El Periódico - Castellano - Dominical
MARCUS HUTCHINS El oscuro pasado del 'hacker' que salvó al mundo
El 12 de mayo de 2017, a mediodía, los ordenadores fallaron en un hospital público de Londres. En las pantallas aparecía un mensaje: «Tus archivos han sido encriptados», y se exigía el pago de 300 dólares en bitcoins para desbloquearlos. Era viernes y comenzaba el peor ciberataque de la historia, que afectó a 150 países y que hubiera convertido Internet en un solar si un joven británico de 22 años, Marcus Hutchins, no lo hubiera frenado desde su casa. Hutchins, que llevaba una doble vida como empleado de una empresa de ciberseguridad y hacker a sueldo de ladrones de bancos, se convirtió en un héroe que ahorró miles de millones a empresas de todo el mundo. Semanas más tarde fue detenido por el FBI.
Aquel virus informático estaba infectando todo lo que se le ponía a tiro. En pocas horas tumbó los sistemas de 600 hospitales británicos. Recibió el nombre de WannaCry, por la extensión .wncry que añadía a los archivos después de cifrarlos. Era de tipo gusano. Se colaba en los ordenadores por un agujero en el programa operativo Windows y utilizaba un fragmento de código llamado EternalBlue, una herramienta de espionaje creada por la Agencia Nacional de Seguridad norteamericana (NSA), y que un grupo de hackers, The Shadow Brokers, habían robado y vendía en los bajos fondos de Internet.
WannaCry se extendía como la pólvora: infectó los sistemas de los ferrocarriles alemanes, de bancos rusos, de fabricantes de automóviles
franceses y japoneses, de universidades chinas, de comisarías indias, de empresas de mensajería, de compañías aéreas. En España afectó a Telefónica, Iberdrola, Gas Natural... En horas destruyó los datos de 250.000 ordenadores, con pérdidas de entre 3500 y 7000 millones de euros. Parecía imparable. Fue entonces cuando intervino Hutchins.
Estaba de vacaciones en casa de sus padres en Ilfracombe, una ciudad al sur de Inglaterra, y no había encendido su portátil en toda la mañana. Después de comer se conectó y vio el panorama. «Elegí un mal momento para tomarme una jodida semana libre», bromeó en un tuit. Enseguida se percató de que el asunto era muy grave. Un amigo le envió una copia del código de WannaCry y empezó a diseccionarlo. Es lo que mejor sabe hacer: ingeniería inversa, desmontar un código, línea a línea, como un artificiero corta cables hasta desactivar una bomba. Retransmitió cada paso a sus contactos en Twitter, que asistieron a la operación de salvamento en directo. Al terminar, tenía cien mil seguidores más en su perfil.
UNA MANIOBRA DE DIEZ DÓLARES
¿Golpe de suerte o genialidad? El caso es que Hutchins se percató de algo en lo que nadie había reparado: antes de encriptar los archivos, el virus enviaba una petición para enlazarse a cierta web. ¿Era la firma del autor? ¿Algún tipo de cebo para engañar a otros hackers? Los analistas no se ponen de acuerdo. Hutchins escribió en su navegador el nombre de la página con la esperanza de abrirla y descubrir alguna pista. Pero no existía. Aquello era muy extraño. Decidió crearla. Le llevó unos minutos registrar la web a su nombre, previo pago de diez dólares. Entonces vio algo asombroso. Cientos de miles de ordenadores se empezaron a conectar a la web que había registrado. Cada nuevo equipo contagiado lo hacía. ¡Pero los archivos no se encriptaban! Como si el virus recibiera la orden de no hacer daño. Quizá el hacker había puesto esa instrucción ahí para desactivarlo en caso de emergencia. ¡Un botón de apagado!
El ataque fue cesando poco a poco. Aunque los servidores de la empresa para la que trabajaba Hutchins eran incapaces de absorber aquel tráfico descomunal y el Gobierno británico negoció con Amazon para desviar todas aquellas conexiones a sus servidores. Hutchins había practicado un sinkhole, un sumidero que se fue tragando el chorro formado por millones de conexiones fraudulentas como un fregadero se traga el agua de los platos, arrebatándoles el control a los piratas. Eran las seis y media de la tarde. Y ya era famoso.
