¿Te imaginas estafar millones de euros y que la empresa estafada te lo agradezca? Es lo que literalmente le ha sucedido a Noah Roskin-Frazee, un investigador de seguridad que llegó a destapar una importante vulnerabilidad de los sistemas de Apple y que, pese a estar aún investigado tras su detención, obtuvo el agradecimiento de la compañía californiana.
No en vano, a menudo observamos como estas grandes compañías premian a los hackers que descubren sus agujeros de seguridad, aunque en este caso es algo extraño al haberse aprovechado Noah de esas vulnerabilidades. Sea como fuere, es una historia de lo más interesante y que en Apple conocen bien.
"Gracias por robarnos, no volverá a ocurrir"
Literalmente no fue este el agradecimiento emitido por Apple, pero en cierto modo se puede interpretar así. Al final lo que a Apple le importa más es conocer qué agujeros de seguridad tienen sus sistemas para así poderlos cubrir y evitar que sean explotados. El caso de Noah Roskin-Frazee les sirvió para conocerlo, aunque una vez que ya había estafado una cantidad millonaria.
En el perfil de Noah en X (Twitter) leemos que es técnico acreditado por Apple y, según han podido saber en 404media, trabaja para la conocida empresa de ciberseguridad ZeroClicks Lab. Por tanto, partimos con que es ya una persona experta en descubrir vulnerabilidades y, a tenor de los últimos hechos, también de explotarlas.
Según se ha revelado, Noah aprovechó una vulnerabilidad de los servidores VPN de Apple para acceder a la cuenta de un empleado del equipo de atención al cliente. Gracias a ello obtuvo permisos para editar los pedidos realizados a través de la Apple Store online. Un poder que le permitía incluso editar los precios.
La continuación de esta historia, ya la imaginarás. Noah añadía todo tipo de productos como MacBook y iPhone a cero dólares en pedidos reales que, presuntamente, acababan llegando a diferentes direcciones con nombres falsos y con el fin de que acabasen en su poder sin revelar su identidad.
También se añadían tarjetas de regalo o servicios adicionales como los de AppleCare+. Se estima que al final el valor total de lo obtenido ha sido de alrededor de 2,5 millones de dólares. Todo ello, claro, son pérdidas para Apple y que se habrían estado produciendo entre diciembre de 2018 y marzo de 2019.
Se desconoce si Apple ha tomado parte en la denuncia a este investigador, pero sí que curiosamente Noah sale referenciado en los agradecimientos de Apple en algunas actualizaciones de seguridad recientes como la de macOS 14.2, donde figura su nombre en los créditos de un fallo de accesibilidad, otro de los AppleEvents y finalmente en el Wi-Fi.
Vía | 9to5Mac
En Applesfera | Si te niegas a actualizar a iOS 17.4 te expones a estas cuatro vulnerabilidades de seguridad graves
En Applesfera | Cómo se originó la idea del "modo antirrobo" del iPhone y por qué Apple solo ha podido implementarla ahora