Apple envía una alerta a un desarrollador de exploits porque su iPhone fue objetivo de spyware gubernamental

 (techcrunch.com)
2 puntos por GN⁺ 2025-10-23 | 1 comentarios | Compartir por WhatsApp
  • Apple envió una alerta de advertencia a un desarrollador de exploits diciéndole que su iPhone era objetivo de spyware gubernamental.
  • El desarrollador en cuestión era un especialista que antes trabajaba desarrollando vulnerabilidades y herramientas de iOS de día cero en Trenchant.
  • En los últimos meses se confirmaron más desarrolladores de exploits y spyware que recibieron alertas de spyware similares.
  • La expansión de Spyware y las herramientas de ataque de día cero está ampliando el alcance del daño, llegando también a distintos expertos en seguridad.
  • La superposición con sospechas internas de fuga de herramientas de hacking y con el proceso de despido sugiere la posibilidad de que se haya convertido en un chivo expiatorio.

Resumen del caso

  • A comienzos de este año, un desarrollador de herramientas de hacking recibió en su iPhone personal el mensaje: “Apple ha detectado que tu iPhone fue objetivo de un ataque de spyware mercenario dirigido”, lo que lo dejó impactado.
  • El individuo ocultó su identidad por temor a represalias y usó el seudónimo Jay Gibson.
  • Gibson se encargaba hasta hace poco de desarrollar vulnerabilidades de iOS de día cero y exploits en Trenchant, una empresa de desarrollo de herramientas de hacking para gobiernos occidentales.
  • Es la primera persona documentada en la industria que se convirtió en objetivo directo de estos ataques siendo un desarrollador de exploits y spyware.

Después del incidente

  • Gibson dijo que, con una mezcla de confusión extrema y miedo intenso por no saber de qué se trataba, apagó el teléfono de inmediato y lo apartó, luego compró uno nuevo.
  • Mencionó que su reacción fue desbordante, incluyendo llamadas a su padre, y que la situación era muy caótica en ese momento.
  • En una entrevista con TechCrunch, Gibson expresó su preocupación y dijo: “Cuando las cosas avanzan hasta este punto, nadie sabe qué puede pasar después”.

Aparición de víctimas similares en la industria

  • Además del caso de Gibson, se confirmó que durante los últimos meses hubo otros desarrolladores de spyware y exploits que también recibieron alertas de spyware de Apple.
  • Apple no respondió a la solicitud de comentarios de TechCrunch.

Efectos de la expansión de spyware y herramientas de cero día

  • El caso de Gibson muestra cómo la distribución más amplia de herramientas de día cero y spyware está diversificando las víctimas.
  • Desarrolladores de spyware y cero días habían sostenido oficialmente que solo gobiernos confiables usan las herramientas para apuntar a criminales o terroristas.
  • Sin embargo, grupos de investigación como Citizen Lab (de la Universidad de Toronto), Amnesty International y varios más han documentado decenas de casos en los últimos 10 años en los que gobiernos usaron esas herramientas repetidamente contra disidentes, periodistas, defensores de derechos humanos y rivales políticos.
  • Ya había habido casos previos en que investigadores de seguridad fueron objetivo de ataques de grupos de hackers (como en el caso de Corea del Norte), pero era inusual que el propio desarrollador de spyware fuera el objetivo.

Investigación y conflictos internos por acusaciones de fuga

Después de la alerta de Apple

  • Tras recibir la alerta, Gibson contactó a un experto con amplia experiencia en análisis forense de ataques de spyware.
  • La primera ronda de análisis no encontró trazas claras de infección, pero el experto recomendó un análisis forense más profundo.
  • Para un análisis preciso se necesitaba una copia de seguridad completa del dispositivo de Gibson; él rehusó continuar la investigación por motivos de privacidad y seguridad.
  • En algunos ataques recientes de spyware también aumenta el número de casos en que no se detectan rastros claros en el análisis forense.

