eldiario.es

Síguenos:

Boletines

Boletines

Menú

AKA MalwareTech

Imagínense que una mente criminal, con medios y logística suficiente, sincroniza un ataque con bomba que, además de varios muertos, ocasiona decenas de heridos, y un malware que colapsa los sistemas informáticos de los hospitales de la zona

- PUBLICIDAD -
El FBI detiene en EEUU al experto que detuvo la extensión del virus "WannaCry"

Un ordenador atacado por el ransomware Wannacry, en una imagen de archivo. EFE

Cuando dicen que Internet está cambiando muchos paradigmas, resulta cierto hasta extremos insospechados. Uno de los tópicos más habituales del verano es que suelen ser meses escasos de noticias, y por lo que parece, está a punto de caer.

Recordarán que por mayo tuvimos un incidente informático del carajo a cuenta de Wannacry, un ransomware vitaminado con capacidades de gusano, que la lió parda en las redes internas de sitios como Telefónica, en España, o la red de hospitales del Reino Unido. En este último caso, se cifraron cosas tan sensibles como las historias clínicas de los pacientes, haciendo inviables cosas teóricamente tan rutinarias como una trasfusión de sangre, al desconocer el grupo sanguíneo del paciente.

Es curioso, porque a las pocas semanas del incidente, un fanático con un chaleco de explosivos organizó una masacre tras un concierto de Ariana Grande, en Manchester. Imagínense que una mente criminal, con medios y logística suficiente, hubiera sincronizado ambas acciones: un ataque con bomba que, además de varios muertos, ocasiona decenas de heridos, y un malware que colapsa los sistemas informáticos de los hospitales de la zona, en aspectos absolutamente vitales en el servicio de urgencias.

Todavía no está claro quién pergeñó esta iteración del Wannacry que tuvo tan desastrosos efectos, porque los que han podido examinar su código (y entenderlo) dicen que podría ser el proyecto de un novato, que se le fue de las manos, o un ataque diseñado exactamente para parecer esto último. Por ejemplo, para comprobar el tiempo de reacción de ciertas instituciones, o la fortaleza de las defensas. 

El dato comprobado, que sorprendió bastante a los investigadores, es que el bicho en cuestión contenía lo que se conoce como un "killswitch", y que podríamos traducir como "botón del pánico". Antes de comenzar su malévola tarea de cifrar archivos, el programa comprobaba la existencia de conexión a Internet, y buscaba una determinada dirección. Si esta no existía, vía libre, Wannacry comenzaba a darle al manubrio de hacer inaccesibles los archivos. Así que, a un jovenzuelo llamado Marcus Hutchins, conocido por el alias de "MalwareTech", se le ocurrió comprobar a ver qué pasaba si se creaba la página web que el malware buscaba. Compró el dominio por diez pavos, y creó una página que se limitaba a recopilar la información que le llegaba del bicho. ¿Resultado? En cuanto los miles de equipos infectados por Wannacry comenzaron a comprobar que la página web existía, pararon de cifrar archivos. 

"Héroe por accidente" fue, probablemente, uno de los titulares más repetidos que recogieron la noticia y glosaron la peripecia de nuestro protagonista.

Ahora, un dramático flashforward… A principios de julio, dos de las mayores páginas del "mercado negro" que se aprovecha del supuesto anonimato de TOR y otras de redes de la llamada Dark Web, cayeron en las garras de la Policía, en un movimiento de pinza de alcance internacional. El FBI arrestó al responsable de Alphabay y tiró abajo este sitio, lo que provocó una fuga en masa de usuarios hacia Hansa, su gran competidor, que llevaba cerca de un mes controlado por la Policía holandesa. Así, los que escapaban de uno de los sitios, terminaron cayendo en la redada urdida en el otro.

En estos dos sitios, además de con drogas y armas de fuego, como si se tratara del rap del payaso de La hora chanante, se comerciaba con herramientas para realizar ataques informáticos de todo tipo. Y esto es relevante porque la información obtenida por la Policía en esta operación se está utilizando para desenmascarar a delincuentes cuyas fechorías, hasta la fecha, habían quedado impunes.

¿Esto es lo que ha sucedido con Marcus Hutchins? La Fiscalía Federal de los Estados Unidos dice que sí, y su defensa, por supuesto, dice lo contrario. Veremos qué dicen las pruebas, porque todavía estamos en una fase preliminar.

Porque, por estas fechas, en Las Vegas se celebran dos de los mayores congresos sobre seguridad informática del mundo, la "Black Hat" y la "DefCon". Y nuestro protagonista viajó hasta Nevada, para acudir a estos eventos. Cuando se encontraba en el aeropuerto, presto a volver a su país, fue detenido.

La cuestión es que, como se están publicando documentos judiciales del caso, hemos tenido acceso a cosas tan interesantes como la audiencia preliminar sobre situación personal del investigado, algo similar a lo que regula el artículo 505 de nuestra Ley de Enjuiciamiento Criminal. La Fiscalía solicitaba prisión provisional sin fianza, basándose en argumentos hasta cierto punto endebles. El riesgo de fuga, tanto allí como aquí, es la primera baza: se trata de un ciudadano británico, sin arraigo conocido en suelo norteamericano.

