A principios de este año, un desarrollador se sorprendió al ver un mensaje en su teléfono personal que decía: «Apple ha detectado un ataque de software espía dirigido a su iPhone».
«Entré en pánico», dijo a TechCrunch Jay Gibson, quien pidió que no se usara su nombre real por temor a represalias.
Gibson, que hasta hace poco desarrollaba tecnología de vigilancia para el fabricante de herramientas de piratería informática del gobierno occidental, Trenchint, puede ser el primer caso documentado de alguien que crea exploits y software espía y se convierte en objetivo del software espía.
«¿Qué diablos está pasando? Realmente no sabía qué pensar», dijo Gibson, y agregó que apagó su teléfono celular y lo guardó ese día, 5 de marzo. «Inmediatamente fui a comprar un teléfono celular nuevo. Llamé a mi papá. Fue un desastre. Fue un desastre enorme».
En Trenchant, Gibson trabajó en el desarrollo de día cero de iOS. Esto significa encontrar vulnerabilidades y desarrollar herramientas que puedan explotarlas y que sean desconocidas para los proveedores que fabrican el hardware y el software afectados, como Apple.
«Tengo sentimientos encontrados sobre lo patético que es esto y estoy muy asustado, porque cuando las cosas llegan a este nivel, nunca se sabe lo que va a pasar», dijo a TechCrunch.
Pero es posible que los ex empleados de Trenchant no sean los únicos desarrolladores de exploits atacados por el software espía. En los últimos meses, otros desarrolladores de software espía y exploits también recibieron avisos de Apple advirtiéndoles que habían sido atacados por software espía, según tres fuentes con conocimiento directo de los incidentes.
Apple no respondió a la solicitud de comentarios de TechCrunch.
consulta
¿Tienes más información sobre la supuesta filtración de las herramientas de hackeo de Torrentin? ¿O es esta la historia del desarrollador? Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura desde cualquier dispositivo que no sea del trabajo en Signal (+1 917 257 1382) o en Telegram, Keybase y Wire @lorenzofb, o por correo electrónico.
El ataque al iPhone de Gibson muestra que la prevalencia de los días cero y el software espía está atrapando a más tipos de víctimas.
Los fabricantes de software espía y de día cero han sostenido durante mucho tiempo que sus herramientas sólo las implementan clientes gubernamentales examinados contra delincuentes y terroristas. Pero investigadores del grupo de derechos digitales Citizen Lab de la Universidad de Toronto y Amnistía Internacional han descubierto docenas de casos durante la última década en los que los gobiernos han utilizado estas herramientas para atacar a disidentes, periodistas, activistas de derechos humanos y opositores políticos en todo el mundo.
Los incidentes públicos más cercanos en los que investigadores de seguridad fueron atacados por piratas informáticos ocurrieron en 2021 y 2023, cuando piratas informáticos del gobierno de Corea del Norte fueron arrestados por atacar a investigadores de seguridad que trabajaban en investigación y desarrollo de vulnerabilidades.
Sospechoso en investigación de fugas
Dos días después de recibir la notificación de amenaza de Apple, Gibson se puso en contacto con un experto forense con amplia experiencia en la investigación de ataques de software espía. Después de realizar un análisis inicial del teléfono de Gibson, los expertos no encontraron signos de infección, pero aún así recomendaron un análisis forense más profundo del teléfono del desarrollador del exploit.
El análisis forense habría requerido enviar una copia de seguridad completa del dispositivo a expertos, con lo que Gibson dijo que no estaba satisfecho.
«Los casos recientes se han vuelto más rigurosos desde el punto de vista forense y algunos no encuentran nada. También es posible que el ataque no se haya transmitido por completo después de las etapas iniciales, pero no lo sabemos», dijo el experto a TechCrunch.
Sin un análisis forense completo del teléfono celular del Sr. Gibson, idealmente uno en el que los investigadores descubrieran rastros de software espía y el autor del software espía, será imposible saber por qué fue atacado o quién lo atacó.
