Un veterano ejecutivo de ciberseguridad que, según los fiscales, “traicionó” a Estados Unidos pasará al menos los próximos siete años tras las rejas después de declararse culpable de robar y vender herramientas de piratería y vigilancia a una empresa rusa.
Peter Williams, ex ejecutivo de la firma de defensa estadounidense L3Harris, fue sentenciado el martes a 87 meses de prisión por filtrar los secretos comerciales de su antigua empresa a cambio de 1,3 millones de dólares en criptomonedas entre 2022 y 2025. Williams vendió los exploits a Operation Zero, que el gobierno de EE. UU. llama “uno de los intermediarios de exploits más nefastos del mundo”.
La condena exitosa de Williams sigue a una de las filtraciones más notorias de herramientas de piratería sensibles fabricadas en Occidente en los últimos años. Incluso ahora que el caso está cerrado, todavía quedan preguntas sin respuesta.
Williams, un ciudadano australiano de 39 años que residía en Washington, D.C., era el director general de Trenchant, la división de L3Harris que desarrolla herramientas de piratería informática y vigilancia para el gobierno de Estados Unidos y sus socios de inteligencia globales más cercanos. Los fiscales dicen Williams disfrutó de “acceso total” a las redes seguras de la empresa para descargar las herramientas de piratería en un disco duro portátil y luego en su computadora. Williams se puso en contacto con Operation Zero bajo un alias, por lo que no está claro si Operation Zero conoció alguna vez la verdadera identidad de Williams.
Trenchant es un equipo de hackers y cazadores de errores que profundizan en otro software popular creado por empresas como Google y Apple, identifican fallas en esos millones de líneas de código y luego desarrollan técnicas para convertir esas fallas en exploits viables que pueden usarse para piratear esos productos de manera confiable. Estas herramientas normalmente se denominan día cero exploits porque se aprovechan de fallas de software desconocidas para su desarrollador, que podría valer millones de dólares.
EL Departamento de Justicia de EE.UU. supuestamente que las herramientas de piratería vendidas por Williams podrían haber permitido a quien las usara “potencialmente acceder a millones de computadoras y dispositivos en todo el mundo”.
Durante los últimos meses, he estado hablando con fuentes e informando sobre la historia de Williams antes de la noticia de que él había sido arrestado. Pero lo que escuché fue una mezcla de mosaicos y, a veces, contradictoria. Hemos oído que alguien fue arrestado, pero dada la naturaleza secreta del trabajo involucrado en el desarrollo de exploits, sería un desafío probarlo.
Contáctenos
¿Tiene más información sobre este caso y la supuesta filtración de herramientas de hacking de Trenchant? Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico.
Cuando escuché por primera vez sobre Williams, no estaba seguro de haber entendido bien su nombre. En ese momento, su historia era un rumor, hecho pasar como susurros secretos de desarrolladores, proveedores y personas vinculadas a la comunidad de inteligencia de exploits de día cero.
Escuché que tal vez se llamaba John, ¿o tal vez Duggan? O todas las diferentes formas de escribirlo en inglés.
Algunos de los primeros rumores que escuché fueron contradictorios. ¿Aparentemente le robó días cero a Trenchant y quizás los vendió a Rusia, o quizás a otro enemigo de Estados Unidos y sus aliados, como Corea del Norte o China?
Pasaron semanas hasta confirmar que efectivamente había alguien que encajaba en esa descripción. (Resulta que el segundo nombre de Williams es John y Doogie es su apodo en los círculos de hackers).
Luego, a medida que pasaron las semanas de informes, las cosas empezaron a aclararse mucho.
La conexión rusa
Como Lo revelé por primera vez en octubre.Trenchant despidió a un empleado después de que Williams, que todavía era el jefe de Trenchant, acusara al empleado de robar y filtrar los días cero de Chrome. La historia fue aún más intrigante porque el empleado me dijo que después de ser despedido, Apple le notificó que alguien había atacado su iPhone personal.
Lo que aprendí fue sólo la punta del iceberg. Había escuchado más de mis fuentes, pero todavía estábamos reconstruyendo partes de la historia.
Poco después, los fiscales presentaron sus primeros cargos formales contra un hombre llamado Peter Williams por robo de secretos comerciales, que salieron a la luz por primera vez en el sistema judicial público de Estados Unidos. En ese primer documento judicial, los fiscales confirmaron que el comprador de estos secretos comerciales era un comprador en Rusia.
Sin embargo, no hubo ninguna referencia explícita a L3Harris o Trenchant, ni al hecho de que los secretos comerciales que robó Williams eran de día cero. Fundamentalmente, todavía no hemos podido confirmar con seguridad si se trata del mismo Peter Williams, que pensábamos que tendría acceso a hazañas altamente clasificadas como jefe de Trenchant, y no algún caso horrible de identidad equivocada.
A nosotros todavía ellos no estaban allí.
Por una corazonada y sin nada que perder, contactamos al Departamento de Justicia para preguntar si podían confirmar que la persona en el documento era en realidad Peter Williams, exjefe de L3Harris Trenchant. Lo confirmó un portavoz.
Finalmente, la historia estaba fuera. Una semana después, Williams se declaró culpable.
Cuando escuché por primera vez su historia, aunque confiaba en mis fuentes, seguí siendo escéptico. ¿Por qué alguien como Williams haría lo que decían los rumores? Pero lo hizo, y lo hizo por dinero, alegan los fiscales, que Williams utilizó para comprar una casa, joyas y relojes de lujo.
Fue una notable caída en desgracia para Williams, alguna vez visto como un hacker talentoso y brillante, y especialmente para alguien que anteriormente trabajó en la principal agencia de espionaje extranjera de Australia y sirvió en el ejército del país.
