La responsabilidad de quien fabrica una herramienta

NanoCore installation Taylor Huddleston es el creador de un software de administración remota (RAT) muy popular, NanoCore, conocido por haber sido utilizado para una gran cantidad de intrusiones en diversos sistemas denunciadas en al menos diez países.

El pasado diciembre, el FBI entró en su casa, incautó sus ordenadores, y dos meses después, fue denunciado y arrestado, convirtiéndolo en «el hacker que nunca hackeó a nadie«: el desarrollo original de Huddleston nunca estuvo pensado como herramienta de hacking, sino como una herramienta pensada para un uso legítimo, para administradores de sistemas y usuarios que precisan acceder a equipos de forma remota. Originalmente, su autor comunicó la disponibilidad de la herramienta que había creado en un foro, HackForums.net, en el que es habitual encontrar hackers jóvenes en busca de herramientas sencillas para demostrar sus habilidades. Tiempo después, Huddleston, que aspiraba a vender su herramienta a administradores de sistemas y directores de tecnología, afirmó que aquella elección de canal había sido muy mala, porque ese tipo de perfiles no eran en absoluto habituales del foro, y aunque permaneció en el sitio, hay numerosos mensajes suyos en los que advierte a otros usuarios en hilos de conversación de que su herramienta no estaba pensada para actividades ilegales, y que tenía una política de tolerancia cero en estos temas. El celo del desarrollador llegaba incluso a que cuando, a través del foro, se enteraba de que alguien estaba utilizando su software para llevar a cabo intrusiones, deshabilitaba su cuenta para intentar evitarlo. A lo largo del tiempo, Huddleston llegó incluso a eliminar determinadas opciones de su herramienta que permitían, por ejemplo, robar contraseñas o instalar lectores de teclado.

Algunos expertos consideran a Huddleston «el desarrollador de software más ingenuo del mundo», mientras que el FBI afirma no es así, y que sin lugar a dudas «diseñó el NanoCore RAT con el fin de permitir a sus usuarios cometer intrusiones no autorizadas e ilegales contra sus víctimas». Pero en realidad, el caso no es muy diferente al de cualquier fabricante de armas que posteriormente pueden ser utilizadas para cometer delitos, por mucho que en la documentación que viene en la caja del arma pueda poner que está pensada solo para hacer prácticas de puntería.

¿Qué responsabilidad tiene alguien que diseña, desarrolla o vende una herramienta cuando una serie de usuarios de la misma la utilizan para fines ilícitos? ¿Tiene algún sentido detener a esa persona, o exigirle responsabilidades por los daño causados por terceros con la herramienta que desarrolló?

 

16 comentarios

  • #001
    Israel Pérez - 9 abril 2017 - 15:44

    Sí, tiene todo el sentido detenerlo, aunque finalmente quede en nada. Le complicará mucho buscar trabajo en el futuro, la necesidad de defensa legal le arruinará, sus padres y vecinos le verán esposado,… Es importante para que el siguiente se piense muy bien qué código escribe, reciba con una sonrisa a la NSA de turno cuando le sugieran una puerta trasera o simplemente se piense bien la próxima vez contra qué protesta. Es importante que el miedo cale.

    • Juan Carlos - 10 abril 2017 - 11:22

      Totalmente de acuerdo

    • Pumarfa - 10 abril 2017 - 20:12

      Perdón, tu comentario evidencia que no has escrito nunca código para terceros. O has mantenido software… Con tu perspetiva debería estar preso Bill Gates por escribir de Windows ME, WindowXP… y otras… Los fabricantes de palas, porque se entierran cuerpos con ellas… etc.

    • Luis - 11 abril 2017 - 12:49

      Así son las cosas hoy en día. Hay dos formas de enfrentarse a la tecnología y no «ser el más tonto»: poniéndose al día o frenando su avance. Y todo el sector «alto» se dedica a meter palos en las ruedas.

      Creo que voy a denunciar al carnicero de mi barrio. Siempre le veo con cuchillos y muchas veces lleno de sangre. Además, tira bolsas sospechosas por la noche de las que sale más sangre. Algo ilegal tiene que estar haciendo… y puede estar tramando algo incluso peor!

  • #005
    edans_fan - 9 abril 2017 - 15:51

    La misma que un fabricante de cuchillos. Creo que es desproporcionada la medida.

  • #006
    Gorki - 9 abril 2017 - 16:23

    Creo que los servicios secretos al igual que a los políticos les supera el desarrollo tecnologico, ni lo entienden ni lo dominan.

