Buster Hernández, que espera sentencia, ciberacosó y amenazó durante años a menores en al menos diez estados de EE UU. “Es un caso único”, según la compañía.
El 3 de agosto de 2017 el FBI asaltó la casa de Buster Hernández en una remota calle de Bakersfield, California. Lo primero que hizo Hernández fue desconectar un USB de su portátil. Así impedía que las autoridades obtuvieran pruebas de su actividad reciente. Pero era ya tarde. A pesar de la sofisticación tecnológica de Hernández, el FBI tenía ya material en su contra.
Desde aquel portátil y aquella habitación, durante al menos cinco años, Hernández había usado Facebook y otras redes sociales para una refinada y extensa campaña de acoso: extorsionó a cambio de vídeos sexuales (llamado sextorsión), amenazó con volar un colegio y matar a docenas personas, y traficó con pornografía infantil. Hernández (California, 1990) escogía a sus víctimas menores y les escribía un mensaje similar, según documentos del tribunal: “Hola [nombre], tengo que preguntarte algo más o menos importante. ¿A cuántos chicos has mandado fotos guarras porque yo tengo unas cuantas tuyas?” Hernández no tenía obviamente nada, pero era un modo de confundir a sus potenciales objetivos.
En internet Hernández era Brian Kil, su seudónimo principal pero no único. Este martes la web Motherboard ha revelado una acción “única” en la historia de Facebook: la red social pagó más de 100.000 dólares para que una empresa de ciberseguridad creara un ataque de día cero para acceder a la dirección IP del cibercriminal. Un ataque de día cero es el más valioso porque detecta una vulnerabilidad en el software que la empresa desarrolladora no conoce. Cualquiera que lo conozca puede colarse en un sistema ajeno. No está claro, según Motherboard, si el FBI conocía los detalles de la acción de Facebook.
Hernández usaba Tails, un sistema operativo que emplea la red Tor para navegar y cifra todo el tráfico. A través de conexiones sucesivas, Tor desorienta a quien trata de obtener la dirección IP desde la que alguien accede a Internet. Hernández tenía cientos de emails y cuentas en redes sociales para perseguir a sus víctimas. Pero su rastro no quedaba en ningún lugar.
Dos ex empleados de Facebook han admitido a Motherboard que Hernández era famoso en la sede de la compañía y le consideraban el peor criminal que hubiera usado la red. Facebook dedicó un ingeniero durante dos años a rastrearle y acabó por desarrollar nuevo software automatizado que detectaba a usuarios que creaban cuentas e intentaban acercarse a menores. (Facebook permite tener cuenta desde los 13 años.) Ese programa permitió aparentemente dar con varios seudónimos del cibercriminal.
La desesperación hizo que Facebook dedicara recursos únicos y extraordinarios para cazar a este delincuente. “Era un caso único porque usaba métodos tan sofisticados para ocultar su identidad que tomamos la medida extraordinaria de trabajar con expertos en seguridad para ayudar al FBI a llevarle ante la justicia”, dice un portavoz de la compañía sobre el caso.
La lectura del informe judicial del FBI está lleno de acciones repugnantes. Pero a pesar de la evidente maldad y terror provocado por Hernández, el problema de la acción de Facebook es la debilidad del criterio. ¿Cuándo habrá un nuevo caso “único”? ¿Cuándo creerá de nuevo la compañía que un delincuente es suficientemente avispado para dedicarle cientos de miles de euros a su captura?
La ventaja del método escogido por Facebook es que no abre una ventana permanente para que el FBI observe a los usuarios sospechosos. Es un programa único de un solo uso. Sea como sea, pone de relieve el inmenso poder de una compañía que opta por hackear a uno de sus usuarios.
Los desarrolladores de Tails se enteraron de la historia cuando les llamó el periodista de Motherboard. Los ataques de día cero, mientras la empresa no parchee el agujero de seguridad, pueden emplearse tantas veces como quieran los atacantes. Tails es un programa común entre activistas y periodistas: es casi imposible de rastrear. O lo era, hasta que la empresa contratada por Facebook encontró el modo de entrar. Facebook dice que no avisó a Tails una vez descubierta la IP del cibercriminal porque en una actualización posterior el código vulnerable fue eliminado. Ese ataque de día cero, por tanto, ya no servía.
En un vídeo por Dropbox
El FBI colocó las líneas de código del ataque en un vídeo que un agente que se hacía pasar por una de las víctimas mandó por Dropbox a Hernández. Cuando el criminal lo reprodujo en su ordenador la vulnerabilidad permitió que las autoridades descubrieran su IP. La empresa proveedora de servicios les dio la dirección física en una calle de las afueras de Bakersfield, cerca de la entrada del célebre parque nacional de Joshua Tree, y a miles de kilómetros de donde vívían sus víctimas, repartidas por todo el país. Allí residía Hernández con su novia. El FBI observó durante semanas al sospechoso para ver si las conexiones coincidían con sus horarios y lograban otras pruebas.
“Quiero ser el peor ciberterrorista de la historia”, escribió Hernández a una de sus víctimas. El acosador era consciente de su habilidad técnica y su capacidad. La obsesión con una de sus víctimas, del estado de Indiana, le llevó a amenazar con una masacre al colegio donde iba. El colegio cerró algún día por precaución y la inquietud de la comunidad les llevó a organizar una sesión con la policía para explicar detalles Del caso. Hernández logró colar en esa reunión a otra de sus víctimas, para que le explicara lo que se decía en ella. “Necesito que vayas 1000%”, le amenazó.
Luego publicó los detalles en Internet para hacer creer que él mismo había sido uno de los asistentes. “La señora rubia gorda con las gafas encima de la cabeza y la camisa estampada debajo de una chaqueta blanca, que preguntó cómo sabemos que no está aquí. Estaba, y aprendí mucho”, escribió. “’Qué pasará si no le cogen’, caridad no paraba de mover la cabeza cuando preguntaste eso caridad. Si no me cogen haré más amenazas y mataré a tus hijos”, añadió.
Las amenazas a las menores que le mandaban alguna foto o vídeo crecían con el tiempo: “Sé dónde vives. Iré por la noche. Iré por la noche a por todas mis esclavos en algún momento. ¿Te he hecho llorar alguna vez?” Daba detalles explícitos de cómo debían ser las escenas sexuales. Mandaba ejemplos de otros vídeos donde niñas lloraban al hacer esos mismos actos.
El juicio se ha celebrado este año en Indiana y está visto para sentencia, que debería ser en septiembre. Hernández se ha declarado culpable de la mayoría de cargos. En la cárcel se tatuó en el cuello “B. K.”: Brian Kil.
Muy bueno eso , fue excelente
Me encanta escuchar noticias así