Un veterano ejecutivo de ciberseguridad que, según los fiscales, «traicionó» a Estados Unidos pasará al menos los próximos siete años en prisión después de declararse culpable de robar herramientas de piratería informática y vigilancia y venderlas a una empresa rusa.
Peter Williams, ex ejecutivo del contratista de defensa estadounidense L3Harris, fue sentenciado el martes a 87 meses de prisión por filtrar los secretos comerciales de su antigua compañía a cambio de 1,3 millones de dólares en moneda virtual entre 2022 y 2025. Williams vendió el exploit a Operación Cero, que el gobierno de Estados Unidos llama «uno de los intermediarios de exploits más nefastos del mundo».
La condena de Williams se produce tras una de las filtraciones más notorias de herramientas de piratería clasificadas fabricadas en Occidente en los últimos años. Aunque el caso ya terminó, aún quedan preguntas sin respuesta.
Williams, un ciudadano australiano de 39 años que vive en Washington, D.C., era el director general de Trenchint, una división de L3Harris que desarrolla herramientas de piratería informática y vigilancia para el gobierno de Estados Unidos y sus socios de inteligencia globales más cercanos. Los fiscales dijeron que Williams usó su «acceso completo» a la red segura de la compañía para descargar herramientas de piratería en un disco duro portátil y luego en su propia computadora. Sin embargo, dado que Williams se puso en contacto con Operation Zero con un nombre falso, no está claro si Operation Zero conocía la verdadera identidad de Williams.
Trenchant es un equipo de hackers y cazadores de errores que profundizan en otro software popular creado por empresas como Google y Apple, identifican fallas en sus millones de líneas de código e idean técnicas para convertir esas fallas en exploits viables que pueden usarse para piratear esos productos de manera confiable. Estas herramientas se conocen comúnmente como exploits de día cero porque explotan fallas en el software que los desarrolladores desconocen. Esto podría valer millones de dólares.
El Departamento de Justicia de Estados Unidos afirmó que cualquiera que utilice las herramientas de piratería que vendió Williams «podría potencialmente obtener acceso a millones de computadoras y dispositivos en todo el mundo».
Durante los últimos meses, he estado hablando con fuentes e informando sobre la historia del Sr. Williams, incluso antes de que se supiera que había sido arrestado. Pero lo que escuchaba era irregular y a veces contradictorio. Había oído que alguien había sido arrestado, pero eso sería difícil de probar dada la naturaleza secreta del trabajo involucrado en el desarrollo de exploits.
consulta
¿Tienes más información sobre este incidente y la supuesta filtración de las herramientas de hacking de Trenchint? Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura desde un dispositivo que no sea del trabajo en Signal (+1 917 257 1382) o en Telegram, Keybase y Wire @lorenzofb, o por correo electrónico.
Cuando escuché por primera vez sobre Williams, ni siquiera podía entender bien su nombre. En ese momento, su historia era un rumor que circulaba silenciosamente entre los desarrolladores, vendedores y personas conectadas con la comunidad de inteligencia de exploits de día cero.
Escuché que probablemente se llamaba John o Duggan. O hay diferentes formas de escribirlo en inglés.
Algunos de los rumores iniciales que escuché eran contradictorios. ¿Aparentemente le robó el día cero a Trentint y se lo vendió a Rusia, o a otro enemigo de Estados Unidos y sus aliados, países como Corea del Norte y China?
Me tomó semanas confirmar que alguien que encajaba en esa descripción realmente existía. (Resulta que el segundo nombre de Williams es John, y Dougie es su apodo en los círculos de hackers).
Luego, a medida que los informes continuaron durante las siguientes semanas, el panorama comenzó a aclararse.
Conexión con Rusia
Como revelé por primera vez en octubre, Trenchint despidió al empleado después de que el Sr. Williams, que todavía era el director de Trenchint en ese momento, acusara al empleado de robar y filtrar el día cero de Chrome. La historia se volvió aún más interesante porque el empleado me dijo que después de que lo despidieran, Apple le notificó que alguien había atacado su iPhone personal.
Lo que aprendí es sólo la punta del iceberg. Había escuchado más detalles de las fuentes, pero todavía estaba reconstruyendo partes de la historia.
Poco después, los fiscales acusaron formalmente por primera vez a un hombre llamado Peter Williams de robar secretos comerciales, lo que salió a la luz por primera vez en un juicio en Estados Unidos. En su primer documento judicial, los fiscales identificaron al comprador de estos secretos comerciales como un comprador ruso.
Sin embargo, no hubo ninguna referencia explícita a L3 Harris o Trentint, ni hubo evidencia de que los secretos comerciales que robó Williams fueran de día cero. Fundamentalmente, aún no se podía confirmar con certeza que se tratara del mismo Peter Williams, quien como jefe de Trenchant se pensaba que tenía acceso a exploits altamente sensibles, y que no se trataba de un caso grave de identidad equivocada.
aún no estábamos allí.
Actuando con el presentimiento de que no teníamos nada que perder, contactamos al Departamento de Justicia y les preguntamos si podían confirmar que la persona en este documento era de hecho Peter Williams, el ex jefe de L3 Harris Trentent. Un portavoz lo confirmó.
La historia finalmente ha salido a la luz. Una semana después, Williams se declaró culpable.
Cuando escuché su historia por primera vez, confié en la fuente pero seguí siendo escéptico. ¿Por qué alguien como Williams haría lo que dicen los rumores? Pero lo hizo por dinero, dicen los fiscales, y Williams usó el dinero para comprar una casa, joyas y un reloj de lujo.
Fue una sorprendente caída en desgracia para Williams, quien alguna vez fue considerado un hacker hábil y talentoso, especialmente para alguien que anteriormente trabajó para la principal agencia de inteligencia extranjera de Australia y sirvió en el ejército del país.
