Facebook Sextortionist
Imagen: Cathryn Virginia/Motherboard

Facebook ayudó al FBI a hackear a un depredador sexual

Facebook pagó una cifra de cinco ceros a una firma de ciberseguridad que desarrolló un ataque de día cero en Tails para identificar a un hombre que extorsionaba y amenazaba a menores.
16 Junio 2020, 3:57am

Durante años, un californiano estuvo acosando y aterrorizando a jóvenes a través de chats, emails y Facebook. Las extorsionaba para conseguir fotos y vídeos donde apareciesen desnudas y amenazaba con asesinarlas y violarlas. También amenazó gráfica y específicamente con llevar a cabo una matanza en sus colegios si no le enviaban fotos y vídeos explícitos.

Buster Hernandez, conocido como “Brian Kil” en internet, era una amenaza constante y se le daba tan bien ocultar su identidad, que Facebook tomó una decisión sin precedentes: ayudar al FBI a hackearlo y reunir pruebas para arrestarlo y condenarlo. Facebook contrató a una empresa para desarrollar un exploit, pero no se lo entregó al FBI directamente; se desconoce si el FBI sabía que Facebook estaba desarrollándolo. Según fuentes de la compañía, es la primera y única vez que Facebook ayuda a la agencia de seguridad estadounidenses a hackear a un sospechoso.

Esta nueva colaboración entre el gigante de Silicon Valley y el FBI demuestra las capacidades tecnológicas de Facebook, la empresa que contrataron para el caso y el FBI, y plantea cuestiones éticas complicadas sobre cuándo es correcto que las compañías tecnológicas presten sus servicios para hackear a los usuarios. El FBI y Facebook llevaron a cabo el conocido como ataque de día cero en el sistema operativo Tails —que está especializado en privacidad y que automáticamente envía todo el tráfico de internet de los usuarios a través del sistema anonimizador de Tor— para conseguir la IP real de Hernandez, que finalmente llevó a su arresto.

Un portavoz de Facebook nos confirmó que habían trabajado con “expertos en seguridad” para ayudar al FBI a hackear a Hernandez.

“El único desenlace posible para nosotros era que Buster Hernandez rindiera cuentas por los abusos a las jóvenes”, dijo el portavoz. “Este es un caso único, porque utilizaba métodos tan sofisticados para ocultar su identidad que tuvimos que tomar medidas extraordinarias y trabajar con expertos en seguridad para ayudar al FBI a llevarlo ante la justicia”.

Unos antiguos empleados de Facebook, que conocen bien la situación, nos dijeron que las acciones de Hernandez eran tan extremas que desde el gigante se sentían acorralados y creían que tenían que tomar cartas en el asunto.

“En este caso, no había ningún riesgo para los usuarios, salvo para esta persona, para la cual había una razón mucho más evidente. Nunca hubiéramos hecho cambios que afectaran al resto, como una puerta trasera”, dice un antiguo empleado de Facebook que conoce el caso. “Puesto que no hay otros riesgos de privacidad, y el impacto humano era tan grande, sentimos que no teníamos otra opción”.

Sin embargo, según varios empleados, antiguos y actuales, con los que hemos hablado, la decisión fue mucho más controvertida dentro de la compañía. Hemos otorgado anonimidad a varias fuentes para que puedan hablar sobre los sucesos protegidos con acuerdos de confidencialidad..

Un pantallazo, incluido en el sumario, de la conversación entre Buster Hernandez y una víctima que ayudó al FBI a entregar el ‘exploit’

Los crímenes de Buster Hernandez son atroces. La acusación del FBI provoca náuseas. Escribía mensajes a chicas menores en Facebook y les decía cosas como: “Hola, tengo que preguntarte algo. Es importante. ¿A cuántos chicos les has enviado fotos desnuda porque tengo algunas tuyas?”, según los registros del jurado.

Cuando una víctima respondía, le ordenaba que le enviara vídeos o fotografías explícitas suyas o enviaría las fotos que ya tenía a todos sus amigos y familiares (en realidad no tenía ninguna foto). Entonces, y en algunos casos durante meses o años, seguía aterrorizando a las víctimas con hacer públicas las fotos y los vídeos que recibía. Las amenazaba con atacar y asesinar a familiares y liarse a disparos o poner bombas en los colegios si no seguían mandado fotografías y vídeos. En algunos casos, decía a las víctimas que, si se suicidaban, publicaría las imágenes en sus páginas homenajes.

Les decía que “quería ser el peor ciberterrorista de todos los tiempos”.

“Quiero dejar un reguero de muerte y fuego [en tu colegio]”, escribió en 2015. “Simplemente IRÉ MAÑANA SIN SER DETECTADO… I masacraré a tu clase entera y te dejaré a ti la última. Me acercaré a ti mientras gritas, lloras y suplicas piedad antes de rajarte el puto cuello, de oreja a oreja”.

