De héroe a villano: el 'hacker' de 23 años que salvó (¿y robó?) a medio mundo

"Puedo conseguir un helicóptero con capacidad para cinco personas para ir al centro del Cañón del Colorado por 1.600 dólares". Este fue uno de los últimos mensajes que puso en sus redes sociales Marcus Hutchins, el joven de 23 años que ha pasado de salvar a medio mundo del ciberataque WannaCry a ser arrestado por crear y vender un virus que robaba datos bancarios. Su historia es una de las más rocambolescas de los últimos años en el mundo de la ciberseguridad.

TE PUEDE INTERESAR

El veinteañero que descubrió por casualidad cómo frenar el ciberataque

Mercè Molist

De lo poco que se conoce tras la detención es que Hutchins, que había viajado a Estados Unidos para dos de las reuniones de 'hackers' más importante del mundo, la Blackhat y la Def Con, llevaba algo más de una semana en Las Vegas yendo a lugares de lujo, disparando ametralladoras en armerías, alquilando coches de gama alta y, supuestamente, montando fiestas en la casa con la piscina más grande de la ciudad, en la cual se hospedaba gratis con unos amigos, según ha comentado uno de sus compañeros de viaje. Pero el 1 de agosto esta vida se acabó, sin previo aviso. El FBI lo cazó en Nevada y lo acusó, según parece, de montar un virus llamado ‘Kronos’ que lleva castigando a bancos de todo el mundo desde 2014.

La comunidad de 'hackers' al completo se ha solidarizado con este informático británico que ha pasado en apenas tres meses de ser un héroe a un villano, de tener ofertas del FBI y recibir 10.000 dólares por su ayuda contra el ciberataque a ser detenido y acusado de robar información bancaria a miles de ciudadanos.

¿Quién es Marcus Hutchins?

Conocido en internet como 'MalwareTech', este informático británico amante de la pizza y del surf parece a primera vista un joven bastante normal. Vive con sus padres en un pueblecito de sur de Inglaterra, Devon, en la zona cercana al mar Atlántico, trabaja desde los 21 como informático para la empresa especializada en ciberseguridad Kryptos Logic y hasta mayo de 2017 apenas se conocía nada sobre él fuera de la red.

Marcus solo tenía 11 años cuando vivió su primer gran reto en la ciberseguridad. Sus padres le instalaron un sistema de control parental en su ordenador, y él, curioso por naturaleza, no paró hasta poder descifrar cómo saltarse aquella barrera. Enamorado de las olas que rompen en la costa de Devon, el joven creció cerrado en su habitación, navegando. Aprendió todo sobre cómo funciona internet de forma autodidacta, se negó a ir a la universidad e instaló en su pequeño cuarto tres pantallas, al puro estilo 'Mr. Robot.', donde fue construyendo su fama como 'hacker'.

Kryptos Logic lo fichó con 21 años como a un verdadero talento prematuro.

Con el tiempo, su nombre ficticio llegó a oídos de grandes firmas de ciberseguridad y una de ellas, Kryptos Logic, afincada en Los Ángeles (Estados Unidos), lo fichó con 21 años como a un verdadero talento prematuro. No tenía experiencia previa, ni estudios, pero le contrataron y le dejaron trabajar desde la misma habitación donde había aprendido.

Para un adolescente inglés que solo salía de su casa para ir de fiesta y hacer surf, que una marca estadounidense de ese calibre te fiche con todo tipo de comodidades podría haber sido el culmen, pero la historia de Marcus solo acababa de empezar. Ni dos años llevaba en el nuevo trabajo cuando la oportunidad de su vida llamó a la puerta. La tarde del 12 de mayo de 2017, 'MalwareTech' frenó el mayor ataque informático que había sufrido el mundo en su historia. Lo hizo sin querer, sin buscarlo, pero eso es lo de menos. A partir de ese día sería conocido por todos como el héroe que pudo con WannaCry.

De 'hacker' a ¿héroe?

