Apple alerta al desarrollador de exploits que su iPhone fue atacado con software espía del gobierno

A principios de este año, un desarrollador quedó impactado por un mensaje que apareció en su teléfono personal: “Apple detectó un ataque de software espía mercenario dirigido contra su iPhone”.

“Entré en pánico”, dijo a TechCrunch Jay Gibson, quien pidió que no usáramos su nombre real por temor a represalias.

Gibson, que hasta hace poco desarrolló tecnologías de vigilancia para el fabricante de herramientas de piratería informática del gobierno occidental, Trenchant, puede ser el primer caso documentado de alguien que crea exploits y software espía siendo él mismo objetivo de software espía.

“¿Qué diablos está pasando? Realmente no sabía qué pensar al respecto”, dijo Gibson, y agregó que apagó su teléfono y lo guardó ese día, 5 de marzo. “Fui inmediatamente a comprar un teléfono nuevo. Llamé a mi papá. Fue un desastre. Fue un desastre enorme”.

En Trenchant, Gibson trabajó en el desarrollo de iOS días ceroes decir, encontrar vulnerabilidades y desarrollar herramientas capaces de explotarlas que no son conocidas por el proveedor que fabrica el hardware o software afectado, como Apple.

“Tengo sentimientos encontrados sobre lo patético que es esto, y luego un miedo extremo porque una vez que las cosas llegan a este nivel, nunca se sabe lo que va a pasar”, dijo a TechCrunch.

Pero el ex empleado de Trenchant puede no ser el único desarrollador de exploits atacado con software espía. Según tres fuentes que tienen conocimiento directo de estos casos, ha habido otros desarrolladores de software espía y exploits en los últimos meses que han recibido notificaciones de Apple advirtiéndoles que fueron atacados con software espía.

Apple no respondió a una solicitud de comentarios de TechCrunch.

El ataque al iPhone de Gibson muestra que la proliferación de software espía y de día cero está empezando a atrapar a más tipos de víctimas.

Históricamente, los fabricantes de software espía y de día cero han afirmado que sus herramientas sólo las implementan clientes gubernamentales examinados contra delincuentes y terroristas. Pero durante la última década, los investigadores del grupo de derechos digitales de la Universidad de Toronto Laboratorio ciudadano, Amnistía Internacionaly otras organizacioneshe encontrado decenas de casos dónde los gobiernos utilizaron estas herramientas para abordar disidentes, periodistas, defensores de derechos humanosy rivales politicos por todo el mundo.

Los casos públicos más cercanos de investigadores de seguridad que fueron atacados por piratas informáticos ocurrieron en 2021 y 2023cuando los piratas informáticos del gobierno de Corea del Norte fueron sorprendidos atacando a investigadores de seguridad que trabajaban en investigación y desarrollo de vulnerabilidades.

Sospechoso en investigación de fugas

Dos días después de recibir la notificación de amenaza de Apple, Gibson se puso en contacto con un experto forense con amplia experiencia en la investigación de ataques de software espía. Después de realizar un análisis inicial del teléfono de Gibson, el experto no encontró ningún signo de infección, pero aun así recomendó un análisis forense más profundo del teléfono del desarrollador del exploit.

Un análisis forense habría implicado enviar al experto una copia de seguridad completa del dispositivo, algo con lo que Gibson dijo que no se sentía cómodo.

“Los casos recientes se están volviendo más difíciles desde el punto de vista forense, y en algunos no encontramos nada. También puede ser que el ataque no se haya enviado por completo después de las etapas iniciales, no lo sabemos”, dijo el experto a TechCrunch.

Sin un análisis forense completo del teléfono de Gibson, idealmente uno en el que los investigadores encuentren rastros del software espía y quién lo creó, es imposible saber por qué fue atacado o quién lo atacó.

Pero Gibson le dijo a TechCrunch que cree que la notificación de amenaza que recibió de Apple está relacionada con las circunstancias de su salida de Trenchant, donde afirma que la compañía lo designó como chivo expiatorio por una filtración dañina de herramientas internas.

Manzana envía afuera amenaza notificaciones específicamente para cuando tiene evidencia de que una persona fue atacada por un ataque de software espía mercenario. Este tipo de tecnología de vigilancia a menudo se instala de forma invisible y remota en el teléfono de alguien sin su conocimiento, explotando vulnerabilidades en el software del teléfono, exploits que puede valer millones de dólares y puede tardar meses en desarrollarse. Las agencias policiales y de inteligencia suelen tener la autoridad legal para implementar software espía en objetivos, no los propios creadores de software espía.

Sara Banda, portavoz de la empresa matriz de Trenchant, L3Harris, se negó a hacer comentarios para esta historia cuando TechCrunch la contactó antes de su publicación.

Un mes antes de recibir la notificación de amenaza de Apple, cuando Gibson todavía trabajaba en Trenchant, dijo que lo invitaron a ir a la oficina de la compañía en Londres para un evento de formación de equipos.

Cuando Gibson llegó el 3 de febrero, lo convocaron inmediatamente a una sala de reuniones para hablar por videollamada con Peter Williams, el entonces gerente general de Trenchant, conocido dentro de la empresa como “Doogie”. (En 2018, el contratista de defensa L3Harris adquirido los fabricantes de día cero Azimuth y Linchpin Labs, dos startups hermanas que se fusionó para convertirse en Trenchant.)

Williams le dijo a Gibson que la compañía sospechaba que tenía doble empleo y por lo tanto lo suspendía. Todos los dispositivos de trabajo de Gibson serían confiscados y analizados como parte de una investigación interna sobre las acusaciones. No se pudo contactar a Williams para hacer comentarios.

“Estaba en shock. Realmente no sabía cómo reaccionar porque realmente no podía creer lo que estaba escuchando”, dijo Gibson, quien explicó que un empleado de TI de Trenchant fue a su apartamento a recoger el equipo que le había proporcionado la empresa.

Aproximadamente dos semanas después, Gibson dijo que Williams lo llamó y le dijo que después de la investigación, la compañía lo despediría y le ofrecería un acuerdo de conciliación y un pago. Gibson dijo que Williams se negó a explicar qué había encontrado el análisis forense de sus dispositivos y esencialmente le dijo que no tenía más remedio que firmar el acuerdo y abandonar la empresa.

Sintiendo que no tenía otra alternativa, Gibson dijo que aceptó la oferta y firmó.

Gibson le dijo a TechCrunch que más tarde escuchó de antiguos colegas que Trenchant sospechaba que había filtrado algunas vulnerabilidades desconocidas en el navegador Chrome de Google, herramientas que Trenchant había desarrollado. Sin embargo, Gibson y tres antiguos colegas suyos le dijeron a TechCrunch que no tenía acceso a los días cero de Chrome de Trenchant, dado que era parte del equipo que desarrollaba exclusivamente los días cero y el software espía de iOS. Los equipos de Trenchant solo tienen acceso estrictamente compartimentado a las herramientas relacionadas con las plataformas en las que están trabajando, dijeron las personas.

“Sé que fui un chivo expiatorio. No era culpable. Es muy simple”, dijo Gibson. “No hice absolutamente nada más que trabajar duro para ellos”.

La historia de las acusaciones contra Gibson y su posterior suspensión y despido fue corroborada de forma independiente por tres ex empleados de Trenchant con conocimiento.

Dos de los otros ex empleados de Trenchant dijeron que conocían los detalles del viaje de Gibson a Londres y estaban al tanto de sospechas de fugas de herramientas sensibles de la empresa.

Todos pidieron no ser identificados, pero creen que Trenchant se equivocó.