Pero además, se le quiso presentar como un sujeto peligroso, toda vez que había visitado establecimientos donde se puede disparar con armas de fuego, algo que es perfectamente lícito para cualquier ciudadano norteamericano, amparado por la segunda enmienda de su Constitución, pero que según los fiscales yanquis no sería aplicable a un extranjero.

Por último, se hizo valer el riesgo de destrucción de pruebas, en base a la volatilidad de la evidencia digital, y la posibilidad de su borrado por el investigado en caso de quedar en libertad.

El juez, en una decisión salomónica, ha validado el primero de los argumentos y ha rechazado los otros dos, y ha aplicado medidas cautelares más suaves que la privación de libertad: se le retira el pasaporte (lo que originó una curiosa discusión acerca de cómo iba a llegar el investigado hasta Wisconsin, donde está judicializado el asunto, sin documentación), se restringen sus movimientos mediante un localizador GPS, y se le prohíbe cualquier tipo de acceso a sistemas informáticos con conexión a Internet, incluyendo consolas de videojuegos, lectores de libros electrónicos o cualquier otra cosa que pueda conectarse a la Red.

Pero, ¿de qué se acusa a Hutchins? Siempre según el FBI, entre 2014 y 2015, el investigado desarrolló el código de un troyano bancario conocido como Kronos. Asociado con alguien todavía no identificado, vendió dicho troyano, lo anunció en foros dedicados a estos menesteres y, en definitiva, se dedicó a hacer caja con su creación.

Enseguida, los informáticos empiezan a alarmarse: ¿El mero hecho de desarrollar un software es delito? A continuación, empiezan las analogías inválidas: "Pero eso es como si fabrico un cuchillo y alguien me acusa de las muertes que se hayan causado con él".

Como nuestra legislación no es precisamente original en materia de delitos relacionados con la tecnología, el Código Penal español ofrece una buena guía para responder a estas cuestiones.

Desde 2010, el artículo 248, apartado 2º, inciso b), considera reos del delito de estafa a "los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo".

Es decir, no se castiga el desarrollo de "cualquier software", sino exclusivamente el que sirva para la comisión de estafas. Los troyanos bancarios, como Kronos, son un tipo de malware que captura información confidencial de la víctima, principalmente contraseñas y otras credenciales de acceso a cuentas bancarias, con la finalidad de robar el dinero a base de transferencias fraudulentas. Los creadores de este tipo de programas rara vez lo utilizan ellos mismos, sino que obtienen beneficio indirecto comercializándolos. 

Hay toda una estructura empresarial descentralizada en torno al fraude informático, del que los desarrolladores del malware son sólo un escalón. Están los que proporcionan vectores de infección (páginas web legítimas cuya seguridad se ha vulnerado, redes de difusión de "spam", botnets), los que reclutan a las "mulas" que reciben las transferencias fraudulentas, los que controlan a dichas mulas, o los que blanquean los beneficios de cualquier otra manera imaginable, como esquemas de juego online amañados, o transferencias en criptomonedas como BitCoin.

En 2015, en cumplimiento del Convenio de Budapest contra el Cibercrimen, se incorporó una variante de este artículo en los artículos 197 Ter y el 264 Ter, castigando el mismo tipo de conducta, pero cuando el software desarrollado sirva para obtener acceso ilícito o causar daños a sistemas informáticos. Aquí, la cuestión es mucho más espinosa, porque muchas herramientas de seguridad y auditoría informática, en malas manos, pueden ser usadas para cometer estos delitos. Por ello, la redacción de ambos preceptos exige, para que la conducta sea castigable, que se demuestre en el autor la intención de ayudar a cometer tales delitos. 

Tal intención no está presente en el 248. Se presupone que desarrollar un troyano bancario no tiene otra finalidad que usarlo para fines delictivos. No es una herramienta neutral. No tiene doble uso. Sirve para lo que sirve. No se asemeja a un cuchillo para cortar el pan, sino a un explosivo para reventar cajas de caudales. Y crear explosivos, a sabiendas de que se van a utilizar en actos criminales, te hace responsable de los mismos.

Por supuesto, los estudiosos del malware, los que ayudan a combatirlo, necesitan tener muestras de estos "bichos". Y si puede ser su código original, mejor. Obviamente, esta gente debe quedar fuera de la aplicación del precepto, siempre que trabajen con fines legítimos. El problema es que Hutchins pertenece a esta comunidad. De hecho, trabaja para una firma de seguridad informática.

Sin embargo, según lo que ha trascendido de la investigación, los agentes del FBI habrían encontrado chats en AlphaBay en los afirman poder demostrar que Hutchins comerció con el programa, se concertó con otras personas para difundirlo y obtener mayores beneficios, e incluso que trató de cifrar su código, para protegerlo frente a los antivirus o los análisis forenses de los expertos en seguridad.

Veremos cuánto de esto resulta acreditado, y cuánto queda en fuegos de artificio, como su confesión inicial ante el FBI, sin estar asistido de letrado. Que la presunción de inocencia sigue en vigor, aquí y en USA. De momento.

En cualquier caso, como les dije, eso de que el verano carece de noticias es otro tópico del pasado. 

- PUBLICIDAD -

Comentar

Enviar comentario

Enviar Comentario

Comentarios

Ordenar por: Relevancia | Fecha