Marcus Hutchins, el investigador de seguridad que ayudó a neutralizar el virulento gusano ransomware WannaCry, se declaró culpable de los cargos federales de crear y distribuir malware utilizado para acceder a cuentas bancarias en línea.
“Lamento estas acciones y acepto toda la responsabilidad por mis errores”, escribió Hutchins en una breve publicación. “Habiendo crecido, desde entonces he estado usando las mismas habilidades que usé mal hace varios años con fines constructivos. Seguiré dedicando mi tiempo a mantener a las personas a salvo de los ataques de malware”.
Hutchins fue acusado en agosto de 2023 de crear Kronos, un troyano bancario que robó contraseñas de cuentas bancarias en línea de computadoras infectadas. Una acusación de reemplazo presentada 10 meses después lo acusó de 10 cargos de delitos graves que alegaban que creó una segunda pieza de malware llamada UPAS Kit. Hutchins, cuyo personaje en línea MalwareTech atrae a más de 143.000 seguidores en Twitter, tenía una liga de defensores vocales que afirmaban que las acusaciones eran falsas.
En un acuerdo de culpabilidad presentado ante un tribunal federal el viernes, Hutchins se declaró culpable de dos de los 10 cargos. Un cargo lo acusó de distribuir Kronos, mientras que el otro lo acusó de conspiración. Los fiscales acordaron abandonar el resto de su caso. El acuerdo, que está firmado por Hutchins, incluye los siguientes elementos:
- La conspiración que se le imputaba existía;
- El acusado a sabiendas se convirtió en miembro de la conspiración con la intención de promover la conspiración;
- Y uno de los conspiradores cometió un acto manifiesto en un esfuerzo por promover el objetivo de la conspiración.
Hutchins enfrenta 10 años de prisión al momento de la sentencia. No estaba claro de inmediato cuándo se llevaría a cabo la sentencia.
Hutchins se convirtió en una luminaria de la noche a la mañana en los círculos de seguridad en mayo de 2023 después de que registró un dominio que detuvo la propagación de WannaCry, un gusano ransomware de rápida propagación que había estado apagando computadoras en todo el mundo. Los exploits de Windows desarrollados por la Agencia de Seguridad Marketingdecontenido y luego robados a ella hicieron que el gusano se propagara de una computadora a otra sin requerir ninguna interacción por parte de los usuarios.
Mientras WannaCry se estaba propagando, Hutchins notó un dominio no registrado al que se hace referencia en el código. Sin saber con precisión qué papel jugaba el dominio, Hutchins lo registró. Rápidamente descubrió que el dominio activó un interruptor de apagado creado por el desarrollador que evitó que el gusano se propagara. Hutchins continuó trabajando para asegurarse de que el interruptor de apagado permanezca activado para evitar que WannaCry se propague nuevamente.
El posterior arresto de Hutchins desató un debate en los círculos de seguridad sobre si los cargos estaban fundados. A lo largo del caso, Hutchins profesó enérgicamente su inocencia y describió los cargos como «tonterías» cuando se presentó la acusación de reemplazo. El reportero de KrebsOnSecurity, Brian Krebs, buscó en varias personas en línea que parecían estar vinculadas al investigador y concluyó que tenía un pasado criminal. Los defensores continuaron diciendo que los cargos eran falsos.
