Marcus Hutchins, el famoso hacker de “sombrero blanco” —mejor conocido como “MalwareTech” — fue arrestado ayer por el FBI antes de volar desde Las Vegas hacia el Reino Unido. El investigador en seguridad de 22 años obtuvo fama mundial a principios de 2017 tras detener la expansión del perverso ransomware WannaCry. El joven había estado de fiesta con sus amigos tras participar en las conferencias para hackers Black Hat y Defcon. Ahora, enfrenta serias acusaciones federales por supuestamente haber creado el trojano bancario Kronos. Se suponía que él era de los buenos, ¿cierto?
Así va la cosa: a veces, la gente buena hace cosas malas. Es posible que los hackers buenos a los que alabamos por detener malwares sean también quienes los crean, a veces para ganar dinero o simplemente porque estaban aburridos. Sin embargo, muchos aún no pueden creer que Hutchins haya sido capaz de algo así.
No sabemos si Hutchins es culpable o inocente; eso lo determinará una corte. Sin embargo, sabemos que la precaria situación en la que se encuentra el joven hacker es, por decir lo menos, intrigante. Días anteriores a su arresto, Hutchins lo estaba pasando en grande. En su casa alquilada en Airbnb a $1,900 la noche, ofrecía épicas fiestas durante los días en que se llevaban a cabo las conferencias, y disfrutaba de la que es la piscina privada más grande de Las Vegas, según nos detalla William Turton en Outline. Hutchins también alquiló un Lamborghini y preguntó a sus seguidores en Twitter dónde encontrar una pista de carreras. Inclusive, quería alquilar un helicóptero para hacer un tour por el Gran Cañón. Además, disparó una escalofriante ametralladora en un campo de tiro.
Gastar tanto dinero y divertirse de esa manera no es ilegal, pero en retrospectiva resulta curioso. La acusación federal asegura no solo que Hutchins creó el malware Kronos, que permite a los hackers robar credenciales bancarias, sino que también lo publicitaba en AlphaBay, el mercado de la dark web (la web oscura) que fue desarticulado por autoridades estadounidenses y europeas hace un par de semanas. No se sabe, sin embargo, si el arresto de Hutchins está relacionado con este hecho. La acusación sostiene que el joven vendió Kronos por $2,000 (al menos una vez) y que subió a YouTube un vídeo en el que explicaba cómo funcionaba el malware, un acto que es evidencia incriminatoria, según el Departamento de Justicia.
¿Acaso las autoridades federales dejaron que Hutchins anduviese de fiesta durante el Defcon y el Black Hat con la intención de recolectar más evidencia incriminatoria contra él? ¿Todo el dinero de Hutchins provenía de la venta del malware que ayudaba a malévolos hackers a robar a incautos usuarios? ¿Mintió cuando dijo que había donado a la caridad la recompensa de $10,000 por detener el WannaCry y prefirió gastar el dinero en alquilar coches exclusivos y una lujosa casa?
No podemos responder ninguna de estas preguntas por el momento. De lo que sí estamos seguros es de que un hacker de “sombrero blanco” (como Hutchins, aparentemente) puede haber cometido actos cuestionables en el pasado. En el mundo de los hackers, es común que uno empiece siendo un “sombrero negro” y termine pasándose al lado de los buenos. Lo habitual es que los atrapen haciendo cosas malas y tengan que cumplir alguna condena en prisión.
No faltan los ejemplos: el caso de Kevin Paulson, en 1990, es todo un hito. El legendario hacker se hizo famoso por traerse abajo todas las líneas telefónicas alrededor del área de las estaciones de radio de Los Ángeles. De esa manera, su llamada pudo ser la número 102 y ganar un flamante Porsche. Fue arrestado en 1991, tras 18 meses de persecución, y estuvo en prisión cinco años. Ahora, es el editor senior de Wired.
Otro famoso hacker es Kevin Mitnick, quien fue acusado de una docena de crímenes cibernéticos en 1995. Tras dos semanas huyendo de los federales, fue capturado con 100 móviles clonados. Pasó casi cuatro años en prisión. Ahora, dirige su propia empresa de seguridad y es consultor en temas de protección de datos para grandes compañías (e incluso para el FBI).
¡Y cómo olvidar a Samy Kamkar! Cuando tenía solo 19, creó un gusano que liberó en MySpace, desde donde llegó a convertirse en el virus de ordenador de más rápida propagación de la historia. Se declaró culpable de un delito grave, con lo cual evitó ir a prisión. Estuvo con libertad condicional por tres años, en los cuales tenía prohibido tocar cualquier ordenador. Ahora, es uno de los más famosos hackers de “sombrero blanco” del mundo, detecta vulnerabilidades en dispositivos que usamos a diario y aboga por que tengamos una mejor privacidad. Incluso ha prestado testimonio en el Congreso.
Una cosa sí debemos repetir: no sabemos si Hutchins es culpable o inocente. Es posible que los federales tengan al tipo equivocado y volvamos a recordar a MalwareTech como la persona gentil que salvó a muchos de ser hackeados y secuestrados por el ransomware WannaCry. Sin embargo, de resultar culpable, no sería el primer hacker de “sombrero blanco” con un oscuro pasado. Podría. de hecho, pasar a formar parte de un selecto club.