• Home /

  • /

  • Detienen a un investigador de ciberseguridad acusado de estafar a Apple 2,5M$

Ciberseguridad

Detienen a un investigador de ciberseguridad acusado de estafar a Apple 2,5M$

Se había ganado una buena reputación al ayudar a Apple a identificar vulnerabilidades, pero explotó una para robar iPhones, ordenadores Mac y tarjetas regalo.

2 minutos

Con la popularización de los dispositivos Apple a finales de la década de 2000 también comenzaron sus problemas de seguridad.

Un investigador de ciberseguridad, que habitualmente explora vulnerabilidades relacionadas con el 'software' de Apple, ha sido acusado de encontrar un fallo en un sistema 'backend' de la compañía y utilizarlo para robar iPhones, ordenadores Mac y tarjetas regalo, valorados en alrededor de 2,5 millones de dólares (2,3 millones de euros al cambio).

El supuesto autor del robo es un investigador de ciberseguridad conocido como Noah Roskin-Frazee, que ya ha investigado y alertado sobre distintos fallos de seguridad de Apple en varias ocasiones. De hecho, la propia compañía tecnológica ha mostrado agradecimientos hacia Roskin-Frazee por las vulnerabilidades identificadas anteriormente, tal y como se muestra, por ejemplo, en el documento sobre seguridad de macOS Sonoma 14.2, publicado el pasado mes de enero.

Sin embargo, tal y como ha informado 404Media, y ha recogido 9to5Mac, el investigador habría acabado estafando a Apple obteniendo productos como 'smartphones' iPhone, ordenadores Mac y tarjetas regalo, valorados en 2,5 millones de dólares, aprovechando un fallo en un sistema 'backend' de la compañía.

Como explican, el investigador encontró una vulnerabilidad en un sistema 'backend', es decir, en una parte no visible del sistema, en un 'software' de Apple al que se refieren como Toolbox. Se trata de un 'software' que la compañía utiliza para gestionar los pedidos de sus productos, de manera que las solicitudes de compra se puedan poner en espera y editar cuando sea necesario.

Así, el investigador habría aprovechado este fallo en el 'software' Toolbox para, con ayuda de un supuesto cómplice, el investigador Keith Latteri, realizar un ataque de escalada al sistema, obtener acceso y manipular los pedidos.

El ataque de escalada comenzó con el acceso a una cuenta de un empleado a través de una herramienta de restablecimiento de contraseña. En concreto, lograron acceder a una cuenta que pertenecía a una empresa señalada internamente como Empresa B que, según 404Media y 9to5Mac, es un servicio externo que se dedica a gestionar la atención al cliente en Apple.

Una vez entraron a dicha cuenta, los investigadores la utilizaron para acceder a cuentas de otros empleados, hasta llegar a una que contenía acceso a los servidores VPN de la Empresa B. De esta forma, usaron los servidores para entrar en el 'software' Toolbox de Apple.

Al tener acceso a Toolbox, los investigadores pudieron estafar a la compañía tecnológica realizando cambios en los pedidos que se estaban gestionando antes de ser enviados. Por ejemplo, según informan los medios mencionados anteriormente, escogieron pedidos de móviles iPhone y ordenadores Mac, y cambiaron la cantidad a pagar a 0 dólares.

De la misma forma, manipularon los pedidos para añadir más dispositivos y cambiaron el precio de tarjetas regalo solicitadas, también a 0 dólares. Finalmente, añadieron nombres falsos al pedido y cambiaron las direcciones de envío para hacerse con los productos de Apple.

Con todo ello, según 404Media, el investigador Noah Roskin-Frazee ha sido arrestado por el supuesto fraude a Apple valorado en 2,5 millones de dólares.