En los días siguientes recibió una avalancha de felicitaciones... y de amenazas. Un reportero local lo identificó y la calle donde vive se llenó de coches de prensa y televisión. «Que conste que no temo por mi seguridad, solo me molesta que el timbre de casa no deje de sonar», tuiteó.
Un año más tarde, Estados Unidos identificaría al agresor. Un hacker norcoreano llamado Park
Jin Hyok, el mismo del ciberataque contra la productora Sony Pictures. Está en busca y captura. Hutchins despachó a los periodistas con evasivas. Ser un héroe tenía sus ventajas: pizza gratis en el restaurante de la esquina y una invitación a la Defcon de Las Vegas, la mayor conferencia de hackers del mundo. Pero también sentía escalofríos. Temía que su pasado saliera a la luz.
PEQUEÑAS GAMBERRADAS INFANTILES
Marcus Hutchins es hijo de un trabajador social de Jamaica y una enfermera inglesa. Tiene un hermano pequeño. La familia se marchó de
Londres buscando un ambiente más sano para los niños, que por entonces tenían 7 y 9 años.
Los Hutchins se establecieron en una granja. En el colegio, Marcus no llegó a integrarse, siendo mestizo y, además, altísimo. Un chico forastero al que solo le gustaban los ordenadores. Desde pequeño desmontaba y volvía a montar el PC de su madre. Aprendió a programar. Saboteó el sistema informático escolar. Pequeñas gamberradas que saboreaba a escondidas. Poco a poco, su obsesión por la programación lo convirtió en adicto a las drogas. Necesitaba estimulantes para sus largas noches de vigilia. Y, luego, relajantes para poder dormir a deshoras.
Hutchins frecuentaba los foros de hackers desde los 13 años. Al principio sus hazañas no estaban orientadas hacia el ciberdelito, sino a mostrar sus habilidades. «Aquello era como: '¡Guau!, mira lo que sabe hacer'. Yo quería ser capaz de hacer todas esas cosas», recuerda Hutchins en una entrevista publicada por Andy Greenberg en
En 2007, Hutchins llega con sus abogados al tribunal de Milwaukee que lo declaró inocente.
Ocurrió el 12 de mayo de 2017. Fue un ataque informático a escala mundial, el mayor de la historia. Atentó contra más de 250.000 ordenadores en 150 países. China, Rusia, Estados Unidos y Reino Unido fueron los más afectados, aunque en España también alcanzó a una decena de operadores estratégicos nacionales.
Las pérdidas se cifran entre 3500 y 7000 millones de euros, pero, según los expertos, el impacto fue relativamente bajo en comparación con su potencial. La actuación de Marcus Hutchins, por consiguiente, fue clave para impedir una catástrofe. En rojo, las zonas que se vieron afectadas por el virus.
Wired. Creó un programita para robar contraseñas. «¡Qué cosa más chula he diseñado! –pensó–. Ni se me pasó por la cabeza hacer nada ilegal con aquello».
Pero a otros sí que se les pasó por la cabeza. Recibió proposiciones. No hizo caso, pero su vida paralela iba ganando peso. Fingía dormir, pero programaba hasta el alba. Su rendimiento académico se resintió. Fue expulsado un par de semanas. De nada sirvieron ni los castigos ni los sermones de sus padres. A los 14 años vivía enclaustrado en su dormitorio. Construyó su propia red de 8000 ordenadores esclavos, que había hackeado. Se jactaba de su fechoría, pero la vanidad seguía siendo su motor, no el delito. A los 16 años, Hutchins ya tenía una reputación.
PROPOSICIONES DESHONESTAS
Fue entonces cuando se puso en contacto con él un tipo misterioso. Se hacía llamar Vinny. Le ofreció ser su socio. Hutchins crearía los virus y él los vendería en los foros de hackers, pero no en los que frecuentaba el joven, sino en otros más restringidos cuyos usuarios eran espías rusos y chinos y bandas internacionales de delincuentes. Aquello era otro nivel. Hutchins aceptó y pronto comenzó a ingresar más dinero que sus padres. Se compró una consola, un equipo de música...
Vinny le pagaba en bitcoins. Y por su cumpleaños le envió un paquete con cannabis, setas alucinógenas, éxtasis, anfetaminas...
