Identifican a un chivo expiatorio: ingeniero que creaba vulnerabilidades en iOS apagó su iPhone en pánico tras recibir una notificación de Apple

A principios de 2025 un desarrollador llamado Jay Gibson (la fuente cambió el nombre por motivos de seguridad) recibió una alerta inquietante en su iPhone personal: Apple informó que el dispositivo había sido objeto de un ataque dirigido con spyware contratado. El mensaje dejó en shock al ingeniero, que hasta hace poco desarrollaba vulnerabilidades y herramientas para intrusión en la empresa Trenchant —una filial del contratista de defensa L3Harris, especializada en el desarrollo de tecnologías de hacking gubernamental—. Podría ser el primer caso documentado en el que el creador de exploits se convierte en víctima de spyware.

Según Gibson, se asustó y, en pánico, apagó el teléfono, compró un nuevo dispositivo y contó lo ocurrido a su familia. Dijo que le costaba creer lo sucedido: la persona que desarrollaba herramientas para atacar iOS resultó ser objetivo de la misma clase de ataque contra la que él ayudaba a construir defensas.

El caso de Gibson refleja una tendencia más amplia: la difusión de malware y de vulnerabilidades de día cero (zero-day) ahora afecta no solo a activistas y periodistas, sino también a quienes trabajan en esas tecnologías. Históricamente, las empresas que crean exploits y spyware afirmaban que sus herramientas se usan exclusivamente por organismos estatales para combatir delincuentes y terroristas. Sin embargo, en los últimos diez años investigadores de Citizen Lab, Amnistía Internacional y otras organizaciones han documentado en repetidas ocasiones casos en los que gobiernos han empleado esos medios contra opositores, defensores de derechos humanos y periodistas.

Según tres fuentes cercanas al asunto, Gibson no fue el único desarrollador que recibió esa notificación de Apple. En los últimos meses advertencias similares han llegado a otros especialistas dedicados a crear exploits y software malicioso. Apple, por su parte, tradicionalmente no comenta este tipo de incidentes ni revela los criterios con los que determina la existencia de ataques.

Dos días después de recibir la alerta, Gibson contactó a un especialista en pericia informática que realizó un análisis preliminar del dispositivo. No se hallaron rastros de infección, pero el experto recomendó una investigación más profunda. Eso requería entregar una imagen de respaldo completa del teléfono, algo a lo que Gibson se negó por temor a comprometer la privacidad de sus datos. El especialista explicó que los ataques modernos son cada vez más difíciles de detectar y que, a veces, no quedan huellas, especialmente si el ataque no llegó a completarse.

Sin una pericia forense exhaustiva es imposible determinar el origen y los objetivos del ataque, pero el propio desarrollador vincula lo ocurrido con las circunstancias de su despido de Trenchant. Un mes antes de la notificación, lo citaron en la oficina de Londres, donde el gerente general Peter Williams le comunicó la sospecha de doble ocupación e inició una investigación interna. A Gibson le retiraron todos los dispositivos de trabajo y poco después fue despedido, con la oferta de firmar un acuerdo de desvinculación y recibir una compensación. Según Gibson, no le informaron del resultado de la investigación, pero más tarde supo por exempleados que la dirección sospechaba que había filtrado exploits para el navegador Chrome. Él niega categóricamente las acusaciones y subraya que trabajaba exclusivamente con vulnerabilidades de iOS y que el acceso a otros desarrollos estaba estrictamente limitado en la empresa.

Varios exempleados de Trenchant confirmaron detalles del despido de Gibson y de su viaje a Londres, y afirmaron que lo consideran inocente. Según ellos, Trenchant lo convirtió erróneamente en chivo expiatorio respecto a la supuesta filtración de herramientas.