Despido y conflicto interno

  • Gibson visitó la oficina de Trenchant London para participar en un evento de team building aproximadamente un mes antes de recibir la alerta de Apple.
  • Al llegar, el gerente de la empresa le notificó la suspensión y la incautación y análisis de todos sus dispositivos de la compañía por sospecha de empleo en paralelo.
  • Aproximadamente dos semanas después, Gibson recibió una notificación formal de despido y una propuesta de compensación.
  • Gibson sostiene que la empresa lo señaló como chivo expiatorio del caso de fuga de herramientas de hacking.
  • Gibson y tres compañeros señalaron que no tenían relación con el desarrollo de día cero vinculado a Chrome, y que los equipos internos estaban estrictamente separados por plataforma.
  • Los tres excompañeros de Trenchant confirmaron de forma independiente que eran ciertos el despido de Gibson, sus motivos y los rumores internos.

Implicaciones y datos adicionales

  • Este caso funciona como una señal de alerta al mostrar que la expansión de la tecnología de spyware está exponiendo incluso a expertos de la propia industria de seguridad a amenazas de ataque.
  • Aporta implicaciones sobre la militarización de vulnerabilidades por parte de gobiernos e instituciones, los riesgos de seguridad internos y los problemas de protección de desarrolladores.
  • El portavoz de L3Harris, matriz de Trenchant, rechazó hacer comentarios oficiales.
  • Gibson y sus excompañeros sostienen que él no fue el responsable del caso Leak y que el juicio de la empresa fue incorrecto.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-10-23
Opinión en Hacker News

  • He tenido entrevistas con compañías de este tipo (no la mencionada en el artículo). De hecho, después de recibir una oferta vi cómo intentaron aprovecharse de una vulnerabilidad contra mí; supongo que esta situación está en ese mismo contexto. No creo que se pueda desarrollar esto con una conciencia tranquila si el objetivo es revender las vulnerabilidades. Si esas compañías usan sin reparos herramientas de ataque incluso contra sus propios empleados, no habrá ninguna restricción para usarlas contra congresistas, tribunales, bancos de inversión y líderes de IT, que son los que realmente tienen poder. El resultado sería la capacidad de chantajear a las personas más influyentes del mundo. Por cierto, tampoco se mencionó que también estarían planeando usarlo contra activistas o periodistas.

    • Estas empresas filtran de forma natural a las personas con una fuerte brújula ética y, en el peor de los casos, atraen a quienes piensan "quiero espiar a alguien a escondidas". Eso es aterrador.

  • Si alguien pregunta si esto se puede desarrollar con buena conciencia, lo que quiero decir es que la actividad de CNE (Computer Network Exploitation) de todos modos se va a hacer de alguna forma; y la CNE suele ser más barata y causar menos daño que la inteligencia humana. Por supuesto, el abuso global de esta tecnología contra activistas políticos y periodistas es un problema gravísimo. Yo tampoco quiero trabajar en ese sector (y además ya no tengo ese tipo de capacidades). Pero quienes trabajan con tranquilidad en esta industria para países de la OTAN sí tienen argumentos lógicos: desconfiar de forma fundamental de sistemas judiciales e instituciones de inteligencia es algo minoritario, y hay muchas familias orgullosas de tener a alguien trabajando en este rubro. Aquí el punto importante es que "nuestras opiniones no significan nada". Al precio actual del mercado, casi cualquier país puede comprar tecnología CNE, y hay proveedores fuera de la OTAN que abastecen suficientemente ese mercado.

    • Que hayan ido tan lejos como a intentar un ataque es realmente impactante; me gustaría que explicaran con detalle cómo exactamente ocurrió, si te enviaron un link por SMS, o cómo fue por otro método.

    • Quizás esto podría haber sido solo parte de un proceso de entrevista.

    • Por eso no quiero trabajar en ciberseguridad. Es demasiado riesgoso, la verdad parece una zona sin ley.

  • Vi la frase del artículo que dice que podría ser "el primer caso documentado de un desarrollador de vulnerabilidades y spyware de Gibson que se convirtió en blanco de ataques de spyware", pero en los últimos meses parece que también hubo otros desarrolladores de spyware y de vulnerabilidades atacados además de Gibson.

  • Me interesa más cómo Apple toma esta decisión que el drama entre el desarrollador y su exempresa.

    • Puede que la exempresa hubiera usado un Wi-Fi sandbox o un dispositivo tipo Stingray, pero en Apple se pudo identificar que este tráfico pasaba por el canal oficial de iMessage/PushNotification.

  • La cita de "estaba en pánico" de Gibson me hizo reír, porque pensé en la posibilidad de que su nombre real fuera Jay Gibson y el reportero no lo sabía.

