Marcus Hutchins, el joven británico experto en ciberseguridad que hace dos meses y medio se convirtió en un ciberhéroe al detener el ataque informático masivo que infectó ordenadores de medio mundo con el ransomware WannaCry, ha sido detenido en EEUU e imputado con seis cargos derivados de otro ciberataque. La noticia de su arresto el miércoles en Las Vegas y la posterior presentación del pliego de cargos han provocado asombro pero también preocupación, dudas y críticas tanto en círculos legales como de expertos en ciberseguridad.

A Hutchins, de 23 años, se le acusa de haber conspirado entre julio del 2014 y julio del 2015 con un cómplice (no identificado en los documentos legales publicados) para crear y vender el virus troyano bancario Kronos, que permitía hacerse con credenciales de registro de usuarios de bancos y otros datos financieros con el objetivo de cometer fraude. También, según la acusación, habría ayudado al mantenimiento de la pieza de malware.

Hutchins fue arrestado el miércoles por el FBI en Las Vegas, donde había estado mientras se celebraban dos conferencias de hackers (aunque no se acreditó para ninguna de las dos y según declaró él mismo a theoutline.com no pretendía participar en ellas). Compareció ante un juez el jueves y su abogado de oficio pidió más tiempo para que buscara un letrado privado.

La Electronic Frontier Foundation mostró su «profunda preocupación» por el arresto de Hutchins y numerosos expertos, en derecho y en ciberseguridad, han cuestionado la credibilidad de los cargos contra el joven, que trabaja para la firma Kryptos precisamente investigando malware y que en julio del 2014 usó Twitter para pedir una muestra de Kronos, una solicitud que sería cuando menos extraña si él hubiera creado el troyano.

El investigador de seguridad Ryan Kalember sugirió en The Guardian que el FBI podría haber confundido una «actividad legítima de investigación» con responsabilidad en la creación y control de Kronos. Kalember recordó que «muchos investigadores se meten en herramientas e interfaces de crimeware y juguetean» y que «a veces tienes que al menos pretender estar vendiendo algo interesante para que la gente confíe en ti. No es algo infrecuente para los investigadores -ha dicho- y no sé si el FBI puede diferenciar una cosa de la otra». El profesor George Kerr declaró a Wired que «no es un crimen crear malware ni venderlo, es un crimen venderlo con intención de que otros cometan un crimen».