Durante todo ese tiempo, afirmaba que la policía no podía pillarle: “Pensarías que la policía me habría encontrado a estas alturas, pero no lo han hecho. No tienen ninguna prueba. Son inútiles”, escribía. “Recemos todos por el FBI, nunca van a resolver este caso […] Estoy por encima de la ley y siempre lo estaré”.

Hernandez utilizaba el sistema operativo seguro Tails que se sirve del software Tor para mantener el anonimato de los usuarios y que está diseñado para cifrar y mandar por defecto todo el tráfico a través de la red, escondiendo la dirección IP real de los sitios webs o servicios que se utilicen. Utilizando esta herramienta, contactó y acosó a decenas de víctimas en Facebook durante años, hasta 2017, según el sumario. Periodistas, activistas y disidentes que están bajo amenaza o temen ser espiados por la policía o el Gobierno también utilizan este sistema operativo. Un portavoz de Tails dice que “se utiliza a diario por más de 30 000 activistas, periodistas, supervivientes de violencia doméstica y ciudadanos preocupados por su privacidad”.

Hernandez era tan conocido en Facebook que los empleados le consideraban el peor criminal que jamás hubiera usado la plataforma, nos contaron dos extrabajadores. Según estas fuentes, Facebook asignó a un trabajador para rastrearlo durante alrededor de dos años y desarrolló un nuevo sistema de aprendizaje automático para detectar a usuarios que crearan cuentas nuevas y se pusieran en contacto con niños para explotarlos. Este sistema pudo detectar a Hernandez y enlazarlo con diferentes pseudónimos y cuentas, y sus respectivas víctimas, nos cuentan los dos antiguos empleados.

Varias oficinas locales del FBI se involucraron en la caza, y la agencia trató de hackearlo y desanonimizarlo, pero no lo consiguieron, puesto que la herramienta que usaron no estaba hecha para Tails. Hernandez se dio cuenta de que habían intentado hackearlo y se burló del FBI, según los dos antiguos empleados.

El equipo de seguridad de Facebook, que entonces estaba dirigido por Alex Stamos, se percató de que tenían que hacer algo más, y llegó a la conclusión de que el FBI necesitaba su ayuda para desenmascarar a Brian Kil. Facebook contrató a una consultoría de ciberseguridad para desarrollar una herramienta de hackeo, que le costó una cifra con cinco ceros. Nuestras fuentes describen la herramienta como un ataque de día cero, que se aprovecha de alguna vulnerabilidad del software que los desarrolladores desconocen. La firma trabajó con un ingeniero de Facebook y desarrolló un programa que introducía un exploit que se aprovechaba de los fallos del reproductor de vídeo de Tails y revelaba la dirección IP real de la persona que estaba viendo el vídeo. Finalmente, Facebook se lo pasó a un intermediario que a su vez lo entregó al FBI, según tres empleados antiguos y actuales.

Desde Facebook nos dijeron que no se especializan en desarrollar exploits y que no querían que se creara la expectativa de que iban a colaborar con las fuerzas del orden con regularidad. Añaden que ellos solo identificaron el enfoque que se utilizaría pero no desarrollaron el exploit y solo recurrieron al hackeo cuando se les agotaron todas las demás opciones.

Entonces, el FBI consiguió una orden judicial y la ayuda de una víctima que envió un vídeo trampa a Hernandez. El pasado febrero, el acusado se declaró culpable de 41 delitos, entre los que están la producción de pornografía infantil, extorsión y seducción sexual de un menor, y amenazas de muerte, secuestro y daño. Ahora, aguarda su sentencia y probablemente pasará años en prisión.

Un portavoz del FBI se negó a hablar sobre la historia, alegando que es un “asunto en desarrollo” y nos remitió a la Fiscalía del Distrito Sur de Indiana, que procesó a Hernandez. Sin embargo, no respondieron a los múltiples correos electrónicos y llamadas.

Alex Stamos, antiguo jefe de seguridad de Facebook, durante una conferencia. (Imagen: Wikimedia Commons)

Facebook investiga rutinariamente a posibles criminales en su plataforma, desde los cibercriminales comunes y corrientes, a acosadores, extorsionistas y gente envuelta en explotación infantil. Varios equipos de Menlo Park recogen los informes de los usuarios y persiguen proactivamente a estos criminales. Estos equipos se componen de especialistas de seguridad, algunos de los cuales solían trabajar para el Gobierno, incluido el FBI o la policía de Nueva York, según los perfiles de los empleados en LinkedIn.

Están tan orgullosos de su trabajo que solían tener una sala de reuniones donde colgaban fotos de la gente que acababa siendo arrestada, al igual que recortes de periódicos de los casos que habían investigado, según nos han contado los antiguos y actuales empleados.

No obstante, de acuerdo con todas nuestras fuentes, esta fue la primera y única vez que Facebook se involucró directamente y ayudó al FBI a perseguir a un criminal de esta manera, desarrollando una herramienta específica para desanonimizarlo. Algunos empleados de Facebook, tanto antiguos como actuales que conocían o no el caso, vieron la decisión como un tema controvertido.