A Hutchins le preocupaba que hubiese averiguado su dirección. Un día, Vinny le propuso que construyese un keylogger, un programa que registra las pulsaciones en el teclado de un usuario cuando rellena formularios en Internet, por ejemplo, la página de un banco. Aquello eran palabras mayores. Hutchins se negó, pero Vinny solo tuvo que recordarle un par de cosas: «Sé quién eres y sé dónde vives». El joven hacker se puso manos a la obra y en nueve meses creó un programa malicioso que su socio bautizó como Kronos. Un troyano capaz de espiar contraseñas e incluso de apropiarse del factor de autenticación que suelen pedir los bancos antes de realizar una transferencia, y que el usuario recibe en su móvil a través de un mensaje de texto. Vinny puso precio a Kronos: 7000 dólares. Y lo vendía en los mercados criminales de la deep web.
ADICTO A LAS 'ANFETAS' CON 19 AÑOS
Hutchins estaba al límite, quería desvincularse de todo aquello, pero Vinny lo obligaba a actualizar y parchear el programa, a requerimiento de los compradores. Gente peligrosa. Para entonces tomaba tantas 'anfetas' que no podía pegar ojo durante días. Tenía 19 años.
Una noche tuvo la sensación de que el desastre era inminente. «Mi cerebro me decía que estaba a punto de morir», recuerda. Sufrió un ataque de ansiedad. Dejó de atender las actualizaciones de Kronos; Vinny lo presionó, luego dejó de pagarle y, finalmente, se desvaneció. Se había buscado a otro programador. Hutchins dejó de tomar anfetaminas. Pasó el mono nadando en el Atlántico y jugando con la XBox. Se dedicó a escribir. Tiene un blog sobre piratería informática llamado MalwareTech, muy técnico. Sus diagnósticos llamaron la atención de una empresa de ciberseguridad con sede en Los Ángeles, Kryptos Logic, que le propuso su primer empleo estable. Comenzó a trabajar a distancia como analista. Tenía el día libre cuando salvó al mundo.
Tres meses después estaba en Las Vegas, disfrutando de su invitación a la Defcon. Alquiló con unos colegas una casa con piscina. Pidió una hamburguesa, salió descalzo a recoger el envío y observó un todoterreno aparcado con los cristales tintados. Igualito que en las películas. Era el FBI.
«HACEN FALTA INDIVIDUOS COMO USTED»
Lo llevaron a una sala de interrogatorios y le preguntaron por Kronos. Confesó casi de inmediato. El fiscal lo acusó de diez delitos relacionados con ese programa. Podían caerle diez años. Pasó un par de semanas detenido hasta que sus admiradores reunieron dinero para pagar su fianza. Aleccionado por su letrado, se declaró inocente. Siguió un tira y afloja de meses con las autoridades. Si colaboraba y revelaba la identidad de otros hackers, como Vinny, le ofrecían retirar los cargos. Pero Hutchins no podía colaborar. No los conocía, solo sus seudónimos. No hubo trato y fue a juicio. «Como sabéis, me he declarado culpable de dos cargos (de los diez iniciales) relacionados con la creación de malware años antes de empezar mi carrera en ciberseguridad. Lamento estas acciones y acepto la responsabilidad por mis errores», publicó en Twitter.
El juez Joseph Stadtmueller tiene fama de imprevisible. Antes de dictar sentencia, dijo: «Llevo más de 30 años juzgando y he sentenciado a 2200 personas. Pero ninguna como usted. Y he visto de todo. Aprecio el hecho de se pueda ver lo innoble de su conducta contrapesado por la acción de un héroe». Y añadió: «Si no tomamos las medidas apropiadas para proteger la seguridad de estas maravillosas tecnologías en las que confiamos día a día, el potencial para el desastre es absoluto. Hacen falta individuos como usted que nos den las soluciones».
Hutchins fue declarado inocente. El juez estimó que ya había cumplido su deuda con la sociedad con el tiempo pasado en prisión preventiva, más un año en libertad condicional, que se cumple ahora. A final de mes podrá regresar a Reino Unido, rehacer su vida.
Sigue trabajando como analista para Kryptos
Logic. En un tuit ha señalado: «Existe la idea errónea de que para ser un experto en ciberseguridad antes hay que darse un paseo por el lado oscuro. No es cierto. Puedes aprender todo lo que necesitas legalmente. Quédate en el lado bueno».