La semana pasada, el emprendedor de la ciberdelincuencia Eric Eoin Marques se declaró culpable en su juicio en EE. UU. Una aceptación de culpabilidad que permitió acabar con una batalla jurídica internacional sobre su imperio de la red oscura (o dark web) que empezó hace siete años.

Marques se enfrenta a una pena de hasta 30 años de cárcel por administrar el servicio de alojamiento web Freedom Hosting, que durante un tiempo estuvo en funcionamiento fuera del alcance de la ley y acabó albergando páginas de venta de drogas, operaciones de blanqueo de dinero, grupos de hackers y millones de imágenes de abuso infantil.

Pero, más allá de la condena, hay una pregunta que la policía aún no ha respondido: ¿cómo lograron atraparlo exactamente? De alguna manera, los investigadores consiguieron romper las capas de anonimato que Marques había creado, lo que les permitió localizar el servidor crucial en Francia. Este descubrimiento finalmente les condujo hasta el propio Marques, quien fue detenido en Irlanda en 2013.

Del grupo de famosos ciberdelincuentes que confía en la red Tor para proteger su anonimato, Marques ha sido el primero en ser atrapado. Su captura, por tanto, demuestra que las agencias gubernamentales pueden encontrar a los sospechosos a través de redes diseñadas para ser impenetrables.

Marques culpa de su arresto a los experimentados hackers de la Agencia de Seguridad Nacional estadounidense (NSA, por sus siglas en inglés), aunque el FBI también ha intensificado sus esfuerzos desde 2002. Pero, según algunos analistas, este cuerpo suele ocultar los principales detalles de sus investigaciones tanto frente a los acusados como a los jueces, por considerarlos secretos que podrían tener muchas implicaciones de ciberseguridad en internet.

"La gran pregunta es cuándo los acusados en una causa penal tienen derecho a ser informados sobre cómo fueron localizados por las fuerzas del orden público. Que el Gobierno oculte las técnicas de investigación que ha usado contra los acusados en una causa penal resulta perjudicial para nuestro sistema jurídico penal. Suelen ocultarlas porque resultan legalmente cuestionables o porque podrían plantear dudas en la sociedad sobre el motivo de su uso. Aunque es común, no creo que beneficie a nadie", afirma el abogado de la organización que promueve las libertades de los civiles online, la Fundación Electronic Frontier (EFF) Mark Rumold.

Freedom Hosting era una empresa de computación en la nube anónima e ilícita que llegó a administrar la mitad de todas las páginas de la web oscura en 2013, según algunas estimaciones. Toda la operación funcionaba en la red de anonimato Tor y se utilizó para una amplia gama de actividades ilegales, incluido el hackeo y el foro de fraude HackBB y distintas operaciones de blanqueo de dinero. También mantenía servidores para el servicio legal de correo electrónico Tor Mail y la especialmente extraña enciclopedia Hidden Wiki.

Pero el alojamiento de sitios utilizados para compartir fotos y vídeos de explotación sexual infantil fue lo que captó la atención gubernamental más hostil. Cuando Marques fue detenido en 2013, el FBI le describió como el "mayor facilitador" de tales imágenes "en el planeta".

Alrededor los días 2 y 3 de agosto de 2013, algunos usuarios notaron algún "Javascript desconocido" oculto en los sitios web que se ejecutan en Freedom Hosting. Horas después, a medida que el rumor y el pánico sobre el nuevo código se iba extendiendo, todos los sitios cayeron simultáneamente. El código explotaba una vulnerabilidad de Firefox que le permitiría descubrir y desenmascarar a los usuarios de Tor, incluso a aquellos que lo usaban para fines legales, como Tor Mail, si no lograban actualizar su software suficientemente rápido.

Cuando la agencia ya tenía controlado a Freedom Hosting, lanzó un malware que probablemente afectó a miles de ordenadores. La Unión Estadounidense por las Libertades Civiles (ACLU, por sus siglas en inglés) criticó al FBI por usar indiscriminadamente el código como una "granada".

El FBI había encontrado una manera de romper las protecciones de anonimato de Tor, pero los detalles técnicos de cómo lo lograron siguen siendo un misterio. "Tal vez la mayor pregunta relacionada con la investigación de este caso es cómo el Gobierno pudo destapar el velo de anonimato de Tor y localizar la dirección IP del servidor en Francia", escribieron los abogados defensores de Marques en una presentación reciente.

