Mercenarios estadounidenses vendieron un exploit de iPhone a Emiratos Árabes Unidos por 1.3 millones de dólares, de acuerdo con el Departamento de Justicia norteamericano.
PUBLICIDAD
Un exploit es un programa informático que se aprovecha de un error o vulnerabilidad para provocar un comportamiento imprevisto en un software. Llamado Karma, este exploit de seguridad de cero clics fue utilizado en 2019 por antiguos agentes de inteligencia de Estados Unidos.
La herramienta tenía límites, al no poder trabajar contra dispositivos Android y no interceptar llamadas.
Sin embargo, los antecedentes completos no se conocían entonces. Ahora, el Departamento de Justicia cuenta todo lo sucedido.
La historia del exploit de iPhone
Según el organismo, un equipo de antiguos agentes de inteligencia (Marc Baier, Ryan Adams y Daniel Gericke) hackeó los iPhones de activistas, diplomáticos y líderes extranjeros rivales con la herramienta de espionaje Karma.
Con Karma, el acceso a cualquier iPhone era sencillo. Simplemente se cargaban números de teléfono o cuentas de correo electrónico en un sistema de orientación automatizado.
Habla el Departamento de Justicia: “La herramienta fue inusualmente potente porque, a diferencia de muchos exploits, Karma no requería que un objetivo hiciera clic en un enlace enviado a un iPhone”.
PUBLICIDAD
Al activarse el exploit, el gobierno de Emiratos Árabes Unidos obtuvo fotos, correos electrónicos, mensajes de texto y datos de ubicación de los iPhones, además de acceso a contraseñas.
La herramienta se utilizó en 2016 y 2017 antes de ser bloqueado por una actualización de seguridad de Apple.
¿Quién estuvo detrás de todo esto?
La firma Accuvant, que por mucho tiempo trabajó con contratistas militares norteamericanas, desarrolló y vendió el exploit, según explica MIT Technology Review. Luego se unió con una compañía más grande, Optiv.
No obstante, Optiv no es parte de la investigación del Departamento de Justicia, según el portavoz de la empresa, Jeremy Jones. “Sin embargo, el papel de Accuvant como desarrollador y vendedor de exploits fue lo suficientemente importante como para ser detallado en los documentos judiciales”, indica MIT Technology Review.
Los exagentes acusados por el Departamento de Justicia firmaron un acuerdo de enjuiciamiento diferido que restringe sus actividades y empleos futuros.
Además, debieron pagar 1.7 millones de dólares en multas por violar el control de exportaciones de Estados Unidos, fraude informático y leyes de fraude de dispositivos de acceso.