¿Qué pasó con el exploit robado?
Aún no se sabe exactamente qué exploits y herramientas de piratería robó y vendió Williams. Los documentos judiciales dicen que las pérdidas de Trenchent se estiman en 35 millones de dólares. Pero los abogados de Williams dijeron que las herramientas robadas no estaban clasificadas como secretos gubernamentales.
Puede obtener información según las circunstancias del incidente.
Dado que el Departamento de Justicia dijo que las herramientas robadas podrían usarse para piratear «millones de computadoras y dispositivos», las herramientas probablemente se refieren a días cero en software de consumo como dispositivos Android, iPhones y iPads de Apple y navegadores web.
Hay algunas pruebas que apuntan en su dirección. En la audiencia del año pasado, los fiscales leyeron las publicaciones publicadas en X por la Operación Cero, dijo Kim Zetter, reportero independiente de ciberseguridad que asistió a la audiencia.
«Debido a la alta demanda del mercado, estamos aumentando la cantidad que pagamos por nuestros principales exploits móviles», decía la publicación, mencionando específicamente a Android e iOS. «Como siempre, los usuarios finales son países que no pertenecen a la OTAN».
Operation Zero ofrece millones de dólares por detalles de vulnerabilidades de seguridad en dispositivos Android y iPhone, aplicaciones de mensajería como Telegram, otros tipos de software como Microsoft Windows y proveedores de hardware como varias marcas de servidores y enrutadores.
Operation Zero afirma estar trabajando con el gobierno ruso. Cuando Williams vendió la hazaña a un intermediario ruso, la invasión de Ucrania por parte de Putin ya había comenzado en serio.
El mismo día en que Williams fue sentenciado, el Departamento del Tesoro de Estados Unidos anunció sanciones contra la Operación Cero y su fundador Sergei Zelenyuk, calificando a la empresa de amenaza a la seguridad nacional. Esta fue la primera confirmación del gobierno de que Williams vendió el exploit a Operation Zero.
El Departamento del Tesoro dijo en un comunicado que el corredor «vendió las herramientas robadas a al menos un usuario no autorizado». En este momento, no sabemos quién es este usuario. El usuario podría ser una agencia de inteligencia extranjera o incluso una banda de ransomware, dado que el Departamento del Tesoro también ha sancionado a Oleg Vyacheslavovich Kucherov, miembro de la banda Trickbot que supuestamente colaboró con la Operación Cero.
Los fiscales dijeron en documentos judiciales que L3Harris pudo descubrir que «un proveedor no autorizado estaba vendiendo el componente», que era uno de los secretos comerciales robados, «al comparar coincidencias con datos de proveedores específicos de la empresa encontrados en los componentes robados».
Los fiscales también dijeron que Williams «se dio cuenta de que el código que escribió y vendió» a Operation Zero estaba siendo utilizado por corredores coreanos, sugiriendo además que tanto L3Harris como los fiscales sabían qué herramientas fueron robadas y vendidas a Operation Zero.
Otra pregunta abierta es si, ahora que se filtró el exploit, el gobierno de Estados Unidos o L3Harris han advertido a Apple, Google u otras empresas tecnológicas que sus productos se ven afectados por el error de día cero.
Todas las empresas y desarrolladores quieren saber si alguien puede haber usado (o está usando actualmente) un día cero contra un usuario o cliente para poder corregir la falla lo más rápido posible. Y en este momento, los días cero no sirven de nada para L3Harris y sus clientes gubernamentales.
Cuando contactamos a Apple y Google, ninguna de las empresas respondió. L3 Harris tampoco respondió.
¿Quién hackeó a Scapegoat y por qué?
Luego está el misterio del chivo expiatorio, que fue despedido después de que Williams lo acusara de robar y filtrar código.
En la sentencia, los fiscales del Departamento de Justicia reconocieron que el empleado fue despedido y dijeron que Williams «se mantuvo al margen y no hizo nada mientras otro empleado de la empresa era esencialmente responsable de (sus) acciones». Los abogados de Williams rechazaron las afirmaciones de la fiscalía, argumentando que el ex empleado fue «despedido por mala conducta», citando acusaciones de doble empleo y mal manejo de la propiedad intelectual de la empresa.
Como parte de la investigación interna de L3Harris, la compañía puso a los empleados en licencia, confiscó dispositivos, los transportó a los Estados Unidos y «los entregó al FBI», según documentos judiciales presentados por los abogados de Williams.
Cuando se le pidió un comentario, un portavoz anónimo del FBI dijo que el FBI no tenía nada que agregar más allá del comunicado de prensa del Departamento de Justicia.
Después de ser despedido, el empleado, a quien identificamos bajo el alias Jay Gibson, recibió una notificación de Apple de que su iPhone personal había sido objetivo de un «ataque de software espía mercenario».
Apple envía estas notificaciones a los usuarios que cree que son objetivos de ataques utilizando herramientas como las creadas por NSO Group e Intellexa.
¿Quién intentó hackear a Gibson? Recibió este aviso el 5 de marzo de 2025, más de seis meses después de que comenzara la investigación del FBI. Según documentos judiciales, el FBI «se comunicó regularmente con (el Sr. Williams) desde finales de 2024 hasta el verano de 2025».
Dada la naturaleza de las herramientas filtradas, es posible que el FBI, o quizás la comunidad de inteligencia estadounidense, apuntaran a Gibson como parte de su investigación sobre la filtración de Williams. Pero simplemente no lo sabemos, y es posible que el público y Gibson nunca lo sepan.
Actualizado para aclarar el párrafo 22 que atribuye la falta de clasificación de herramientas al abogado de Williams.
Source link
