algunas personas poco después de llegar a la compañía. En aquel momento había realizado una evaluación contundente de las necesidades de seguridad de la empresa, algo bueno pero también malo ya que había comprometido a algunas personas.

Después de la reorganización, Stamos ayudó con la transición y trabajó en la seguridad para las próximas elecciones de mitad de mandato mientras buscaba un nuevo puesto.

“Me hicieron un par de ofertas de trabajo para ocupar el puesto de Oficial de Seguridad de la Información”, contó, “pero quería trabajar en temas más amplios”.

El reto de nuestra época

No cabe dudas de que en Stanford está trabajando en proyectos con una perspectiva más ambiciosa. Su visión para el Observatorio de Internet de Stanford es tan ambiciosa que podría resultar inviable. “Nuestro objetivo es realizar un estudio de varios años en múltiples plataformas y tipos de redes de comunicación para comprender realmente cómo se pueden detener estos ataques a la democracia”, afirmó.

El obstáculo es: ¿cómo obtendrán los investigadores académicos acceso a las gigantescas bases de datos confidenciales, privados y de redes sociales en nuestro mundo posterior a Cambridge Analytica? Debemos recordar que ese escándalo se debió a que un académico supuestamente hizo un uso indebido de los datos que obtuvo de Facebook con fines investigativos.

El pasado mes de julio se creó una organización sin ánimos de lucro llamada Social Science One (SSO) para proporcionar un “acceso protegido y privado” a los datos que Facebook se comprometió a poner a su disposición el pasado abril. La visión a largo plazo de esta organización es persuadir a Google, Twitter y otras compañías de redes sociales para que también ofrezcan acceso a sus datos.

“Estamos hablando de decenas de petabytes de datos”, explicó Stamos, solo para los datos de Facebook. “Para almacenar esa cantidad de información necesitas unas mil computadoras. Hay que idear un modelo en el que los académicos puedan realizar la investigación y los datos permanezcan dentro de las empresas”.

SSO está financiada por siete grandes organizaciones sin ánimos de lucro que trabajan junto al Consejo de Investigación de Ciencias Sociales, y está bajo la supervisión de dos profesores de Stanford, incluyendo a Persily.

“Este es el reto de nuestra era”, afirmó Persily. “Nunca antes en la historia de la humanidad había pasado que empresas privadas tuvieran tantos datos personales sobre la interacción social que están fuera del alcance de los académicos, quienes podrían intentar estudiarlos, o de los gobiernos que podrían usarlos para hacer cumplir la ley”.

Hasta ahora, admite Persily, el proceso ha sido frustrante. En una actualización reciente en el blog de SSO, dice que el progreso se ha atascado por “desafíos legales, técnicos, organizativos, de computación, privacidad y seguridad”.

“No hemos alcanzado nuestros objetivos”, reconoció en una entrevista. “Pero aquí estamos intentando construir un transbordador espacial. Si lo hacemos bien, la recompensa será enorme”.

Mientras tanto, Stamos dice que se siente feliz en Stanford. En su espaciosa cocina con luz natural, se le ve relajado y contento mientras acaricia su Goldendoodle, que se ha subido a la encimera, donde se supone que no debe estar. Sin embargo, acto seguido el rostro de Stamos se apaga repentinamente cuando recuerda una presentación que hizo en Facebook en el otoño de 2017 sobre la actividad electoral en Rusia. Después de esa reunión recuerda que un colega se le acercó y le dijo: “La expresión de su cara es la que yo tenía antes de sufrir mi primer ataque al corazón”.

Stamos dice que no quiere otro trabajo como ese. Pero admite que tras varios años fuera de juego podría considerar un trabajo “impactante” en el gobierno.

El tirón gravitacional de la arena, donde los sombreros blancos se enfrentan constantemente contra los sombreros negros, se siente en el ambiente.

Roger Parloff