  • Tuve que leer el artículo de "Apple notifica al desenvolvedor de exploits" varias veces para entenderlo. Al principio lo leí como que, de algún modo, la alerta de Apple atacaba al desarrollador; luego entendí que era una alerta de Apple enviada al desarrollador de vulnerabilidades de seguridad.

    • O sea, ¿entonces Apple estaba avisándole al desarrollador de una "vulnerabilidad"? :)

  • Al final, alguien filtró una vulnerabilidad de Chrome dentro de esa empresa, y parece que esta persona fue elegida como una especie de chivo expiatorio. Esto de todos modos suena más como una historia inventada que como algo real.

  • Aunque esta persona tiene una herramienta para verificar si él (o los clientes corporativos que tiene por encima) filtró algo, pensar que no se molestarán en confirmar si "realmente fue así" es una idea muy ingenua. Probablemente también hubo un movimiento de "lo digo para asustar".

  • Leyendo la cita de "estaba en pánico", luego aparece en el texto algo así como "sin un análisis forense detallado, no se puede saber por qué fue atacado" y "cree que la notificación de amenazas de Apple está relacionada con su salida de Trenchant". Lo interesante es que (1) nunca esperó que eso le pasara a él, (2) da entrevistas, pero por lo que indica teme represalias. Francamente, con este nivel de exposición, la gente que realmente quiere saber ya conoce su nombre.

    • Esta historia, en serio, huele bastante a ficción. O este tipo no era una figura conocida en la industria como francotirador en la escena. Si trabajas en investigación de vulnerabilidades, estás obligado a comprender de forma clara todos los vectores de ataque, y si estás en una empresa sensible como Trenchant, no usarías un dispositivo de Apple (al menos no por completo) para el trabajo.

    • De forma general uno suele tener un celular público común y otro privado con mucha seguridad adicional. En un iPhone, al mirar el tráfico en el router se ve que hay un montón de datos saliendo hacia Apple que ya están fuera de tu control. En cambio, con el teléfono Android que llevo cuando viajo, con root y de-googled, haciendo la misma prueba apenas aparece tráfico NTP, y eso solo para prevenir desviación de hora de certificados.

    • En este contexto, salir a hablar con los medios también puede ser una elección estratégica para evitar desaparecer.

  • En la parte de "el software de monitoreo hecho por Gibson se convirtió en el primer caso documentado de Gibson como objetivo de spyware que él mismo construyó", se me viene a la mente el meme de "los leopardos se comieron mi cara". Al final, estas herramientas se desarrollan para ser realmente usadas.

    • Es un hecho bien conocido en la industria que desde hace más de 20 años los desarrolladores de vulnerabilidades han sido el blanco principal del spyware. El periodista parece no conocer a fondo el funcionamiento de este entorno.

    • Si te interesa qué es el meme de "leopards ate my face", puedes verlo aquí.

    • Todo el artículo se siente como una pelea de "tú decías esto, yo decía esto" que sale después de que Gibson fue despedido de Trenchant/L3Harris.

  • También pasé por algo parecido en un contrato del sector defensa años atrás, así que empato bastante con Gibson. Estas empresas atraen gente con sueldos altos y la promesa de "hacer trabajo bueno", luego exprime toda su energía para sacar ganancias y, cuando surge un problema, pasan toda la responsabilidad (sobre todo si alguien reporta internamente algo corrupto o un error con la conciencia, se lo echan de inmediato y lo queman en la industria). Trabajar para esas empresas es lo mejor, pero la gente sigue cayendo por esa idea ingenua de "hacer algo bueno" o "atrapar al malo". Finalmente, todo termina como “los leopardos se comieron mi cara”.

    • La idea de que "si te alistas, sacas una autorización top-secret, te encargan administrar LAN y enseñar a los oficiales a poner imágenes en PowerPoint, nunca te quedarás desempleado" suena bien al inicio, pero al final lo único que te toca es ser una pieza intercambiable en la guerra de PowerPoint de alguien. Todas las reuniones son una obra teatral de alto riesgo de “sí, claro”, la responsabilidad es opcional y si hablas te cortan de raíz; incluso un error de miles de millones se despacha como "lección aprendida", mientras para mí es solo “ser honesto”. Es como un juego de "el rey está desnudo" donde todos tiemblan con la soga en el cuello y ansiedad de fuga de secretos.