“El precedente de una empresa privada que compra un ataque de día cero para atacar a un criminal”, dice una fuente que conocía la investigación y desarrollo del exploit. “La idea en sí es una mierda […] Es jodidamente sospechoso”.

Otra fuente nos dijo que “todo lo que hemos hecho es perfectamente legal, pero no somos las fuerzas del orden”.

“Me sorprendería si, ante la misma circunstancia, ocurriese lo mismo”, añade.

Sin embargo, un antiguo empleado de Facebook que conoce el caso cree que asociarse con la firma de ciberseguridad y pagar para desarrollar el exploit está justificado, dado que perseguían a un acosador infantil en serie.

“Creo que hicieron lo correcto. Se esforzaron mucho para garantizar la seguridad infantil”, añade el antiguo empleado, que ha preferido quedar en el anonimato porque no está autorizado para hablar del caso. “Es difícil creer que otra compañía gastara esa cantidad de dinero y recursos para tratar de limitar el daño causado por una persona malvada”.

Que el hackeo se llevara a cabo en Tails, y no Facebook, hace del caso un tanto peliagudo éticamente. Aunque este ataque en particular iba destinado a un criminal atroz, entregarle un exploit así a las fuerzas del orden pone en riesgo que se use para otros casos menos serios. En estos productos, no se puede comprometer la seguridad de una persona, sin comprometer la de todos los demás que lo usan y por eso las herramientas de ataques de día cero suelen mantenerse en secreto y se venden por cantidad muy altas. Si cayeran en las manos equivocadas, podría ser desastroso.

Un portavoz de Tails nos dijo en un email que los desarrolladores del proyecto “no conocían la historia de Hernandez hasta ahora y no éramos conscientes de qué vulnerabilidad se iba a utilizar para desanonimizarlo”. Según esta persona, es “información nueva y posiblemente sensitiva” y dijo que nunca informaron del exploit al equipo de Tails. Muchos investigadores de seguridad, incluidos aquellos que trabajan en grandes compañías como Google, siguen un proceso llamado “divulgación coordenada” en el que informan a las compañías de que han encontrado una vulnerabilidad en el software con tiempo para solucionarlo antes de publicarlo.

En este caso, sin embargo, no se hizo porque el FBI pretendía aprovecharse de la vulnerabilidad para atacar al objetivo.

Durante años, los altos cargos de las fuerzas del orden y legisladores importantes han hecho sonar las alarmas ante los criminales y terroristas que se aprovechan de cifrados muy seguros para evitar ser arrestados y procesados. Con el auge del cifrado por defecto, los organismos encargados de hacer cumplir la ley y los Gobiernos suelen hackear a sus objetivos para conseguir transmisiones y datos.

Un factor que convenció al equipo de seguridad de Facebook de que era el momento apropiado, según las fuentes, es que había una actualización de Tails en la que el código vulnerable había sido eliminado. El exploit tenía los días contados, según dos fuentes que conocen la herramienta.

Hasta donde el equipo de Facebook sabía, los desarrolladores de Tails no eran conscientes del fallo, a pesar de haber eliminado el código afectado. Uno de los antiguos empleados de Facebook que trabajó en este proyecto nos ha dicho que el plan era, al final, informar a Tails del fallo, pero entendieron que no hacía falta porque el código iba a ser eliminado.

Amie Stepanovich, la directora ejecutiva del Silicon Flatirons Center de la Facultad de Derecho de la Universidad de Colorado, dice que es importante recordar que se usen con quien se usen, estas herramientas se aprovechan de las vulnerabilidades del software y podrían utilizarse contra gente inocente.

“Una vulnerabilidad puede usarse contra cualquier persona. Puede que Tails lo usen los criminales, pero también lo utilizan activistas, periodistas o altos cargos del gobierno, al igual que otra gente que quiere protegerse de gente con malas intenciones”, explica Stepanovich, experta en seguridad y privacidad. “Por esta razón es importante tener un proceso transparente ante el descubrimiento y respuesta a las vulnerabilidades, que incluya una predisposición por informar a la persona, organización o compañía correspondiente.

Según el senador estadounidense Ron Wyden, observador del uso del hackeo por parte de los cuerpos del estado, este caso plantea cuestiones sobre qué ha hecho el FBI con la herramienta comprada por Facebook.

“¿La han reutilizado para otros casos? ¿Compartieron la vulnerabilidad con otras agencias?”, comenta. “Está claro que hace falta más transparencia sobre cómo el Gobierno utiliza estas herramientas y si las reglas establecidas ofrecen alguna seguridad”.

Con todo, los ingenieros e investigadores de seguridad que tomaron la decisión en aquel momento dicen que no tuvieron otra opción.

“Sabíamos que se iba a usar con gente mala”, nos dijo una de las fuentes que conocía el caso de primera mano. “Había un tipo malo haciendo cosas malas, y queríamos encargarnos de ello”.