Lo que no te cuentan: Marcus Hutchins: Salvó El Mundo Y Acabó Arrestado
Hilo sobre el chico que salvó al NHS de WannaCry con 10 dólares y cómo el FBI le dio las gracias con esposas. Spoiler: la NSA creó el arma, Corea del Norte fue el chivo expiatorio y el héroe fue el único que pagó.
Lo Que No Te Cuentan : Te acuerdas de esa vez que Marcus Hutchins paró el ransomware y el FBI le dio las gracias con esposas
El chico de 22 años que salvó al NHS de WannaCry. Tres meses después, el FBI lo arrestó en Las Vegas. La historia que no te contaron.
Te acuerdas de esa vez que un chico de Devon salvó al mundo.
Mayo de 2017. WannaCry devastaba hospitales, fábricas, empresas. 230.000 ordenadores en 150 países. Pantallas negras. Archivos cifrados. Vidas en riesgo. Y nadie sabía cómo detenerlo.
Marcus Hutchins, de 22 años, estaba en su habitación en el pueblo de Ilfracombe. Analizó el código del ransomware. Encontró un dominio no registrado. Un kill switch oculto. Lo registró por 10 dólares. El worm dejó de propagarse.
El NHS se salvó. Miles de hospitales respiraron. Marcus se convirtió en héroe accidental.
"Lo hice sin pensar. Solo vi el dominio, lo registré y, de repente, el ataque se detuvo".
Un acto de intuición. De curiosidad. De un chico que jugaba con malware como otros juegan con videojuegos.
Pero Marcus no era un santo digital.
El pasado que no perdonan
Hutchins era @MalwareTechBlog.
Un blog donde analizaba ransomware, exploit kits, botnets. Un espacio donde compartía conocimiento con la comunidad de ciberseguridad. Pero también donde, según la acusación federal, había creado y vendido el malware Kronos en 2014 y 2015.
Kronos era un troyano bancario. Robaba credenciales. Se vendía en foros oscuros por 3.000 dólares. La acusación decía que Hutchins lo desarrolló, lo publicitó y recibió pagos por él.
Tres años antes de WannaCry.
Nada que ver con el ransomware que detuvo. Ninguna conexión técnica. Pero la narrativa federal no necesitaba conexiones. Necesitaba un cierre.
Las Vegas, agosto de 2017
DEF CON. La mayor convención de hackers del mundo.
Marcus viajó a Las Vegas para asistir. Para dar charlas. Para celebrar ser el héroe de WannaCry. El FBI lo esperaba en el aeropuerto McCarran. Lo arrestaron al aterrizar. Lo acusaron de seis cargos de fraude informático.
"Salvó al mundo de WannaCry. Luego el FBI lo arrestó por ser hacker".
La ironía no era casual. Era estructural.
El gobierno estadounidense necesitaba un mensaje: no importa que salves al mundo. Si alguna vez tocaste malware, eres nuestro. No hay redención. No hay gratitud. Solo jurisdicción y venganza.
El juicio que no fue
Hutchins se declaró culpable de dos cargos en 2019.
No de crear Kronos —eso nunca se probó en juicio— sino de distribuir malware y de obstaculizar la investigación. El acuerdo de culpabilidad le evitó una condena de décadas. Le dieron tiempo servido y un año de libertad condicional.
Pero la sentencia no era lo importante.
Lo importante era el mensaje: en Estados Unidos, ser hacker es un estado permanente. No importa qué hagas después. No importa que salves vidas. El FBI tiene memoria infinita y jurisdicción global.
Mientras tanto, la NSA, que creó EternalBlue —el exploit que hizo posible WannaCry—, sigue operando. Sin cargos. Sin arrestos. Sin juicio.
"Los gobiernos crean las armas. Los criminales las usan. Los héroes que las detienen van a prisión".
El giro polémico
Aquí está el truco que nadie menciona.
Marcus Hutchins no fue arrestado por Kronos. Fue arrestado por ser visible. Por ser héroe. Por demostrar que un chico de 22 años en Devon podía detener un ataque que la NSA, la GCHQ y toda la industria de ciberseguridad no habían previsto.
Eso era intolerable.
La narrativa oficial necesitaba que WannaCry fuera un ataque de Corea del Norte. Que la solución fuera más vigilancia, más presupuesto, más control. Hutchins la desmontó con 10 dólares y un dominio web. Mostró que el problema no era falta de recursos. Era negligencia. Era que la NSA guardaba exploits en lugar de parchearlos.
Arrestarlo era necesario. No por justicia. Por narrativa.
La ironía definitiva: el chico que salvó al NHS de un arma de la NSA fue arrestado por el FBI por actividades de hace tres años. Mientras la NSA sigue creando armas digitales, filtrándolas y negando responsabilidad. Mientras Microsoft gana millones vendiendo parches para agujeros que el gobierno crea.
Traducción: en ciberseguridad, no se premia al que salva. Se premia al que obedece. Y se castiga al que demuestra que el emperador no tiene ropa, ni parches ni vergüenza.
La pregunta que no te dejará dormir
Si mañana descubrieras que salvar al mundo de un ciberataque te convierte en objetivo de tu propio gobierno —y que la gente que creó el arma sigue impune— ¿seguirías intentando salvarlo?
¿O aprenderías que, en este juego, el héroe es el que no levanta la vista del teclado?