Una tormenta global se extinguió en mayo de 2017 cuando el ransomware WannaCry, que paralizó infraestructuras críticas en más de 150 países, echó por tierra las defensas de alrededor de 141.000 computadores en todo el mundo. El virus paralizó hospitales en el Reino Unido, desconectó compañías telefónicas en España y detuvo trenes en Alemania. Todo indicaba que terminaría por sembrar el caos en muchos más equipos de muchos más lugares.
Pero no fue así. Marcus Hutchins, un investigador de 22 años del Reino Unido, conocido en línea como MalwareTech, evitó el desastre. Lo hizo, por demás, con un acto de elegante genialidad: notó que el malware intentaba conectar a un dominio no registrado y, al no lograrlo, cifraba los equipos. El joven registró el dominio y, al hacerlo, detuvo el ataque.
El mundo celebró al héroe accidental, que saltó de inmediato a los titulares. La narrativa periodística se enamoró del hacker autodidacta que, desde la soledad de su dormitorio, derrotó con su brillantez a una amenaza global sin rostro.
Sin embargo, tres meses después, la trama dio un giro: el FBI arrestó a Hutchins en el aeropuerto de Las Vegas por cargos relacionados con la creación y venta, años atrás, del troyano bancario Kronos.
Hutchins pidió clemencia. En 2019, se declaró culpable de dos cargos y un juez federal lo sentenció a libertad vigilada por un año al considerar “sus aportes positivos a la ciberseguridad” y, específicamente, su rol fundamental en detener WannaCry. Nunca fue a la cárcel y, de hecho, recuperó su libertad plena en 2020. En la actualidad trabaja como consultor de seguridad.
Es a menudo que me hallo recordando su caso. Su ascenso, caída y redención exponen, creo yo, una falla en cómo la industria tecnológica y la sociedad entienden, gestionan y juzgan el talento informático.
Por años la jerga de la seguridad informática ha dividido a los actores en dos bandos irreconciliables: los ‘sombreros blancos’, defensores éticos de los sistemas; y los ‘sombreros negros’, que buscan el lucro o la destrucción. Pero Hutchins nos recuerda que existe también la zona gris. Durante su adolescencia, la combinación de un intelecto superior, el aburrimiento y la falta de mentores éticos lo empujó hacia foros donde el delito se disfraza de reto intelectual.
Para un adolescente con habilidades avanzadas en programación, la línea entre la exploración técnica y la ilegalidad es a menudo difusa. Escribir un código capaz de robar credenciales bancarias requiere destreza; venderlo otorga validación (y, no se puede negar, una recompensa económica). Por supuesto que está mal, pero sin una brújula moral o espacios legítimos para canalizar esa capacidad, el camino hacia el cibercrimen será siempre una ruta atractiva. Resbaladiza, sí, pero atractiva.
Los sistemas judiciales de muchos países no siempre saben qué hacer con estos casos. El de Hutchins fue a dar a manos del juez J.P. Stadtmueller, que optó por una sentencia de tiempo cumplido y libertad supervisada, en lugar de la década de prisión que pedían múltiples voces. Su razonamiento fue pragmático: el encarcelamiento de Hutchins no beneficiaría a la sociedad y la privaría, en cambio, de un activo valioso.
Y esa es la lección con la que elijo quedarme: el talento en ciberseguridad es un recurso escaso y países como Colombia no pueden permitirse desperdiciarlo, y menos ante la ola de desarrollos de IA que ya están complicando el paisaje. La industria necesita mecanismos de captación temprana que ofrezcan incentivos superiores a los del mercado negro y espacios reales de capacitación y proyección. Una vez identificados, se requiere una estructura de mentoría que integre a estos perfiles en la economía formal.
La reinvención de Hutchins demuestra que la ética es, en muchos casos, una cuestión de madurez, pero también de oportunidad. Tras su arresto, colaboró con las autoridades y se convirtió en una voz pedagógica sobre los riesgos de la inseguridad en la era del internet de las cosas. Su transición de creador de malware a defensor de la infraestructura digital es un testimonio que obliga a abandonar la narrativa del genio solitario y peligroso para adoptar una postura de responsabilidad colectiva.
La comunidad de seguridad informática debe mirar hacia los foros y espacios donde hoy se gestan los próximos Marcus Hutchins. Es claro que debe combatirse el cibercrimen, pero si la única respuesta ante la transgresión es el castigo ejemplarizante, perderemos la batalla por pura ineficiencia en la gestión de un recurso humano que ha llevado otros países al frente de una nueva revolución.
En cambio, si nos permitimos entender la ciberseguridad no solo como un problema de software y hardware; sino también —y, quizás, ante todo— un desafío humano, podremos abrirles vía a iniciativas para diseñar software cada vez más seguro y para diseñar también caminos vitales viables para quienes poseen la llave del código. De esa forma podremos asegurarnos de que ese talento juegue, permanentemente, en nuestro equipo.
