La caída y redención del hacker que salvó al mundo de Wannacry
El joven británico fue detenido por el FBI y juzgado en Estados Unidos por programar malware cuando era adolescente
El joven Marcus Hutchins saltaba y bailaba ante su ordenador en el sótano donde vivía en casa de sus padres. Acababa de darse cuenta de que una intervención suya había detenido Wannacry, el virus más potente que había visto internet hasta 2017. Subió excitado a decírselo a su madre, que preparaba la cena: “Muy bien, cariño”, le respondió, sin más.
Hutchins había sido el típico adolescente encerrado en su habitación con el ordenador. Ahora, con 22 años, vivía en Ilfracombe, un pueblo al suroeste de Inglaterra, y había abandonado aburrido la escuela. Sus padres no entendían bien qué hacía...
El joven Marcus Hutchins saltaba y bailaba ante su ordenador en el sótano donde vivía en casa de sus padres. Acababa de darse cuenta de que una intervención suya había detenido Wannacry, el virus más potente que había visto internet hasta 2017. Subió excitado a decírselo a su madre, que preparaba la cena: “Muy bien, cariño”, le respondió, sin más.
Hutchins había sido el típico adolescente encerrado en su habitación con el ordenador. Ahora, con 22 años, vivía en Ilfracombe, un pueblo al suroeste de Inglaterra, y había abandonado aburrido la escuela. Sus padres no entendían bien qué hacía ni cómo ganaba algo de dinero, así que la anodina reacción de la madre fue medio natural. Estos días se han cumplido tres años de Wannacry y Hutchins ha confesado por primera vez la historia de su proeza y caída en un largo perfil en la revista Wired. Es la típica historia de redención del hacker listo que empieza de niño a tontear con el lado oscuro de internet, le engañan, cae al pozo de la delincuencia, luego rectifica, pero es demasiado tarde y acaba en manos del FBI.
El día clave en su vida fue hace tres años, después de haber ido a buscar algo de comer en una tienda del pueblo. Al volver, vio que había jaleo en Internet. Un colega le mandó en seguida el código de un virus que llevaba unas horas encriptando ordenadores de todo el mundo a una velocidad nunca vista.
Hutchins observó el código y vio que el virus llamaba a una página web con un nombre larguísimo antes de proceder a encriptar cada ordenador. Era como si el verdugo hiciera una última llamada al jefe antes de ejecutar a su víctima. Hutchins escribió en un navegador ese nombre, con la esperanza de ver la web y descifrar alguna clave. Pero no existía. Se le ocurrió crearla. El proceso le llevó unos minutos y le costó 10 euros.
Ese simple gesto no detuvo el ataque, pero el virus dejó de repente de encriptar discos duros. Los analistas aún hoy no han decidido el motivo de la existencia de ese dominio. Pero en aquel momento el virus llamaba a su dominio y recibía la orden de no disparar, de no cifrar el disco duro de la víctima. Era como si los programadores de Wannacry hubieran puesto en el código ese dominio como interruptor para apagarlo. Hutchins lo activó.
Al año siguiente Estados Unidos acusó a Corea del Norte del ataque. Nadie sabe tampoco por qué los creadores de Wannacry no modificaron el código del malware para que dejara de llamar a ese dominio. Pero no lo hicieron.
Hutchins, obviamente, se hizo famoso. Tres meses después de Wannacry se celebraba en Las Vegas la mayor conferencia de hackers del mundo, DefCon. Fue una de las estrellas, pero Hutchins estuvo poco en las salas de conferencias. Alquiló con unos amigos la mansión con la mayor piscina en una residencia privada de Las Vegas. Compraron marihuana, condujeron Corvettes por el strip de Las Vegas y los cañones, fue a un campo de tiro a disparar de todo, se tiró en calzoncillos en una piscina delante de su banda favorita, los Chainsmokers, le robaron la cartera. Hizo casi todas las locuras razonables juveniles.
El último día, antes de ir al aeropuerto para volver a Ilfracombe, Hutchins pidió a las 7 de la mañana una hamburguesa a McDonalds. Salió descalzo, en vaqueros, a recoger el envío. Enfrente de la mansión había aparcado un todoterreno con los cristales tintados, como en las películas. Hutchins tuvo un flash: ¿el FBI?
La pregunta no tenía nada que ver con Wannacry ni con su nuevo papel de héroe en la comunidad hacker. En su pasado había un episodio oscuro que podía explicar la presencia del FBI aquella mañana allí. Como todo hacker incipiente, tras conseguir su primer ordenador propio con apenas 13 años, empezó a entrar en foros para enseñar ejemplos de su capacidad con código. A los 14, en HackForums, otro usuario le pidió escribir una parte de un programa para saber si el antivirus de un ordenador podía detectar malware, un modo de engañar al programa antivirus. Hutchins cobró algo por aquel trabajo.
El momento de la delincuencia
A los 16 llegó el contacto que más le perjudicaría. Un tal Vinny -nunca supo nada más de él- le pidió por chat un programa nuevo para acceder a otros ordenadores (rootkit) y venderlo en foros de hackers profesionales. Hutchins aceptó lleno de orgullo por la confianza. Estuvo nueve meses programando. En sus charlas con Vinny, salía a veces su estado de ánimo. Vinny se ofreció a mandarle un paquete con drogas a casa por su 17 cumpleaños. Era 2011 y SilkRoad, el mercado negro desmontado por el FBI en 2014, empezaba a funcionar. Hutchins accedió y le dio a Vinny su dirección. El rootkit fue un éxito y Hutchins empezó a ganar dinero en serio.
A los meses, Vinny le pidió otro programa: esta vez para robar en cuentas bancarias de usuarios. Hutchins vio el peligro y se negó pero Vinny le amenazó con que tenía su dirección. Al final llegaron a un acuerdo donde Hutchins no iba a programar la parte más delictiva del programa. Pero al final se vio obligado a participar en todo el proceso. Vinny llamó Kronos a aquel programa.
Cuando Hutchins estaba en la sala de espera en Las Vegas para el vuelo a Londres tras DefCon y sus fiestas en la mansión, se le acercaron tres señores. “¿Eres Marcus Hutchins?” Se lo llevaron esposado. Hutchins creyó al principio que era para pedirle algo sobre Wannacry. Pero no. Era sobre Kronos. Hutchins recibió ayuda de una parte de la comunidad hacker para salir en libertad bajo fianza y esperar el juicio, que fue el verano pasado.
Hutchins estuvo un año y medio en Los Angeles, sin trabajar, lleno de remordimientos, atento al clamor por su libertad que despertaba entre tanta gente pero a la vez profundamente preocupado por lo que había hecho sin que nadie lo supiera: había delinquido y el FBI tenía razón. Sus abogados no le permitieron contarlo todo en una confesión pública. Al fin y al cabo, se asomaba a varios años en una cárcel federal.
El juicio fue en Milwaukee y el juez un señor de más de 70 años que solo otra vez se había encargado de un hacker y en su pasado tenía sentencias sorprendentes. Empezó a hablar de los pros y los contras de encarcelar a alguien como Hutchins. Pero consideró que era alguien que por sí solo ya había “doblado la esquina” hacia el bien. Internet necesitaba a gente como él, le dijo, y le dejó en libertad.
Hutchins ha podido volver a empezar. No todos tendrán la misma suerte. En un tuit previo al juicio valoró una de las más repetidas afirmaciones sobre hackers: “Hay una idea equivocada acerca de que para ser un experto en ciberseguridad antes hay que trastear en el lado oscuro. No es verdad. Puedes aprender todo lo que necesitas legalmente. Quédate en el lado bueno”.