    Detener a un señor por que ha desarrollado una herramienta para acceder a equipos de forma remota, porque hay personas han utilizado su herramienta para acceder de forma fraudulenta a un ordenador, es equivalente como como detener a un inventor de un despertador, porque su invento se ha utilizado en una bomba de relojería, o detener a un diseñador de cuchillos, porque alguien ha matado a otro con uno de sus cuchillos.

    La labor del FBI es detener queien utiliza para hacer el mal una herramienta que en si misma, como todas las herramientas, no es buena ni mala, sino solo sirve al uso que se quiera hacer de ella.

    Si ademas como se indica en el comentario anterior, el FBI sabe que no consiguen nada, porque cualquier juez le va a considerar absolutamente inocente, pero pero esperan que le «complicará mucho buscar trabajo en el futuro, la necesidad de defensa legal le arruinará, sus padres y vecinos le verán esposado,… Es importante que el miedo cale.». Es que se han transformado en los mas abyectos «defensores de la ley», que pasan de tratar de defender la justicia, para establecer el reino del terror.

    En ese plan , ¿no es mas útil darlo directamente un tiro en las piernas?

  • #007
    Xaquín - 9 abril 2017 - 19:03

    Me gusta el tono del patio (en este caso) indicando que el FBI no está (en este caso) para evitar el crimen. Y que toda pregunta tiene dos respuestas (como mínimo), que pueden parecer contradictorias… así de compleja es la realidad. Como bien queda demostrado con el primer comentario. Y dicha complejidad, por desgracia, no entra en la filosofía de las agencias gubernamentales.

    La intención del poder establecido es convercernos de que no nos conviene meternos en problemas, ya que la solución real está muy lejos de nuestras posibilidades. De hecho se trata de licuarnos las neuronas para hacerlas políticamente ineficaces.
    Para algo el poder es un mago, usando la frase «y para que sirva de ejemplo»!

  • #008
    Javier March - 9 abril 2017 - 23:24

    Me parece que hay un error de enfoque en los ejemplos que se ponen, me explico: no es lo mismo fabricar cuchillos o, incluso, pistolas, que por ejemplo «inhibidores de alarmas» o «duplicadoras de tarjetas de crédito», cuyo fin principal ya es la comisión de delitos, y este caso, lo pinten cómo lo pinten, entra de lleno en esa categoría. No se pueden crear semejantes herramientas, y esperar venderlas, para ningún fin lícito y luego decir «yo no quería eso». Vamos, ¡venga ya con la estupidez y el cogernosla con papel de fumar!.

    • Garepubaro - 10 abril 2017 - 05:06

      Que va hombre, aquí SiemprE te dirán «como si se hace una bomba atomica en casa, tiene derecho a hacer experimentos con fines educativos» na, mentes libres….

    • Gorki - 10 abril 2017 - 11:26

      Cualquier emisor de tarjetas de crédito tiene aparatos capaces de duplicar sus tarjetas, ¿crees que debemos meter en la cárcel a quien inventó tal sistema? Hay inhibidores de telefonía, se utilizan en salas de espectáculos para evitar que interrumpan los espectáculos, pero cualquiera los puede utilizar para inhibir los telefonos móviles cuando va a hacer un crimen, ¿crees que debemos meter en la cárcel a quien inventó tal sistema?

      Todos los responsables del mantenimiento de una red de PC hemos utilizado herramientas para manipular PC a distancia, pues permite instalar y desinstalar programas, o arreglar un PC que se ha quedado bloqueado, a través de la red, sin necesidad de desplazarte físicamente donde está el PC. ¿No te parece absurdo que metan en la cárcel a quien inventó tal sistema?

      • Javier March - 10 abril 2017 - 23:17

        Disculpa, pero no te has enterado de nada. Me refiero a las cosas que no pueden ser usadas nada más que para algo ilícito, no a los inhibidores de telefonía o al Team Viewer.

    • Luis - 11 abril 2017 - 12:46

      Entiendo que no trabajas en el sector. Cualquier empresa medianamente grande instala herramientas de control remoto en los equipos DE LA EMPRESA. Es totalmente legal monitorizar todo lo que se hace; si decides acceder a tus cuentas personales desde ese equipo, que no suele estar permitido sobre el papel, pero si en la práctica (tampoco hay que ser tan malos)… es tu problema.

      En ese escenario, son necesarias herramientas de este tipo. No vamos a mandar un técnico de vacaciones a Valencia (por ejemplo) porque un usuario no sabe borrar una carpeta.

  • #013
    DANN ELIO - 9 abril 2017 - 23:48

    Poner la venda antes que la herida es algo que nos podemos encontrar por el celo en la prevención que algunos llegan a poner a veces, pero más allá de la hilaridad que nos pueda provocar ver la tirita puesta encima de una piel sana…no acarrea mayores problemas.

