Un caso que sacudió a la comunidad de ciberseguridad y a los círculos de inteligencia occidentales acaba de cerrarse en los tribunales, aunque deja más de una pregunta incómoda en el aire. Peter Williams, un veterano ejecutivo del sector y exdirectivo de L3Harris, fue condenado el martes a 87 meses de prisión tras declararse culpable de robar y vender herramientas de hacking y vigilancia a una firma rusa.

Según los fiscales, Williams “traicionó” a Estados Unidos al filtrar secretos comerciales de su antigua empresa a cambio de 1,3 millones de dólares en criptomonedas, en un periodo que abarca de 2022 a 2025. El comprador fue Operation Zero, un corredor de exploits al que el gobierno estadounidense describe como “uno de los brokers de exploits más nefastos del mundo”. La condena llega después de una de las filtraciones más relevantes de herramientas de intrusión desarrolladas en Occidente en los últimos años.

Williams, ciudadano australiano de 39 años y residente en Washington, D.C., dirigía Trenchant, una división de L3Harris dedicada a desarrollar herramientas de hacking y vigilancia para el gobierno de EE. UU. y sus socios de inteligencia más cercanos. Los fiscales sostienen que aprovechó su “acceso total” a redes seguras de la compañía para descargar herramientas en un disco duro portátil y, posteriormente, en su ordenador.

Para entender la gravedad del asunto conviene recordar qué hace un equipo como Trenchant: sus especialistas analizan software masivo y popular —de compañías como Google y Apple— para encontrar fallos ocultos entre millones de líneas de código. Cuando esos fallos aún no son conocidos por el fabricante, se convierten en “zero-days”, vulnerabilidades extremadamente valiosas que pueden cotizarse por millones porque permiten ataques fiables antes de que exista un parche.

El Departamento de Justicia alegó que las herramientas vendidas por Williams podrían haber permitido a sus usuarios “acceder potencialmente a millones de computadoras y dispositivos en todo el mundo”. Sin embargo, aún no se sabe qué exploits específicos fueron robados y revendidos. Trenchant estimó pérdidas por 35 millones de dólares, de acuerdo con documentos judiciales. La defensa de Williams, por su parte, afirmó que las herramientas sustraídas no estaban clasificadas como secreto gubernamental.

El caso también expone cómo opera el mercado gris (y a veces negro) de los zero-days. Operation Zero ofrece pagos millonarios por vulnerabilidades en Android e iOS, además de aplicaciones como Telegram y plataformas como Windows, e incluso hardware de servidores y routers. En una audiencia previa, fiscales leyeron un mensaje publicado en X por Operation Zero que hablaba de aumentar pagos por “exploits móviles de primera línea” y remarcaba que el “usuario final” sería un país “no OTAN”.

Hay un detalle político imposible de ignorar: cuando Williams vendió los exploits al broker ruso, la invasión a gran escala de Ucrania por parte de Putin ya estaba en marcha. Y el mismo día de la sentencia, el Departamento del Tesoro de EE. UU. anunció sanciones contra Operation Zero y su fundador, Sergey Zelenyuk, calificando a la firma como una amenaza para la seguridad nacional. El Tesoro añadió además que el broker “vendió esas herramientas robadas a al menos un usuario no autorizado”, pero sin revelar quién fue.

Esa falta de claridad alimenta una de las preguntas centrales: ¿en manos de quién terminaron realmente las herramientas? Podría tratarse de un servicio de inteligencia extranjero, pero también de un grupo criminal. El Tesoro sancionó igualmente a Oleg Vyacheslavovich Kucherov, señalado como presunto miembro de Trickbot, que también habría trabajado con Operation Zero.

Otra incógnita crítica es si las empresas afectadas —Apple, Google u otras— fueron alertadas para corregir las fallas. En un escenario así, cada día cuenta: si un zero-day se filtra, deja de ser solo una ventaja estratégica y se convierte en un riesgo sistémico para usuarios comunes. Cuando se consultó a Apple y Google, ninguna respondió. L3Harris tampoco.

Y como si el caso no fuera ya lo suficientemente turbio, aparece la figura del “chivo expiatorio”. Antes de que la historia se hiciera pública, Trenchant despidió a un empleado después de que Williams lo acusara de robar y filtrar zero-days de Chrome. En la sentencia, los fiscales confirmaron que ese empleado fue despedido y que Williams “se quedó de brazos cruzados” mientras otro era culpado por su conducta. La defensa lo negó y sostuvo que el despido se debió a mala conducta.

Tras el despido, ese ex empleado —identificado con el alias Jay Gibson— recibió una notificación de Apple: su iPhone personal había sido objetivo de un “ataque de spyware mercenario”. La alerta llegó el 5 de marzo de 2025, meses después de que la investigación del FBI ya estuviera en marcha. ¿Quién intentó hackearlo y por qué? La hipótesis de que haya sido parte de una investigación oficial es plausible, pero sigue sin confirmación.

El expediente judicial ya está cerrado, pero el impacto no. La condena de Williams muestra lo frágil que puede ser la cadena de confianza cuando herramientas de intrusión de alto nivel salen de entornos controlados. Y también deja una advertencia incómoda: en el mundo de los zero-days, el valor de un fallo no está solo en descubrirlo, sino en quién termina comprándolo… y para qué.