¿Qué pasó con las propiedades robadas?
Todavía no sabemos específicamente qué exploits y herramientas de piratería robó y vendió Williams. Trenchant estimó una pérdida de 35 millones de dólares, según documentos judiciales, pero dijo que las herramientas robadas no estaban clasificadas como secretos del gobierno.
Podemos obtener algunas ideas según las circunstancias del caso.
Dado que el Departamento de Justicia dijo que las herramientas robadas podrían usarse para piratear “millones de computadoras y dispositivos”, es probable que las herramientas se refieran a días cero en software de consumo popular como dispositivos Android, iPhones y iPads de Apple y navegadores web.
Hay algunas pruebas que apuntan en su dirección. Durante una audiencia el año pasado, los fiscales leyeron en voz alta una publicación publicada en X por Operación Cero, según el periodista independiente de ciberseguridad Kim Zetterque asistieron a la audiencia.
“Debido a la gran demanda en el mercado, estamos aumentando los pagos por exploits móviles de alta gama”, decía la publicación, que mencionaba específicamente a Android e iOS. “Como siempre, el usuario final es un país que no pertenece a la OTAN”.
Operación Cero ofrece millones de dólares para obtener detalles sobre vulnerabilidades de seguridad en dispositivos Android y iPhone, aplicaciones de mensajería como telegramacomo esto otros tipos de softwarecomo Microsoft Windows y proveedores de hardware, como varias marcas de servidores y enrutadores.
Operación Cero reclamos trabajar con el gobierno ruso. Cuando Williams vendió sus hazañas al intermediario ruso, la invasión a gran escala de Ucrania por parte de Putin ya estaba en marcha.
El mismo día en que Williams fue condenado, el Tesoro de Estados Unidos anunció que impuso sanciones contra la Operación Cero y su fundador, Sergey Zelenyuk, calificando a la empresa de amenaza a la seguridad nacional. Esta fue la primera confirmación del gobierno de que Williams había vendido las hazañas a Operación Cero.
En su declaración, el Tesoro dijo que el intercambio “vendió estas herramientas robadas a al menos un usuario no autorizado”. En este momento no sabemos quién es este usuario. El usuario podría ser un servicio de inteligencia extranjero o una banda de ransomware, ya que el Tesoro también sancionó a Oleg Vyacheslavovich Kucherov, un presunto miembro de la banda Trickbot, que también supuestamente trabajó con la Operación Cero.
En un documento judicial, los fiscales dijeron que L3Harris pudo descubrir que “un proveedor no autorizado estaba vendiendo un componente” de uno de los secretos comerciales robados “al comparar datos de proveedores específicos de la empresa encontrados en un componente robado coincidente”.
Los fiscales también dijeron que Williams “reconoció que el código que escribió y vendió” a Operation Zero “siendo utilizado por un corredor de Corea del Sur”, sugiriendo además que tanto L3Harris como los fiscales saben qué herramientas fueron robadas y vendidas a Operation Zero.
Otra pregunta sin respuesta es: ¿alguien, ya sea el gobierno de EE. UU. o L3Harris, ha alertado a Apple, Google o cualquier empresa de tecnología de que sus productos se vieron afectados por las fallas de día cero ahora que se han filtrado los exploits?
A cualquier empresa o desarrollador le gustaría saber que alguien podría haber usado (o aún podría usar) un día cero contra sus usuarios y clientes para poder corregir las fallas lo más rápido posible. Y en este punto, los días cero no sirven de nada para L3Harris y sus clientes gubernamentales.
Cuando pregunté a Apple y Google, ninguna de las dos respondió a mis preguntas. L3Harris tampoco respondió.
¿Quién hackeó a Scapegoat y por qué?
Luego está el misterio del chivo expiatorio, que fue despedido después de que Williams lo acusara de robar y filtrar código.
Al dictar sentencia, los fiscales del Departamento de Justicia confirmado que el empleado fue despedido, diciendo que Williams “se quedó al margen mientras se culpaba esencialmente a otro empleado de la empresa por [his] propia conducta”. En respuesta, el abogado de Williams rechazó a los fiscales, alegando que el ex empleado “fue despedido por mala conducta”, citando acusaciones de doble empleo y manejo inadecuado de la propiedad intelectual de la empresa.
Según un documento judicial presentado por los abogados de Williams, como parte de la investigación interna de L3Harris, la empresa puso al empleado en licencia, confiscó sus dispositivos, los transfirió a EE.UU. y “los ofreció al FBI”.
Cuando se le contactó para hacer comentarios, un portavoz anónimo del FBI dijo que la agencia no tenía nada que agregar más allá de la declaración del Departamento de Justicia. presione soltar.
Tras ser despedido, este empleado, al que identificamos con el seudónimo de Jay Gibson, recibió una notificación de Apple de que su iPhone personal era objetivo de “un ataque de software espía mercenario”.
Basura enviar aquellos notificaciones a usuarios que creen que han sido blanco de ataques utilizando herramientas como las creadas por NSO Group o Intellexa.
¿Quién intentó hackear a Gibson? Recibió la notificación el 5 de marzo de 2025, más de seis meses después de que comenzara la investigación del FBI. El FBI “interactuó regularmente con [Williams] a finales de 2024 hasta el verano de 2025”, según un documento judicial.
Dada la naturaleza de las herramientas filtradas, es plausible que el FBI, o quizás incluso una agencia de inteligencia estadounidense, apuntara a Gibson como parte de la investigación sobre las filtraciones de Williams. Pero simplemente no lo sabemos, y existe la posibilidad de que ni el público ni Gibson se enteren nunca.
