No eran simples "vulnerabilidades", sino ciberarmas vendidas a Rusia: empleado de L3Harris recibió millones en criptomonedas por secretos de EE. UU.
El FBI desmantela una red que vendía zero-days estadounidenses
El ex empleado del contratista de defensa L3Harris, Peter Williams, se declaró culpable en un tribunal federal de EE. UU. de dos cargos por robo de secretos comerciales, admitiendo que vendió 8 vulnerabilidades de día cero a un intermediario ruso por millones de dólares en criptomonedas.
Según los documentos del caso, Williams, de 39 años, durante tres años, trabajando en una filial llamada Trenchant, copió ilegalmente componentes de software internos creados exclusivamente para las necesidades del gobierno de EE. UU. y sus aliados. Estas herramientas, destinadas a operaciones cibernéticas, las revendía a un corredor que se presenta públicamente como proveedor de exploits para diversos clientes.
La investigación determinó que las transacciones se realizaron a través de canales cifrados desde 2022 hasta este año. Williams firmó contratos con el intermediario que en los documentos judiciales aparece como «Compañía n.º 3», y recibió pago en criptomonedas, parte del cual luego gastó en artículos de lujo. Durante las audiencias, los fiscales precisaron que bajo esa denominación se encuentra Operation Zero —una plataforma que se describe a sí misma como «la única plataforma oficial para la compra de vulnerabilidades de día cero».
Los fiscales citaron una publicación de Operation Zero en redes sociales, donde la compañía ofrecía millones de dólares por exploits para iOS y Android, subrayando que el cliente final «no es un país miembro de la OTAN». Según la acusación, esa formulación coincide con el texto del anuncio publicado en 2023.
El departamento informó que Williams prestó servicio anteriormente en la Agencia de Señales de Australia, y luego pasó a Trenchant, donde tuvo acceso a herramientas de software desarrolladas para operaciones cibernéticas de seguridad nacional. Durante ese periodo, robó los códigos fuente y los desarrollos internos.
El Departamento de Justicia estimó los daños al contratista de defensa en 35 millones de dólares, indicando que la transferencia de herramientas tan sofisticadas pudo haber proporcionado a actores extranjeros medios para ataques cibernéticos contra «numerosas víctimas desprevenidas». Cada cargo conlleva hasta 10 años de prisión y una multa de hasta 250.000 dólares o el doble del beneficio ilícito. Según las directrices federales, la pena que determine la jueza Lauren Alihan será de 7 años y 3 meses a 9 años. Además, a Williams se le impondrá una multa de hasta 300.000 dólares y deberá pagar 1,3 millones como compensación por daños. Hasta la emisión de la sentencia, prevista para enero, Williams está bajo arresto domiciliario.
En el Departamento de Justicia calificaron las acciones de Williams como «una traición a los intereses de EE. UU. y a su propio empleador», subrayando el carácter deliberado del delito. La fiscalía señaló que los comerciantes internacionales de exploits se están convirtiendo en «un nuevo tipo de traficantes de armas», y destacó que las investigaciones de casos similares contra personas con acceso interno y intermediarios siguen siendo una prioridad para los servicios de inteligencia.
¿Estás cansado de que Internet sepa todo sobre ti?