Aquel viernes de mayo Marcus estaba de vacaciones y, como cualquier chaval de 22 años, quedó con sus amigos. Salió a comer con uno de ellos y al volver el mundo se estaba hundiendo. "Cuando volví a casa a las 14.30 de la tarde (hora británica), la plataforma donde compartimos las amenazas estaba inundada con alertas sobre los sistemas del Servicio Nacional de Salud (NHS) y eso me hizo pensar que algo gordo estaba pasando". Así contaba en un blog su primera reacción tras descubrir el pastel. Al post lo llamó ‘Cómo parar accidentalmente un ciberataque global’.

De una forma totalmente accidental, como muchos de los grandes avances científicos, Marcus y otro hacker amigo suyo, que actuaba bajo el nombre de Kafeína, decidieron analizar WannaCry, el virus que estaba reventando la red, y lo pararon. Lo desmontaron, miraron pieza a pieza y descubrieron que en su código había un dominio. Buscaron, estaba sin registrar, así que decidieron comprarlo. Solo eran 10,69 dólares, un precio demasiado jugoso como para no hacerlo. La suerte fue que con este movimiento consiguieron lo que no había hecho nadie hasta el momento, frenar el contagio. En Europa y Asia no había mucho que hacer, el 'malware' ya había arrasado decenas de grandes empresas, Telefónica entre ellas, pero consiguió salvar a Estados Unidos del ataque.

TE PUEDE INTERESAR

El 'ransomware' se ha convertido en la peste negra digital

Mercè Molist

El 'ransomware' secuestró archivos de ordenadores de 150 países y pidió por ellos rescates de entre 300 y 600 dólares en bitcoins por equipo. Esta semana se ha sabido que los 'hackers' ya han retirado el total de lo robado en este ataque, unos 140.000 dólares al cambio. Pero MalwareTech, que desde el principio pidió que no se revelase su identidad por miedo a represalias, consiguió que esta cifra dejase de crecer. "Definitivamente no soy un héroe", dijo tras el ataque. "Sólo soy alguien que hace mi parte para detener las botnets".

El precio por hacer algo tan grande, por convertirse en héroe improvisado, como nos han enseñado siempre las películas de Hollywood, es muy alto. El informático fue acosado por los tabloides británicos y tuvo que renunciar a su privacidad aunque no quería hacerlo. "Sabía que 5 minutos de fama serían horribles, pero honestamente, no sabía lo terribles que podían llegar a ser", comentaba el joven solo 8 días después de parar el virus.

Estos medios revelaron su identidad, su dirección y casi le obligaron a cambiar de casa para preservar su seguridad. "No les interesa lo que hice, solo quieren saber todo sobre la vida privada de la persona", confesaba.

De héroe a ¿villano?

Unos tres meses después de saltar a la fama, y en uno de sus primeros viajes tras el chaparrón que significó salvar al mundo, Hutchins ha caído en otro problema, y parece que esta vez los tabloides no serán sus peores enemigos. El FBI, con el que colaboró trabajando en su empresa, y más estrechamente tras WannaCry, le ha arrestado y cree que tiene más de villano que de héroe.

Si es cierto todo por lo que se le acusa, Hutchins habría creado ‘Kronos’ con tan solo 19 años, o menos. Según lo que ha confirmado el FBI, las autoridades estadounidenses acusan al experto en ciberseguridad de crear este troyano y venderlo para que después otros 'hackers' atacaran con él a equipos de todo tipo de empresas. En concreto habría cometido 6 crímenes relacionados con la piratería informática como resultado de su supuesta participación con el 'malware'.

Según las autoridades de EEUU, que aseguran llevar dos años investigándole, Marcus fue el encargado de montar, junto con un socio anónimo, un virus que se hace pasar por un programa legítimo para robar toda la información de cuentas bancarias y otros datos financieros adjuntos. Ellos lo habrían desarrollado y vendido desde la casa de Hutchins en Devon.

Los mayores picos de actividad del 'troyano' llegaron en 2015 cuando IBM anunció que éste había atacado webs de bancos británicos e indios. La amenaza se eliminó, pero en 2016 volvió y atacó a entidades canadienses.

Casualmente, el 27 de julio, 5 días antes de ser detenido, Malwaretech avisó en su blog del peligro de un "WannaCry v2" que empieza a propagarse por internet. Fue su último post hasta el momento. Habrá que ver qué pasa con el joven inglés, si finalmente acaba regresando a casa como un villano o tiene que, como en los grandes filmes, salvar al mundo una vez más.