Un juez rechaza pruebas del FBI contra una web de pedófilos por usar malware ilegal
Paralelo al iPhone de San Bernardino, otro culebrón se desarrollaba en los EEUU mientras el foco mediático se posaba sobre las próximas elecciones presidenciales, los caucus o la incipiente proliferación de leyes contra los colectivos LGTB en Misisipi y Carolina del Norte. Puede ser la primera vez que el FBI se encuentre en un callejón sin salida, y es que sobre su cabeza planea ahora la sombra de un ultimátum: o demuestran cómo hackearon la página web de pornografía infantil Playpen el febrero pasado o el juez tirará el caso por la borda.
Playpen fue un sitio alojado en la Deep Web dedicado a la pornografía infantil. Estuvo activo desde algún momento de agosto del 2014 hasta principios del año pasado, cuando se procedió a su cierre tras la identificación de más de 1.300 usuarios. Aunque Playpen no se configuró nunca como una página dedicada exclusivamente a la pornografía infantil, los visitantes se encargaron de moldearla como tal.
Un mes después de lanzarse, Playpen contaba ya 60.000 miembros. Durante ese año y hasta que el FBI hizo oficial el cierre de los servidores, la web llegó a contar con más de 215.000 cuentas y una media de visitas semanales que rondaba las 11.000. En total, 117.000 post que albergaban todo tipo de contenido, pero la mayoría, según los federales, incluían imágenes de abusos extremos a niños y consejos a los usuarios de la página para evadir el rastreo por parte de las autoridades.
En febrero de 2015 el FBI encontró la ubicación de los servidores, curiosamente localizados en Carolina del Norte -estado en el que cerca de un 90% de la población se considera cristiana- y los denunció. En vez de cerrar la página -como ocurrió por ejemplo con Silk Road en el verano de 2013-, los federales decidieron llevar a cabo una investigación exhaustiva y montaron Playpen en sus propios servidores de Virginia durante algo menos de un mes. En ese tiempo desarrollaron lo que ellos llaman Network Investigative Technique (NIT), que no es otra cosa que una herramienta de hackeo.
NIT: o cómo saltarse la ley
1.300 personas fueron identificadas y arrestadas través de las IPs y gracias al uso del NIT. Pero, según Wired, no es algo nuevo ni aquella ocasión del mes de febrero fue la primera en la que el FBI lo ponía en práctica. Los federales llevaban utilizándolo desde 2002 y nosotros sin saberlo. El envío de malware es corriente por parte del bureau federal de investigación estadounidense de cara a sus investigaciones. También lo es hurgar con el dedo y acceder a TOR a través del agujero que el buscador tiene abierto desde hace más de un año y por el que la EFF ya les ha denunciado. Pero lo cierto es que Playpen, calificada por el FBI como “el servicio de pornografía infantil oculto más grande del mundo” cayó a finales de marzo del 2015.
En el verano de ese mismo año el FBI detuvo a dos personas relacionadas con delitos de pornografía infantil. Colin Fielman, el abogado de uno de ellos, contaba a Motherboard que “1.500 de estos casos van a terminar siendo resueltos de la misma forma, al margen de la investigación”. También predecía que en los próximos seis meses se vería “una corriente cada vez mayor” de casos como este. Demandó al FBI por usar la brecha de seguridad de TOR y el juez le dio la razón. Robert J. Bryan, el magistrado que instruía el caso, ordenó hace dos meses a los federales revelar qué tipo de malware utilizaron para hackear 1.000 ordenadores y conseguir sus direcciones IP y MAC, entre otras cosas. Hasta entonces han sido detenidas 137 personas relacionadas con Playpen que entraban desde Chile, Grecia o Reino Unido.
Mientras el FBI se jugaba el pellejo en los tribunales con Apple para establecer el precedente legal que le permitiese entrar a todos los iPhone; también lo hacía contra Fielman y su cliente: el profesor Jay Michaud, acusado de ser un usuario habitual de Playpen. A finales de marzo los federales enviaron al juez una moción instándole a reconsiderar su decisión. Alegaban que no era necesario para el devenir del caso revelar el exploit utilizado para saltarse la protección que ofrece TOR a sus usuarios. “Tsyrklevich pide acceder al exploit usado por el gobierno para determinar si se realizaron funciones adicionales al margen de las que garantiza el procedimiento NIT”, escribía un agente del FBI al juez. Con Tsyrklevich, se refiere a Vlad Tsyrklevich, un experto hacker utilizado por la defensa de Michaud para analizar el NIT del FBI.
“Descubrir qué hizo el exploit no le ayudará en nada a determinar si el gobierno excedió la garantía del NIT, porque lo unico que hará será explicar cómo el NIT fue puesto en el ordenador de Michaud, no qué hizo una vez instalado”, continuaba el FBI. Hace una semana otro juez lo vio claro y amenazó con dar carpetazo al caso si el FBI no demostraba cómo consiguió las pruebas que presentó sobre el caso Playpen. “Basado en el análisis anterior, la Corte concluye que la garantía para desarrollar el NIT fue emitida sin base jurídica y por lo tanto era nula ab initio”, concluía William G. Young, un magistrado de Massachusetts en respuesta a la petición de sobreseimiento que pidieron los abogados de Alex Levin, el otro detenido en verano de 2015.
Con la luz apagada
El lunes, los abogados de Michaud redactaron otra petición en la que dan un ultimátum al FBI: “El gobierno ha dejado claro que el FBI no va a cumplir con la orden de la Corte para que revele qué malware utilizó”. Y continúan: “Las consecuencias son claras: la acusación debe elegir ahora entre cumplir con la orden de la Corte o desestimar el caso”. A diferencia del caso Silk Road, donde el FBI penetró a través del agujero de TOR por un fallo humano -más concretamente de Ross Ulbricht-, ahora la propia ley se ve obligada a cumplir la ley.
La Deep Web es algo alegal y el FBI no puede dejar de cumplir la ley. Ha conseguido tirar abajo un sitio de pornografía infantil gracias al desarrollo de un malware que ha identificado, a través de un agujero de seguridad en TOR, a más de 1.000 ordenadores. Pero no hay pruebas de ello. El juez las exige y el FBI guarda silencio. Sin embargo, no hemos visto que se callen si de iPhones se trata. Tampoco los jueces, que han estado a punto de permitir a los federales establecer el precedente legal para crear una puerta trasera que les permita entrar a todos los teléfonos de la marca.
Y es que en EEUU existe una ley que obliga a las agencias del país a informar de cualquier agujero de seguridad que generen en cualquier dispositivo tecnológico. Se llama Vulnerabilites Equities Process y de momento no parecen estar haciéndole mucho caso. Un móvil de un terrorista debería de producir tanto rechazo como una página web de pedófilos. ¿O no? Por lo pronto, el FBI ya se ha negado a revelar ni cómo acceden, ni dónde está el agujero de seguridad de TOR “bajo ninguna circunstancia”.