Marcus Hutchins pasó el control de seguridad y se sentó a esperar en la terminal del aeropuerto Mc Carran de Las Vegas (EEUU). Eran cerca de las cuatro de la tarde del miércoles. El embarque del vuelo VS44 de Virgin Atlantic con destino Londres aún no había empezado. Al poco tiempo apareció el FBI y se lo llevó. “Fue escoltado fuera del aeropuerto y nunca tomó su vuelo”, cuenta un amigo de Hutchins, que también trabaja en el ámbito de la ciberseguridad, a The Telegraph.
El joven británico, de 23 años y residente en el Reino Unido, llevaba en Las Vegas varias semanas. Se había dejado ver por la Defcon y el Black Hat, dos de los congresos de hacking más importantes del mundo. EEUU es un lugar hostil para los hackers y casos como el de Edward Snowden, Chelsea Manning o Reality Winner, entre otros, no han ayudado a relajar la presión sobre ellos.
A excepción del FBI, el resto de los mortales supimos el jueves que Hutchins había sido detenido. La denuncia, que puede verse en este link, interpone seis cargos contra él y otra persona no identificada. Si finalmente fueran hallados culpables, se enfrentarían a 40 años de cárcel en suelo estadounidense. Pero vayamos por partes.
¿Quién es Marcus Hutchins?
Tiene 23 años y vive con sus padres en el condado de Devon, al suroeste del Reino Unido. Según se desprende de algunos de sus tuits, le gusta el surf, los videojuegos, jugar a Pokemon Go y comer pizza. Tiene un hermano pequeño y le encantan los ordenadores.
Su gusto por la informática comenzó en el colegio. Aunque no le gustaba estudiar, los ordenadores sí. En una ocasión fue expulsado de la escuela al saltarse el filtro parental para acceder a juegos y contenidos bloqueados. Fue así como abrió el blog Malwaretech (nombre que el FBI considera como uno de sus alias) en el que trata diversas cuestiones relacionadas la ciberseguridad.
Después de WannaCry, en mayo, se convirtió en el “héroe anónimo” que salvó al mundo del desastre. Esto llamó la atención de Kryptos Logic, una compañía de Los Ángeles dedicada a la ciberseguridad, que terminó contratándolo.
¿Por qué es conocido?
22 de mayo de 2017. Un ransomware bloquea ordenadores en 200 países pidiendo un rescate a cambio para liberarlos. Se llama WannaCry y su modus operandi se basa en cifrar el disco duro y los archivos contenidos en él para después exigir a la víctima el pago de 300 dólares en bitcoin. Limpio, rápido, sencillo.
Hutchins se hizo famoso de la noche a la mañana al descubrir un kill switch (algo así como un botón rojo) para detener la propagación del virus. Se dio cuenta de que WannaCry enviaba peticiones a una URL no activa que estaba incluida en el código del virus. Compró el dominio por unos 10 euros y lo desactivó.
Al anunciar en Twitter que había detenido a WannaCry, pasó de tener unos pocos seguidores a más de 50.000. También recibió 10.000 dólares de HackerOne, una compañía de ciberseguridad como recompensa por el trabajo. Finalmente donó el dinero a varias ONGs. Ahora mismo, Hutchins tiene más de 100.000 seguidores en Twitter.
¿De qué se le acusa?
La denuncia interpone seis cargos contra Hutchins y otra persona más no identificada. Básicamente, está acusado de fabricar, distribuir y vender en “foros de Internet” el troyano Kronos entre 2014 y 2015.
Según la denuncia, Hutchins y la otra persona desarrollaron su actividad entre julio del 2014 y julio del 2015. Para el FBI, el joven “creó el malware Kronos”. También está acusado de difundir cómo funcionaba a través de un vídeo en YouTube titulado “Kronos Banking Trojan”. El original ha sido borrado pero se han ido subiendo nuevas versiones.
La denuncia también recoge que en agosto de 2014 la otra persona “vendió el troyano en Internet por 3.000 dólares”, que en febrero del 2015 Hutchins y su compañero “actualizaron el malware”, que en abril de ese mismo año lo pusieron en AlphaBay (un mercado de la Deep web cerrado hace poco) y que en junio y julio del 2015 ganaron otros 2.000 dólares más en criptomoneda por la venta del virus e intentaron cifrarlo.
En julio de 2014, Hutchins pedía en Twitter muestras de Kronos. Con su pasado como investigador en el ámbito de la ciberseguridad y su perfil autodidacta, podemos pensar que lo hacía para analizar el código del malware; aunque de momento no se conocen cuáles fueron sus intenciones.
¿Qué es Kronos?
Kronos es un troyano similar a WannaCry que afectó sobre todo a bancos en el año 2014 y resurgió en 2016. Funcionaba robando las credenciales de las víctimas cuando accedían a su banco en Internet, almacenándolas, gracias a que se hacía pasar por un sitio legítimo. Se les llama troyanos porque actúan como un caballo de Troya, entran camuflados en programas
Se distribuye en archivos adjuntos a través del correo electrónico, sobre todo en ejecutables. Una vez instalado, el atacante remoto es capaz de tomar el control del ordenador y acceder a los formularios y los frameworks de los navegadores desde donde la víctima haya insertado sus contraseñas.
En 2014 llamó la atención de los expertos en ciberseguridad ya que se podía comprar por 7.000 dólares en algunos foros rusos de la Deep web. Hutchins fue uno de esos expertos que se interesó por el virus, por eso su anuncio en Twitter pidiendo muestras de Kronos.
¿Qué va a pasar ahora?
Si Hutchins y la otra persona son hallados culpables de todos los cargos, se enfrentan a 40 años de cárcel. De momento, la Electronic Frontier Foundation (EFF) ya ha mostrado interés en defender su caso. Orin Kerr, un reputado abogado estadounidense, muestra sus dudas en The Washington Post sobre que los cargos contra el joven de 23 años prosperen.
“La acusación está un poco en los huesos y no tenemos todos los hechos, ni si quiera lo que el Gobierno piensa que son los hechos. Así que, aunque no podemos decir que esta acusación es desmesurada claramente, podemos afirmar que el Gobierno la está llevando al extremo de alguna manera y puede o no tener los datos que necesita para construir el caso. Como siempre, tendremos que estar atentos”, dice Kerr.
Es reseñable el hecho de que su detención se haya producido en el mismo día en el que los tres monederos de bitcoin que dispusieron los hackers de WannaCry para pagar hayan empezado a vaciarse. De momento, los responsable del ataque ya han retirado más de 100.000 dólares. Sin embargo, según el Gobierno estadounidense, la detención de Hutchins y Wannacry no están conectadas.