Corellium: la startup “mágica” que hackea el iPhone y ahora puede desaparecer

A mediados de agosto, Amanda Gorton y Chris Wade estaban sentados estupefactos en sus oficinas de Boynton Beach, Florida. Acababan de recibir una  demanda que podría terminar con su startup.

En la bandeja de entrada de Gorton había un correo enviado por un periodista que contenía una demanda presentada por Apple, el coloso de la tecnología, contra Corellium, la empresa del matrimonio. La brusquedad con la que apareció la demanda opacaba la gravedad de las acusaciones que habían formulado en su contra: copiar ilegalmente el dispositivo tecnológico más famoso del mundo, el iPhone.

Corellium, calificada de “mágica” por algunos usuarios, “virtualiza” los iPhone, o sea, los transforma en algo con lo que podés jugar en una PC. Sus clientes pueden manipular el sistema operativo iOS para encontrar problemas funcionales o vulnerabilidades de seguridad sin riesgo de romper el iPhone, un dispositivo famoso por ser muy cerrado y no aceptar nada que no apruebe Apple. A diferencia de las pruebas con iPhone de verdad, si se muere el teléfono, se puede cargar otro, algo útil para analistas de seguridad, desarrolladores y los “jailbreakers”, gente que se dedica por hobby a recuperar el control de su iPhone. Pero para Apple, todo eso constituye una violación del copyright de su producto porque lo “replica” sin permiso.

Para Wade, un australiano de rulos y anteojos con los ojos bien abiertos e intensos de un experto en tecnología, y su esposa Gorton, más serena y educada en Yale, la noticia de que Apple los estaba demandando fue un “golpe al estómago”. En entrevistas exclusivas con los fundadores y documentos que mostraron antes de presentar su  réplica legal a Apple la noche del lunes, Forbes se enteró de que el fabricante del iPhone estaba evaluando comprar la primera startup de Gorton y Wade, una antecesora de Corellium llamada Virtual. Y parece que durante años las relaciones entre las partes fueron amigables hasta que estalló todo en agosto.

Cuando Wade se enteró de la demanda, creyó que era una broma. No lo era. Los analistas que miran de afuera cómo un Goliath calienta para atacar a un valeroso David esperan, por la seguridad del iPhone, que puedan llegar a un acuerdo. “Hasta donde entiendo, muchos investigadores de seguridad usaron Corellium y enviaron errores a Apple”, afirmó Kurt Opsahl, vicedirector ejecutivo y director del departamento jurídico de la Electronic Frontier Foundation.

Apple no quiso hacer comentarios sobre el tema de esta nota. La empresa indicó a Forbes que leyera la demanda original contra Corellium, en la cual afirma que no busca “estorbar la investigación sobre seguridad hecha en buena fe, sino terminar con la comercialización ilegítima por parte de Corellium de las valiosas obras protegidas por copyright de Apple”. En un resumen de la durísima opinión que tiene de Corellium, la empresa de Cupertino escribió: “El verdadero objetivo de Corellium es lucrar con sus violaciones descaradas. En vez de ayudar a solucionar vulnerabilidades, Corellium alienta a sus usuarios a vender toda información que descubran al mejor postor en el mercado abierto”.

El corazón de la manzana

La larga relación entre Apple y Gorton y Wade se remonta a por lo menos el comienzo de esta década. En aquel entonces, la pareja trabajaba en OpenPeak, una compañía de gestión de dispositivos móviles para empresas que había llamado la atención de Mark Templeton, por entonces CEO de Citrix, que evaluaba adquirirla. Poco después de que Templeton se reuniera con Wade y afirmara haber quedado impresionado por la capacidad del australiano para hacer cosas consideradas “imposibles”, Citrix compró Virtual, una startup fundada por la pareja en 2014.

Pero al venderse a Templeton, Virtual tuvo que rechazar a otro pretendiente: Apple. Un documento que detalla un acuerdo entre Apple y Virtual visto por Forbes le prohibía a esta última negociar una adquisición con otra empresa durante 45 días mientras la empresa de Cupertino evaluaba si quería comprarla.

