Hacker que ajudou a travar ciberataque global preso nos EUA

Marcus Hutchins, o jovem britânico responsável por travar um ciberataque à escala global em maio, foi detido em Las Vegas, no estado norte-americano do Nevada, sob acusações de ter criado e distribuído um software malicioso com o intuito de obter passwords de acesso a contas bancárias na internet.

A informação foi avançada pelas autoridades dos EUA na quinta-feira. Hutchins, de 22 anos, foi detido quando se preparava para regressar ao Reino Unido depois de ter participado num encontro anual de hackers e gurus de cibersegurança em Las Vegas. Isto depois de um grande júri reunido para analisar as suspeitas que recaem sobre Hutchins ter decidido acusá-lo formalmente de criar e distribuir um malware para aceder a contas bancárias via homebanking.

Este tipo de malware infeta motores de pesquisa na internet por forma a capturar informações de login (nomes e passawords) quando os utilizadores acedem às suas contas bancárias e a outros sites supostamente seguros que lidam com informações privadas e sensíveis.

A notícia da detenção de Hutchins chocou a comunidade de cibersegurança, sobretudo pelo papel preponderante que o britânico desempenhou quando os sistemas informáticos de grandes empresas e de instituições públicas de vários países foram alvo do ataque WannaCry em maio, um que infetou dezenas de milhares de computadores em todo o mundo.

Nas acusações formais interpostas em julho num tribunal federal do Wisconsin, o britânico e outro réu cujo nome não foi divulgado são acusados de conspirar entre julho de 2014 e julho de 2015 para publicitar o malware Kronos em fóruns cibernéticos, com o intuito de o vender e de lucrar com ele. Hutchins é ainda acusado de criar o software malicioso.

O Electronic Frontier Foundation, um grupo de direitos digitais com sede em São Francisco, diz estar "profundamente preocupado" com a detenção de Hutchins e já está a tentar entrar em contacto com ele para o ajudar a preparar a sua defesa.

O britânico esteve recentemente na DefCon, a conferência de cibersegurança que acontece todos os anos em Las Vegas e que terminou no passado domingo. Na quarta-feira, publicações suas no Twitter sugeriram que estava a preparar-se para embarcar num avião rumo ao seu país natal; contudo, acabaria por não sair do Nevada.

"Não sabemos que provas é que o FBI tem contra ele, contudo temos alguns provas circunstanciais de que ele esteve envolvido com aquela comunidade à data", diz à Associated Press o especialista em segurança computacional Rob Graham, acrescentando que o facto de o nome de Hutchins estar associado ao malware Kronos não quer dizer que ele o tenha criado ou lucrado com ele. "Eu já escrevi códigos em que outras pessoas injetaram malware", explica Graham. "Sabemos que grandes porções do Kronos foram escritas por outras pessoas."

"Esta é o primeiro caso de que tenho conhecimento em que o governo [dos EUA] processa alguém por criar e vender malware sem na verdade o ter usado", diz Orin Kerr, professor de Direito na Universidade George Washington. O especialista diz também que, em casos destes, é difícil provar que houve intenção criminosa. "É um debate constante no que toca ao Código Penal, a prestação de ajuda [intenacional ou inadvertidamente] a pessoas que estão a cometer um crime. Quando é que isso se torna um crime em si mesmo?"

No Twitter, um outro especialista em cibersegurança que é amigo de Hutchins e que viajou com ele até Las Vegas garantiu que o britânico está inocente. "Ele tem passado a sua carreira a travar malware, não a escrevê-lo." Antes da sua detenção, Hutchins tinha sido alardeado como o "herói invisível" na luta contra o WannaCry por ter encontrado e ativado um "kill switch" para travar o ataque à escala global e impedir que o ransomware continuasse a alastrar-se a outros computadores.