Las confesiones del hacker detenido por el FBI que salvó a internet del peor ciberataque de la historia
Hace exactamente tres años un ciberataque "de dimensión nunca antes vista" logró bloquear el acceso a más de 20.000 equipos informáticos de instituciones públicas y privadas de 150 países. Se hizo llamar WannaCry ("quieres llorar") y se extendió a través de un gusano que infectó las máquinas del sistema de salud pública británico, Telefónica y varias instituciones de Rusia, Estados Unidos, China, Italia, Vietnam y Taiwán, entre otros.
Marcus Hutchins, de 22 años, fue quien encontró por su cuenta la manera de solucionar este problema y dos meses más tarde, fue arrestado por el FBI acusado de ofrecer, en agosto de 2014, un software que roba claves y contraseñas de las webs de los bancos de computadoras previamente infectadas. Ahora, el joven, que por esos días se hizo conocido justamente por ser quien frenó al WannaCry y que no suele tener mucho contacto con la prensa, le contó a Wired detalles del caso.
Ok, here we go.https://t.co/PeO0QIHeUX&— MalwareTech (@MalwareTechBlog) May 12, 2020
El caso Wannacry
En la mañana del viernes 12 de mayo, Hutchins, un analista de seguridad de 22 años -conocido en Internet con el nombre de MalwareTech - se enteró de la noticia al comprobar varios mensajes que había recibido. "Había un par de informes de infecciones de ransomware [virus que retiene el acceso a archivos hasta el pago de un rescate] pero no le di demasiadas vueltas", declaró Hutchins en una entrevista en exclusiva con la BBC, la primera televisada que concedió. "Salí a almorzar, regresé y tenía unos 16 o 17 informes sobre ese mismo ransomware de diferentes sectores del NHS que estaban siendo afectados", dijo el joven.
"Y pensé: 'Esto está afectando a todos los sectores, así que va a ser algo bastante grande'". Fue en ese momento, asegura Hutchins, cuando decidió ponerse manos a la obra. "El plan era seguirle la pista y después buscar una manera de frenarlo. Pero resultó que rastrearlo significaba detenerlo".
Ahora Hutchins le contó a Wired que su fascinación sobrenatural y su facilidad con las computadoras empezó cuando tenía 6 años. Él había visto a su madre usar Windows 95, y muy pronto en su vida sintió curiosidad por los caracteres HTML detrás de los sitios web que visitaba, por lo que empezó a escribir rudimentarios guiones de código a modo de prueba. Pronto llegó a ver la programación como "una puerta de entrada para construir lo que quisieras", como él dijo al medio estadounidense. "No había límites", declaró.
Tras el caso WannaCry miles de periodistas tocaron el timbre de su casa, se instalaron en el estacionamiento al otro lado de la calle de su casa y comenzaron a buscarlo con tanta insistencia que su familia dejó de contestar el teléfono. Los diarios británicos comenzaron a mostrarlo en los titulares sobre el "héroe accidental" que había salvado al mundo de su habitación. Hutchins tuvo que saltar sobre la pared de su patio de atrpas para evitar que los medios lo encontraran en la puerta de su casa. Para calmar el apetito de los periodistas, de vez en cuando daba alguna nota.
La acusación del FBI
Luego de tener reconocimiento internacional, Hutchins entregó a obras benéficas los 10.000 dólares (unos 8500 euros) que recibió de recompensa por neutralizar, en mayo de 2017, el dañino virus WannaCry. El mayor ataque reciente de ransomware supo poner contra las cuerdas a las grandes empresas y servicios públicos de Europa, y la audacia de este joven, que trabaja como informático en Gran Bretaña, ayudó a salvar a las grandes corporaciones.
Además del reconocimiento público, lo esperaba el mejor de los lauros: explicar su experiencia en Las Vegas, donde se celebran Defcon y Blackhat, las dos convenciones más relevantes del mundo en materia de ciberseguridad. Fue ahí, en Estados Unidos, donde meses después de que el mundo lo considerara un héroe, fue detenido por el FBI, que lo acusó de haber creado un software para robar claves bancarias, y, luego se supo a través de su confesión, que él estuvo en parte involucrado en la creación de ese software.
Sobre el día en que el FBI lo detuvo, Hutchins contó a Wired que recuerda haber recorrido mentalmente todas las posibles acciones ilegales que había hecho que podrían haber interesado al organismo de seguridad. ¿Era que podría haber dejado marihuana en su bolso? ¿Estaban estos agentes aburridos reaccionando de forma exagerada a la pequeña posesión de drogas?
Ese día, Hutchins fue conducido a una cárcel de Las Vegas en un auto negro del FBI. Se le permitió una llamada telefónica, que usó para contactar con su jefe, Salim Neino. Luego lo esposaron a una silla en una habitación llena de prisioneros y lo dejaron esperar el resto del día y toda la noche que siguió. Solo cuando pidió usar el baño se le permitió entrar en una celda donde podía acostarse en una cama de concreto hasta que alguien más pidió usar el baño de la celda. Luego lo sacarían de la celda y lo encadenarían a la silla nuevamente.
El FBI le ofreció a Hutchins levantar los cargos en su contra si él contaba todo lo que sabía sobre Kronos, un troyano bancario que está dando vueltas desde 2014 y que roba datos bancarios. Hutchins admite que participó en la creación de una parte de ese malware en su inicio, aunque le dijo al FBI que hacía rato que no tenía contacto con ese desarrollo.
El sentimiento de culpa lo destrozada por saber que no era enteramente inocente. El joven estaba atormentado por la verdad: a pesar de todo lo que se hablaba de sus heroicidades, sabía que, de hecho, había hecho lo que se le acusaba. "Un montón de personas le escribían al FBI para decirle que estaban equivocados de persona y fue desgarrador", dijo Hutchins a Wired. "La culpa de esto fue enorme". Según contó al medio, él estuvo tentado de publicar una confesión completa en su blog, pero sus abogados lo disuadieron.
En los días subsiguientes buena parte de la comunidad de ciberseguridad se unió para apoyar a Hutchins, creyéndolo inocente; aportó el dinero para pagar su fianza y construir su defensa frente a la Justicia de EE.UU. Finalmente, en abril de 2019, después de un año y medio de idas y vueltas, aceptó la propuesta de los fiscales: declararse culpable de 2 de los 10 cargos por los que se lo acusaba, y enfrentar hasta 10 años de cárcel y medio millón de dólares de multas. Finalmente, el juez que revisó su caso consideró que entre crear Kronos y frenar WannaCry Hutchins había cambiado, y que era suficiente condena el año y medio que había pasado esperando el juicio, más otro año en libertad supervisada: sus buenas acciones eran más que las malas, y su deuda moral quedaba cancelada.