¿Te acuerdas del héroe de WannaCry? WannaCry fue un ransomware que surgió a medidos de 2017 y se según SophosLabs afectó a más de 200.000 ordenadores en 150 países solo en cuatro días.
Además el mecanismo de propagación de WannaCry utilizaba un exploit conocido como ETERNALBLUE, supuestamente desarrollado por la Agencia de Seguridad Nacional de EEUU (NSA).
Ese exploit, entre otros muchos, fue robado en una filtración de datos en la NSA, y ofrecido en venta a un preció muy elevado, y finalmente de acceso público desde comienzos de 2017.
Microsoft publicó un parche a comienzos 2017 que inmunizaba efectivamente a todos los que lo aplicaran, pero quienes no lo hicieran permanecían en peligro.
Nuestro héroe
En medio del pánico de WannaCry, un joven del Reino Unido analizó con calma el virus y rápidamente descubrió una forma de inutilizarlo. Encontró un servidor en el código, que por razones que posiblemente nuca sepamos, los autores del WannaCry no habían comprado el nombre del dominio del servidor, por lo que el joven lo registró a su nombre.
El truco era que si el ransomware podía conectarse a ese servidor, no se activaba por lo que no cifraba los ficheros de las maquinas infectadas.
Al activar esa válvula de escape, nuestro héroe salvo a muchos usuarios inocentes de tener que pagar 300$ en bitcoins por sus ficheros y libró al mundo de un ataque al corazón global.
Una estrella tímida
Al principio nuestro héroe quiso pasar inadvertido, pero pronto los medios lo identificaron como Marcus Hutchins. Su reticencia a la fama inicial parecía una normal timidez, pero pronto se descubrieron razones más serias.
Hutchins fue invitado a la convención de hackers DEF CON de 2017, por lo que viajó has Las Vegas, Nevada, donde tenía lugar el evento.
Desafortunadamente para Hutchins el FBI ya había puesto sus ojos sobre él. De hecho, ya había sido una “persona de interés” para ellos durante un tiempo, pese a su juventud (tenía 23 años cuando viajó a la DEF CON).
El FBI creía que Hutchins había escrito malware cuando era más joven, y además lo había vendido a compradores que sabía que lo iban a utilizar con intención criminal.
Desarrollar virus no es un crimen, por lo menos en EEUU, pero usar malware para atacar ordenadores, robar datos y obtener dinero es otro tema.
Así que durante la semana que Hutchins pasó en Las Vegas, el FBI hizo sus deberes y detuvieron a Hutchins cuando iba a tomar el avión de vuelta.
Presunción de inocencia
La primera reacción de muchos miembros de la comunidad de la ciberseguridad fue una descarga de odio y desprecio sobre las fuerzas del orden americanas.
Incluso entre los que solo lo conocía de pasada o por su presencia online, Hutchins era un héroe que había gastado su dinero ayudando a otros, por lo que la mayoría lo consideraban inocente, y los cargos una basura.
El periodista sobre ciberseguridad Brian Krebs admitió que él también quería creer en la inocencia de Hutchins, pero consideró que era mejor investigar en su pasado antes de dar su opinión.
Tras tres semanas “uniendo puntos”, Krebs publico un artículo en el que se decía:
Al principio, no creía que los cargos contra Hutchins se sostuvieran. Pero en cuanto comencé a investigar lo relacioné con docenas de pseudónimos en foros de hackers, direcciones de correo y dominios que aparentemente había estado utilizando durante la última década, por lo que obtuve una imagen totalmente distinta.
Reconocimiento de culpa
Hutchins se declaró no culpable en la fase inicial del caso y consiguió salir bajo fianza, aunque se le retiró el pasaporte y por lo tanto no pudo abandonar EEUU.
Todo transcurría igual hasta que la semana pasada Hutchins tuiteó:
https://twitter.com/MalwareTechBlog/status/1119322882578866176
El artículo al que enlaza es corto y conciso:
Como podéis saber, me he declarado culpable de dos cargos sobre escribir malware en los años anteriores a mi carrera en ciberseguridad. Me arrepiento de esos hechos y acepto toda la responsabilidad por mis errores. Tras haber madurado, he utilizado esas mismas habilidades que mal utilicé hace años con fines constructivos. Continuaré empleando mi tiempo en mantener a la gente a salvo de ciberataques.
No es el típico mea culpa que hemos visto en otros cibercriminales. Hutichins no pretende hacer caer la responsabilidad sobre otros ni plantea que los ciberataques en realidad no cuentan porque no agreden físicamente a nadie, como ocurre en el crimen violento.
Nos damos cuenta que muy posiblemente la declaración del Hutchins sea obra de sus abogados, pero en este caso nos sentimos inclinados a creerle.
Todavía no ha salido la sentencia. No esperamos que Hutchins se libre de una temporada en la cárcel o una importante multa seguida de su deportación.
Después de todo, los jueces americanos querrán desincentivar a cualquier jovenzuelo de comenzar una carrera en la ciberdelincuencia, pero esperamos que no le caiga la máxima condena de cinco años de prisión.
Hutchins parece profundamente arrepentido y ha ofrecido sabios consejos en Twitter para los que siguen sus pasos:
https://twitter.com/MalwareTechBlog/status/1119694262440882176
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario