Hace apenas un par de meses, Marcus Hutchins, de 22 años, investigador de ciberseguridad británico, fue aclamado como un héroe internacional por poner fin al ataque al ransomware de WannaCry que afectó a gran cantidad de compañías alrededor del mundo. Pero al parecer, también es el responsable de un virus troyano bancario llamado Kronos, encargado de robar las claves de acceso de usuarios, por lo que el joven fue arrestado hace un par de días en la ciudad de Las Vegas por el FBI.

Hutchins fue objeto de halagos internacionales después de que descubriera el código para matar el ransomware WannaCry, que había infectado cientos de miles de computadoras en 150 países alrededor del mundo, incluyendo hospitales en todo el Reino Unido, así como sistemas de servicios públicos en España y partes del Gobierno ruso. Una vez infectados, las computadoras fueron bloqueadas y sus archivos cifrados hasta que las víctimas pagaban alrededor de $300 en bitcoin para recuperar el acceso. Hutchins, quien trabaja para la firma de seguridad de Kryptos Logic, examinó el código de WannaCry y encontró un nombre de dominio que, al registrarse, evitaba que el malware se propagara aún más.

Luego de convertirse en un héroe inesperado, iba a explicar justamente cómo logró parar el virus en las conferencias de ciberseguridad Defcon y Blackhat en la ciudad de Las Vegas, pero nunca llegó a hacer su presentación, pues el FBI se lo llevó preso junto a otra persona cuyo nombre no ha sido revelado, acusados de ofrecer hace unos años un software para robar claves bancarias.

De héroe a villano

Kronos, el programa de malware que Hutchins es acusado de ayudar a desencadenar, robaba credenciales de banca por Internet y datos de tarjetas de crédito mediante el envío de correos electrónicos con archivos adjuntos infectados, tales como documentos de Microsoft Word, que fueron utilizados para propagar el ataque. Un anuncio para Kronos en foros rusos del año 2014 valuaba el paquete de malware en unos USD$7.000.

La acusación del gran jurado contra Hutchins y el otro acusado acusan a los dos de conspiración para cometer fraude informático y abuso, tratando de interceptar comunicaciones electrónicas, intentando acceder a una computadora sin autorización, y tres cargos por distribuir y anunciar un dispositivo que interceptaba comunicaciones electrónicas.

Según la acusación, entre julio de 2014 y julio de 2015, Hutchins y el otro acusado “conscientemente conspiraron y acordaron entre sí cometer un delito, a saber, causar conscientemente la transmisión de un programa, información, código y comando y como resultado de tal conducta, causar intencionalmente daño sin autorización, a 10 o más computadoras protegidas durante un período de 1 año”.

La comunidad de ciberseguridad en alerta

Desde que se supo acerca del arresto de Hutchins, expertos en ciberseguridad han estado discutiendo las posibles consecuencias del caso en Twitter, y varios de ellos han expresado su preocupación por impacto que las acciones del Departamento de Justicia podrían tener en la cooperación futura entre los investigadores de ciberseguridad y las autoridades policiales.

“A cualquier contacto federal que tenga que me siga, entiendo que el arresto de @MalwareTechBlog podría afectar gravemente la confianza en el intercambio de información”, tuiteó el investigador de malware Daniel Gallagher. “Ahora sé que podría haber circunstancias desconocidas, pero esta es una situación muy delicada, esto podría cambiar a toda la comunidad de investigación”.

Otro investigador de seguridad, Jake Williams, dijo en Twitter que había trabajado con Hutchins “en un proyecto en 2014 por el que rechazó el pago, lo cual es incongruente con hacker blackhat que escriba un código para ganar dinero al mismo tiempo”:

En su blog, el investigador de ciberseguridad Graham Cluley señaló que habrá consecuencias significativas entre las relaciones de la comunidad informática y el Departamento de Justicia, sin importar el resultado del caso:

“Lo que puedo decir es que si Hutchins es inocente, sin duda habrá muchas preguntas sobre cómo el FBI podría haberse equivocado de esta manera, y hay un riesgo muy grande de que se dañe la relación entre la comunidad de seguridad informática y la policía”.

Luego de pagar una fianza de USD$30.000, Hutchins está libre en Las Vegas, pero sin pasaporte, tarjetas de crédito, teléfono móvil o acceso a Internet. Además no puede salir del país, y en caso de ser encontrado culpable, su condena acarrearía 40 años de cárcel en los EE.UU.

¿Es Marcus Hutchins el responsable de crear y difundir el troyano? Hasta los momentos no hay una respuesta sólida, pero lo único que está claro es que ahora se enfrenta a lo que podría ser la mayor pesadilla legal de su vida.

Despues de leer, ¿qué te pareció?