La acusación original casi no contiene información más allá de las referencias a una "investigación en 2013" que encontró una dirección IP clave vinculada a Freedom Hosting (al que el documento se refiere como "AHS", siglas en inglés de servicio de alojamiento anónimo). Los abogados defensores de Marques aseguraron que solo habían recibido "vagos detalles" del Gobierno y que "esta declaración se retrasó, en parte, porque hasta hace poco las técnicas de investigación empleadas estaban clasificadas". El portavoz del Departamento de Justicia de EE. UU., Peter Carr, confirmó que el documento "no está en el registro público". Los abogados defensores no respondieron a las preguntas.

Una declaración incompleta

Las agencias del Gobierno de Estados Unidos están acostumbradas a encontrar vulnerabilidades de software durante sus tareas de seguridad. A veces, comparten los fallos con los proveedores tecnológicos, pero otras, el Gobierno decide mantenerlos en secretos para usarlos como armas o en investigaciones. Existe un proceso oficial para decidir si algo debe ser compartido, conocido como el Proceso de valoración de vulnerabilidades que conlleva a la revelación por defecto, bajo la idea de que cualquier error que afecte a los "malos" también podría ser utilizado contra los intereses públicos. Por eso, una agencia que quiera usar un gran error en una investigación debe obtener la aprobación, de lo contrario, el error debe hacerse público. Las autoridades estadounidenses aseguran que la gran mayoría de esas vulnerabilidades se revelan para que puedan repararse, lo que aumenta la seguridad de internet para todos.

Pero si el FBI usó una vulnerabilidad de software para encontrar los servidores ocultos de Freedom Hosting y no reveló los detalles, aún podría usarla contra otros en Tor. Esto preocupa a los analistas. Rumold afirma: "No es raro ver este tipo de juegos para esconder la fuente de su información".

Tor es un software gratuito creado para que cualquier persona use internet de forma anónima cifrando el tráfico mediante varios nodos para ofuscar las conexiones con los usuarios originales. Los usuarios más típicos son ciudadanos hartos de ser rastreados por empresas de publicidad, iraníes que intentan evitar la censura, disidentes chinos que escapan de la vigilancia nacional u delincuentes como Marques que intentan engañar a la policía internacional. Son diversos en todos los sentidos, pero las vulnerabilidades del software les afectan a todos.

En un caso penal de 2017, el Gobierno de EE. UU. puso el secreto de sus herramientas de hackeo por encima de todo lo demás. De hecho, los fiscales prefirieron retirar todos los cargos en un caso de explotación infantil en la web oscura antes para no tener que revelar los medios tecnológicos que utilizaron para localizar al usuario anónimo de Tor.

El cierre de Freedom Hosting fue el primero de una serie de asombrosos éxitos de la policía internacional que acabó con algunos de los sitios web de actividad criminal de más alto perfil en la historia.

Dos meses después de la captura de Marques, el mercado de venta libre Silk Road fue cerrado en otra operación dirigida por el FBI. Después de facilitar ventas por valor de cientos de millones de euros, Silk Road se había convertido en un símbolo de la aparente impunidad de los delincuentes de la web oscura. Aunque duró menos de tres años, estaba claro que el fundador de Silk Road, apodado como el Temido Pirata Robertd, se sentía invencible. Cerca del final, esta persona anónima incluso concedía entrevistas a revistas como Forbes y escribía textos políticos sobre su causa y la ideología detrás de ella.

Pero en octubre de 2013, el vendedor de libros online de 29 años Ross Ulbricht, fue detenido en San Francisco (EE. UU.) y acusado de gestionar Silk Road. Finalmente fue sentenciado a cadena perpetua, un castigo que excede con mucho lo que Marques pueda recibir en su fecha de sentencia en mayo.

Freedom Hosting y Silk Road han sido los sitios más famosos de la web oscura que han sido derribados por la policía a pesar del anonimato de Tor. Rumold concluye: "No podemos tener un mundo en el que un gobierno pueda usar una caja negra de tecnología de la que surgen estos serios enjuiciamientos penales. Los acusados deben poder comprobar, revisar y ver los métodos que se utilizan en los procesos penales".