35 millones de dólares en una memoria USB: exploits secretos para hackear iOS y Android se venden; el vendedor, un ingeniero con "modo Dios"

El exdirector general de la unidad Trenchant, perteneciente al contratista de defensa L3Harris, Peter Williams recientemente reconoció su culpabilidad en el robo y la venta de herramientas secretas para ciberespionaje a un intermediario extranjero. Los documentos judiciales y la investigación de TechCrunch revelaron cómo el responsable de la empresa, dedicada al desarrollo de exploits e instrumentos para operaciones cibernéticas de gobiernos occidentales, durante tres años sacó clandestinamente y revendió trabajos internos.

Según la investigación, un ciudadano australiano de 39 años, conocido entre colegas por el apodo «Doogie», sustrajo 8 vulnerabilidades de día cero que permiten vulnerar dispositivos y sistemas operativos modernos. Las costosas herramientas estaban destinadas exclusivamente a organismos gubernamentales de Estados Unidos y sus aliados. Williams estimó el valor conjunto de los exploits en 35 millones de dólares, pero recibió del intermediario apenas 1,3 millones de dólares en criptomonedas. Las operaciones se realizaron entre 2022 y julio de 2025 a través de canales cifrados.

Los documentos internos de L3Harris indican que Williams tenía el estatus de «superusuario» y contaba con acceso total a la red protegida de Trenchant con autenticación multifactor, donde se almacenaban códigos fuente, herramientas y registros de actividad. El acceso a la infraestructura se otorgaba solo a un número limitado de especialistas según el principio de necesidad de saber. Gracias a privilegios administrativos podía supervisar todo el tráfico, las acciones de los desarrolladores y los proyectos internos sin restricciones. Los colegas lo describieron como una persona de «nivel de máxima confianza» que estaba fuera del control interno.

Ese nivel de confianza lo aprovechó. Williams copió los exploits y los materiales relacionados en un disco duro externo, los sacó de las oficinas de la empresa en Sídney y Washington y luego los trasladó a equipos personales. A continuación, entregó los datos al intermediario a través de canales cifrados y mensajería, usando el seudónimo «John Taylor» y servicios electrónicos anónimos.

Según los documentos del caso, el primer comprador fue un corredor identificado en los papeles como «Empresa n.º 3». Posteriormente la fiscalía precisó que bajo ese nombre codificado se ocultaba la plataforma Operation Zero, un sitio que ofrecía hasta 20 millones de dólares por exploits para iOS y Android. En septiembre de 2023 Operation Zero publicó un anuncio sobre el aumento de pagos de 200.000 a 20 millones de dólares por herramientas únicas de intrusión; esa publicación fue identificada por la investigación como coincidente con pruebas halladas en la correspondencia de Williams.

El primer acuerdo le reportó 240.000 dólares, incluyendo un bono por soporte y actualización de código. En total las partes acordaron una suma de 4 millones, pero en la práctica solo recibió 1,3 millones. Tras la entrega de los exploits, Williams incluso advirtió que parte de su código fue utilizado por un corredor surcoreano, aunque oficialmente había vendido a otro país; el origen de esa reventa sigue sin aclararse.

En octubre de 2024 la compañía Trenchant detectó la filtración de uno de sus productos: un componente de software apareció en manos de un intermediario no autorizado. Williams fue asignado como responsable de la investigación interna y declaró que no había señales de intrusión, aunque un «exempleado» supuestamente había conectado indebidamente un dispositivo aislado a internet. En febrero de 2025 despidió a un desarrollador acusándolo de «doble empleo» y del robo de exploits para Chrome, pese a que ese ingeniero trabajaba exclusivamente en vulnerabilidades de iOS. Más tarde ese especialista recibió de Apple una notificación sobre un intento de acceso a su iPhone mediante software espía contratado. En una entrevista, el desarrollador afirmó sospechar que Williams lo implicó intencionalmente para encubrir sus propias acciones.

El FBI llegó a Williams en el verano de 2025. Durante el interrogatorio sugirió que sería posible sustraer productos de una red protegida si se cargaban en un dispositivo aislado —un ordenador sin acceso a internet—. Precisamente así, según se supo después, actuó él mismo. En agosto, tras la presentación de las pruebas, Williams confesó el robo y la entrega de las herramientas a una tercera parte.

El Departamento de Justicia de Estados Unidos valoró el perjuicio para L3Harris en 35 millones de dólares, señalando que la transferencia de medios tan complejos podría permitir a estados extranjeros realizar ciberataques contra «numerosas víctimas que no sospechan nada». Cada cargo conlleva hasta 10 años de prisión y una multa de hasta 250.000 dólares o el doble del beneficio ilícito. Según las pautas federales, el juez fijará la pena entre 7 años y 3 meses y 9 años de prisión. Además, Williams deberá pagar una multa de hasta 300.000 dólares y restituir 1,3 millones como compensación. Hasta enero de 2026, cuando se espera la sentencia, permanece bajo arresto domiciliario.

Ex empleados de Trenchant calificaron sus acciones de traición a los intereses de Estados Unidos y de un golpe al sistema de confianza del sector. Uno de los ingenieros afirmó que la transferencia de tales herramientas a otro país «destruye los cimientos de la ciberseguridad occidental y puede ser usada contra las mismas estructuras para las que se crearon estos desarrollos».

La historia de Williams se convirtió en un suceso de gran repercusión para toda la comunidad de seguridad ofensiva. Muchos especialistas reconocen que este incidente sacó a la luz fallos en el control de acceso interno a desarrollos secretos y mostró que incluso un alto nivel de confianza no protege frente a la amenaza interna.