¿Eso le molestó a Applé ¿Se trata de una venganzá Wade y Gorton no están seguros. Gorton afirma que a su marido y ella los entusiasmaba que a una empresa tan grande le interesara su empresa embrionaria.

La pareja habla de relaciones amistosas con Apple. Wade sostiene que le pasaba a Apple detalles sobre debilidades de su seguridad con regularidad. En 2016, cuando Apple anunció que lanzaría el llamado “Bug Bounty”, en cuyo marco los investigadores reciben recompensas monetarias por divulgar vulnerabilidades en iOS (hoy pagan hasta US$ 1,5 millones), Wade planificó financiar parcialmente a Corellium con esas recompensas. Quería hacer eso con transparencia, afirma, y en un correo fechado el 27 de septiembre de 2017, Wade le dijo explícitamente a Jason Shirk, gerente de los programas de seguridad y privacidad de Apple, que comenzaría a enviar informes de fallas para financiar su startup de virtualización de iPhone.

Los documentos también sugieren que Apple alentó a Corellium en sus comienzos. Correos electrónicos presentados a Forbes indican que como mínimo Apple quedó impresionada. En los comienzos de Corellium, en agosto de 2017, Apple organizó una cena en China para la Tencent Security Conference. Wade y Shirk cenaron juntos a cuenta de Apple y después intercambiaron mensajes, según las cadenas de correos. En uno, Wade se jactaba de ser capaz de virtualizar el iPhone más reciente. ¿La respuesta de Shirk? “¡Guau! ¿Ejecutaste el iOS 10.3 virtualmenté” Wade fanfarroneó con que “En realidad, estamos ejecutando el iOS 11 :)”.

La cosa se pudrió en algún momento del año pasado. En el documento que presentó el lunes, Corellium afirmó que no le habían pagado por ninguna de las vulnerabilidades que informó. En una contrademanda, la startup sostuvo que más que deberle algo a Apple, era la empresa de Cupertino la que le debía más de US$ 300.000. Además, Corellium afirmó que Apple había lanzado un producto rival al entregarles iPhone personalizados a analistas de seguridad, con lo cual estos podían investigar más a fondo el iOS.

Hoy, Gorton afirma que Corellium, que tiene poca plata, es rentable, gracias a un puñado de clientes en los sectores público y privado que pagan miles de dólares por sus productos: hasta US$ 62.500 por un equipo in situ y US$ 575 por mes por una licencia de un mes para un usuario en la nube. Pero ahora que se acumulan los gastos en honorarios legales y ante la amenaza de que la obliguen a abandonar la mejor función de su producto, esas ganancias podrían disminuir y dejarla al borde del colapso.

Por su parte, Apple podría sufrir la condena de la comunidad de seguridad cibernética, de la que ya recibió críticas este año. En septiembre, cuando Google publicó un estudio sobre ataques contra usuarios del iPhone de la comunidad uigur, un grupo perseguido en China, la respuesta de Apple fue polémica: en un raro comunicado divulgado al público, trató de minimizar lo sucedido. Para algunos observadores, entre ellos Alex Stamos, exjefe de seguridad de Facebook, Apple sugería que los ataques contra los uigures “no eran tan importantes como los pintaba Google”. “La respuesta de Apple al peor ataque de la historia contra iOS debería calificarse como algo entre ?decepcionanté y ?repugnanté”, tuiteó Stamos.

Da la impresión de que después de abrirse al terminar el reino de Steve Jobs (con sus recompensas líderes en la industria por detectar vulnerabilidades y la postura aparentemente agresiva de Tim Cook para proteger la privacidad de los usuarios), Apple está dando un par de pasos para atrás. Y en uno de esos pasos, podría aplastar a una de las startups más fascinantes del con frecuencia prosaico mercado de seguridad cibernética.

Por Thomas Brewster