    Elevadas estas filosofías de la prevención a un nivel mucho mayor nos encontramos con un muy controvertido sistema pre-criminalístico..en el que se estaría llevando a la cárcel a personas que no han cometido delito alguno.

    https://es.wikipedia.org/wiki/Precrimen

    Muy contundentes, demostrables e incontestables, tendrían que ser las «matemáticas» que a mí me mostrasen, con las que se le quita la presunción de inocencia a un ser humano, para que yo emitiese un veredicto de condena y luego me fuese a dormir tan tranquilo…con la tranquilidad del que piensa que ha hecho lo correcto. Repito: muchíííííííísimas ecuaciones de matemáticas me tendrían que presentar en la pizarra digital para concluir en una detención preventiva de un sujeto sin antecedentes. Porque si una sola de esas ecuaciones que conducen a culpabilidad..no está clara, no se comprende, o no se sostiene coherentemente…pues entonces, en mi opinión, la detención de la persona tampoco sería procedente.

    https://es.wikipedia.org/wiki/Minority_Report

    Es difícil, improbable, y muy controvertido, pero yo les dejaría que intentaran demostrar, y les escucharía con respeto y atención, a ver si consiguen convencerme. Pero lo veo difícil. La presunción de inocencia no debería de ser maltratada bajo ningún concepto. Y la libertad y el libre alberío de las personas tampoco. Encarcelar la libertad solo porque se tienen sospechas infundadas, eso sí que debería de ser un crimen. Un ataque gratuito a la libertad no debería de ser tolerado jamás por ningún ciudadano del mundo en pleno siglo 21.

    **Lo del FBI con el creador del NanoCore… ( un programita que abre un cuadro de diálogo para informarte, y te pregunta si quieres «bailar» o no, para que tú decidas libre y conscientemente ) …no es de ser visionarios en plan Minority, es de un neoludismo tecnológico bastante importante. En el futuro hiperconectado del mañana ( y ya de hoy en día ) todas las máquinas, sistemas, ordenadores, vehículos, etc…van a necesitar establecer trabajo colaborativo, no solo conveniente sino imprescindible para trabajar con los datos. Un software de control remoto es una herramienta como otra cualquiera para facilitar las telecomunicaciones operativas y eficaces entre los terminales implicados. Pero bueno..en el FBI deben haber pensado que estas interacciones telemáticas básicas se han de producir, para ser legales según ellos, por obra, por arte, y por gracia del Espíritu Santo !!!… ;-) ;-);-)

  • #014
    DaF - 10 abril 2017 - 10:31

    Detener a alguien por algo que hace su propio gobierno (NSA, por ejemplo) es simplemente demencial.

    Me viene a la mente esa empresa italiana que tenía un software tipo spyware que era proveedora de varias agencias de inteligencia de distintas partes del mundo (incluido el FBI) y que fue hackeada y su software usado con fines ilícitos. ¿También habrán procesado a los programadores de esa empresa? Evidentemente no…

    https://theintercept.com/2015/07/06/hacking-team-spyware-fbi/

    https://arstechnica.com/security/2016/04/how-hacking-team-got-hacked-phineas-phisher/

  • #015
    Enrique Dans - 10 abril 2017 - 12:31

    Sinceramente, creo que hay algo que a algunos se os está escapando: una herramienta de administración remota (RAT) tal vez os suene a algunos como algo de alguna manera siniestro, pero no lo es en absoluto: es una herramienta perfectamente normal y lícita, que todos los administradores de sistemas utilizan de manera completamente rutinaria y normal para acceder a un ordenador desde otra localización y administrarlo. No, no tiene nada que ver con hacer una bomba o con crear algo para hacer el mal, es una herramienta habitual para administradores de sistemas, y su creador simplemente pretendía venderla a administradores de sistemas que pudiesen estar interesados en ella…

  • #016
    Cristina - 11 abril 2017 - 04:24

    Se me ocurren tres casos en que se puede conectar la responsabilidad. 1- Demostrar que se conocía el destino/uso ilícito y que no se hizo nada para evitarlo 2- El arma/sistema causó daños por su uso defectuoso o fabricación irresponsable y 3- Asociación de interés económico demostrable en el hecho ilícito. incluyendo la responsabilidad extracontractual derivada de un contrato de compra venta-licencia- o derivado. Tiene sentido en el supuesto de vincular un origen con el ataque. De ahí deriva… Y mejor no sigo!!! :-)

Dejar un Comentario a Javier March

Los comentarios están cerrados