Sin embargo, Gibson le dijo a TechCrunch que cree que la notificación de amenaza que recibió de Apple está relacionada con cómo dejó Trenchint, alegando que la compañía lo nombró chivo expiatorio por una filtración dañina de herramientas internas.
Apple solo envía notificaciones de amenazas cuando hay evidencia de que un individuo ha sido objetivo de un ataque de software espía mercenario. Este tipo de tecnología de vigilancia a menudo se implanta en un teléfono celular de forma remota y sin que nadie lo sepa, explotando vulnerabilidades en el software del teléfono, que pueden valer millones de dólares y tardar meses en desarrollarse. Normalmente, las agencias policiales y de inteligencia tienen la autoridad legal para implementar software espía en los objetivos, no los propios creadores del software espía.
Sara Banda, portavoz de la empresa matriz de Trenchant, L3Harris, se negó a hacer comentarios para este artículo cuando TechCrunch la contactó antes de su publicación.
Un mes antes de recibir la notificación de amenaza de Apple, mientras aún trabajaba en Trenchent, Gibson fue invitado a ir a la oficina de la compañía en Londres para un evento de formación de equipos, dijo.
Cuando Gibson llegó el 3 de febrero, lo convocaron inmediatamente a una sala de conferencias para hablar por videollamada con Peter Williams, gerente general de Trencinto en ese momento y conocido dentro de la empresa como «Doggie». (En 2018, el contratista de defensa L3Harris adquirió los fabricantes de día cero Azimuth y Linchpin Labs. Las dos nuevas empresas hermanas se fusionaron para convertirse en Trenchant).
El Sr. Williams le dijo al Sr. Gibson que la empresa lo estaba suspendiendo debido a sospechas de doble empleo. Todos los dispositivos de trabajo del Sr. Gibson serán incautados y analizados como parte de una investigación interna sobre las acusaciones. No se pudo contactar a Williams para hacer comentarios.
«Estaba en shock. Realmente no sabía cómo reaccionar porque simplemente no podía creer lo que estaba escuchando», dijo Gibson. Más tarde, el empleado de TI de Trencinto explicó que fue al apartamento para recuperar el equipo proporcionado por la empresa.
Aproximadamente dos semanas después, Gibson dijo que Williams lo llamó y le dijo que después de una investigación, la compañía lo había despedido y le había ofrecido un acuerdo y un pago. Gibson dijo que Williams se negó a explicar lo que reveló un análisis forense de sus dispositivos, diciéndole efectivamente que no tenía más remedio que firmar el contrato y abandonar la empresa.
Gibson dijo que aceptó la oferta y firmó porque sintió que no tenía otras opciones.
Gibson le dijo a TechCrunch que más tarde se enteró por un ex colega de que se sospechaba que Trentint había filtrado una vulnerabilidad desconocida en el navegador Chrome de Google, una herramienta que desarrolló. Sin embargo, Gibson y tres de sus antiguos colegas le dijeron a TechCrunch que Gibson no tenía acceso al día cero de Chrome de Trenchent porque era parte de un equipo que solo desarrollaba software espía y de día cero para iOS. Los funcionarios dijeron que el equipo de Torrent tiene acceso estrictamente segmentado solo a herramientas relacionadas con la plataforma que está desarrollando.
«Sé que fui el chivo expiatorio. Era inocente. Es así de simple», dijo Gibson. «No hice nada más que trabajar duro para ellos».
La historia de las acusaciones contra Gibson y su posterior suspensión y despido fue corroborada de forma independiente por tres exempleados conocedores de Trenchant.
Otros dos ex empleados de Trenchant dijeron que conocían los detalles del viaje de Gibson a Londres y estaban al tanto de la supuesta filtración de herramientas sensibles de la empresa.
Todos pidieron permanecer en el anonimato, pero creen que el Sr. Trentinto tomó la decisión equivocada.
Source link
