Así ayudó Facebook al FBI a capturar al peor ‘sextorsionador’
El 3 de agosto de 2017 el FBI asaltó la casa de Buster Hernández en una remota calle de Bakersfield, California. Lo primero que hizo Hernández fue desconectar un USB de su portátil. Así impedía que las autoridades obtuvieran pruebas de su actividad reciente. Pero era ya tarde. A pesar de la sofisticación tecnológica de Hernández, el FBI tenía ya material en su contra.
Desde aquel portátil y aquella habitación, durante al menos cinco años, Hernández había usado Facebook y otras redes sociales para una refinada y extensa campaña de acoso: extorsionó a cambio de vídeos sexuales (lo que se conoce como sextorsión), amenazó con volar un colegio y matar a docenas personas, y traficó con pornografía infantil. Hernández (California, 1990) escogía a sus víctimas menores y les escribía un mensaje similar, según documentos del tribunal: “Hola [nombre], tengo que preguntarte algo más o menos importante. ¿A cuántos chicos has mandado fotos guarras porque yo tengo unas cuantas tuyas?” Hernández no tenía obviamente nada, pero era un modo de confundir a sus potenciales objetivos.
En Internet Hernández era Brian Kil, su seudónimo principal pero no único. Este martes la web Motherboard ha revelado una acción “única” en la historia de Facebook: la red social pagó más de 100.000 dólares para que una empresa de ciberseguridad creara un ataque de día cero para acceder a la dirección IP del cibercriminal. Un ataque de día cero es el más valioso porque detecta una vulnerabilidad en el software que la empresa desarrolladora no conoce. Cualquiera que lo conozca puede colarse en un sistema ajeno. No está claro, según Motherboard, si el FBI conocía los detalles de la acción de Facebook.
Hernández usaba Tails, un sistema operativo que emplea la red Tor para navegar y cifra todo el tráfico. A través de conexiones sucesivas, Tor desorienta a quien trata de obtener la dirección IP desde la que alguien accede a Internet. Hernández tenía cientos de e-mails y cuentas en redes sociales para perseguir a sus víctimas. Pero su rastro no quedaba en ningún lugar.
Dos exempleados de Facebook han admitido a Motherboard que Hernández era famoso en la sede de la compañía y le consideraban el peor criminal que hubiera usado la red social. Facebook dedicó un ingeniero durante dos años a rastrearle y acabó por desarrollar nuevo software automatizado que detectaba a usuarios que creaban cuentas e intentaban acercarse a menores (Facebook permite tener cuenta desde los 13 años). Ese programa permitió aparentemente dar con varios seudónimos del cibercriminal.
La desesperación de los responsables de la compañía hizo que Facebook dedicara recursos únicos y extraordinarios para cazar a este delincuente. “Era un caso único porque usaba métodos tan sofisticados para ocultar su identidad que tomamos la medida extraordinaria de trabajar con expertos en seguridad para ayudar al FBI a llevarle ante la justicia”, dice un portavoz de la compañía sobre el caso.
La lectura del informe judicial del FBI ofrece un repertorio lleno de acciones repugnantes. Pero a pesar de la evidente maldad y terror provocado por Hernández, el problema de la acción de Facebook es la debilidad del criterio. ¿Cuándo habrá un nuevo caso “único”? ¿Cuándo creerá de nuevo la compañía que un delincuente es suficientemente avispado para dedicarle cientos de miles de euros a su captura?
La ventaja del método escogido por Facebook es que no abre una ventana permanente para que el FBI observe a los usuarios sospechosos. Es un programa único de un solo uso. Sea como sea, pone de relieve el inmenso poder de una compañía que opta por hackear a uno de sus usuarios.
Los desarrolladores de Tails se enteraron de la historia cuando les llamó el periodista de Motherboard. Los ataques de día cero, mientras la empresa no parchee el agujero de seguridad, pueden emplearse tantas veces como quieran los atacantes. Tails es un programa común entre activistas y periodistas: es casi imposible de rastrear. O lo era, hasta que la empresa contratada por Facebook encontró el modo de entrar. Facebook dice que no avisó a Tails una vez descubierta la IP del cibercriminal porque en una actualización posterior el código vulnerable fue eliminado. Ese ataque de día cero, por tanto, ya no servía.
Con la información de EL PAÌS
