La caída del héroe que paró el virus Wannacry

Marcus Hutchins (Devon, 1994) había entregado a obras benéficas los 10.000 dólares (unos 8.500 euros) de recompensa por salvar el pasado mayo al mundo del dañino Wannacry. El mayor ataque de ransomware puso contra las cuerdas a grandes empresas y servicios públicos de Europa, y la audacia de este joven trabajador de soporte técnico en Reino Unido salvó a las grandes corporaciones de todo el mundo.

Hutchins se convirtió en un héroe inesperado. Además del reconocimiento público, le esperaba el mejor de los laureles, explicar su caso entre los mejores del sector en Las Vegas, donde se celebran las dos conferencias más relevantes en ciberseguridad, Defcon y Blackhat. Y ahí, en Las Vegas, acabó abruptamente la buena racha de Hutchins, detenido el pasado jueves por el FBI acusado de ofrecer hace unos años un software para robar claves bancarias.

Las Vegas a finales de julio es uno de los lugares más seguros e inseguros del mundo. Las dos conferencias de hackers se solapan y los hoteles se llenan de tipos con gabardina y gafas de sol que intentan mantener a salvo su privacidad, y pueden ser héroes o villanos. O ambas cosas a la vez. La conferencia de Blackhat, previo pago de 1.500 dólares, ofrece cursos y demostraciones.

Es fácil cruzarse con Kevin Mitnick, el hacker más célebre de los años noventa que, tras pasar cinco años en prisión, promociona su propia agencia de consultoría. Su tarjeta de visita, metálica, es toda una declaración de intenciones. Tiene un patrón troquelado para convertirse en ganzúa. Buenos y malos viven en una zona gris, para ofrecer servicios en forma de software espía o asesoramiento. Defcon es mucho más sórdida, underground , y clandestina. La acreditación, de 250 dólares, se paga en metálico y no lleva nombre.

Durante unos días el bien y el mal se mezclan en la ciudad de los casinos. Nadie sabe a ciencia cierta con quién habla, pero todos toman precauciones. Conviene andarse con cuidado, pagar en metálico mejor que con tarjeta. En 2009 desplumaron hasta al más experimentado. ¿Quién iba a pensar que ese inocente cajero junto a la recepción del hotel era falso y que alguien copiaría en menos de un minuto la clave de acceso? Aquel delito no salió a la luz más allá de la propia comunidad de hackers, como un aviso cuya fiesta pagaron las aseguradoras. Cruzar la línea Defcon es un lugar para presumir y enseñar y, si es necesario, cruzar algunas líneas.

Hutchins llegó unos días antes de las convenciones de este año. Se hospedó con una comunidad de expertos británicos. La afinidad por países es habitual. Los mexicanos, por ejemplo, cargaron con una torre de antenas emisoras de wifi en una mochila. Un divertimento para demostrar lo inseguro del sistema del hotel. Todo el mundo presume y gasta, pero los elevados cargos en la tarjeta de crédito del protagonista de la convención hicieron levantar las sospechas.

Gastos como el alquiler de un Lamborghini naranja de 200.000 dólares. O la contratación de una sesión de tiro para probar armas de diferente calibre, largas y cortas. O la reserva de la piscina climatizada más grande de Nevada. El miércoles recibió la visita inesperada del FBI. Lo llevaron detenido, y aunque tras dos días ha salido bajo fianza de 30.000 dólares, el alto riesgo de huida -en esta ciudad de asueto el aeropuerto está casi al final de la calle principal- le ha dejado sin pasaporte, acceso a Internet, tarjetas de crédito y teléfono móvil.

El joven, que sigue en Las Vegas, se enfrenta a cargos cuya condena acarrea 40 años de cárcel en EE UU. Se le acusa de ofrecer, en agosto de 2014, un software que roba claves y contraseñas de las webs de bancos en ordenadores previamente infectados. Formalmente es un troyano, un programa aparentemente fiable, cuya finalidad está enmascarada. El 13 de julio de aquel año, Hutchins puso en su cuenta de Twitter una oferta de licencia. Incluso difundió un vídeo explicando las virtudes malignas del programa.

La acusación afirma tener indicios suficientes de que Hutchins es creador de una de las mutaciones del troyano, Kronos, y que se ha lucrado con ello. El software corrupto se ha metido en el sistema de tarjetas de Reino Unido, Alemania, Francia, Polonia y Canadá. Investigadores de IBM le siguieron la pista hasta octubre de 2015, cuando se mitigaron los efectos. La defensa de Hutchins quiere convertir su buena acción, desactivar Wannacry, en atenuante, pero de acabar condenado, el que parecía un héroe fortuito ya no lo sería tanto. Sabía qué hacía.