Cómo una disputa por un foro de telescopios acabó en prisión

Cuando el FBI se presentó en la puerta de David Goodyear en agosto de 2016, empezó a preguntarle por los telescopios. Este informático de 42 años y ávido buscador de estrellas había frecuentado un foro de astronomía llamado Cloudy Nights. Ahora, alguien había dejado el foro fuera de línea con un ataque de denegación de servicio, y las pruebas apuntaban a Goodyear.

Goodyear juró inocencia al principio, pero tras un interrogatorio cada vez más punzante, confesó. Una de sus cuentas había sido baneada hace un par de semanas, dijo. En un arrebato repentino, envió spam al sitio con pornografía, y luego publicó su dirección en un sitio llamado HackForums.net, pidiendo que alguien lo atacara. «Me quedé en plan, ¿por qué coño me han baneado? Simplemente estaba cabreado», dijo a sus visitantes, uno de la Oficina Federal de Investigación y otro del Departamento de Policía de Los Ángeles. «Sus visitantes parecían ligeramente divertidos por el drama del foro, y charló con ellos sobre su colección de telescopios de 100.000 dólares antes de que se fueran. Pero un año después, Goodyear fue detenido. En diciembre de 2018, fue condenado a más de dos años de prisión por violar la Ley de Fraude y Abuso Informático.

Es una sentencia que ni siquiera las víctimas de Goodyear quieren que cumpla. Un solo mensaje en un foro fue suficiente para dirigir un ataque temporalmente devastador contra una pequeña empresa, mientras que las leyes federales sobre delitos informáticos significan que ese mismo mensaje podría tener ahora consecuencias que cambian la vida.

Los ataques distribuidos de denegación de servicio (o DDoS) son uno de los ciberataques más sencillos: inundan un sitio con enormes cantidades de tráfico hasta que ya no puede servir páginas a los usuarios reales. A gran escala, estos ataques pueden ser increíblemente perturbadores. El DDoS Mirai de 2016 cerró grandes secciones de la web, secuestrando dispositivos inteligentes inseguros para crear un ejército de bots. Incluso a menor escala, pueden causar un daño real – como la solicitud de Goodyear hizo a los propietarios del foro Cloudy Nights.

Cloudy Nights es administrado por Astronomics, una empresa con sede en Oklahoma que vende telescopios y otros equipos de astronomía. Su vicepresidente, Michael Bieler, calcula que el foro cuenta con unos 115.000 usuarios registrados que intercambian consejos, fotos espaciales y opiniones sobre telescopios. Bieler describe Cloudy Night como «una agradable y pacífica zona de Internet» en la que los moderadores han impuesto menos de una docena de prohibiciones de por vida en más de 15 años de funcionamiento. La política está prohibida, excepto en un foro para discutir las leyes de contaminación lumínica.

El 13 de agosto, alguien llamado HawaiiAPUser publicó una captura de pantalla de un intento fallido de inicio de sesión, indicando que había sido baneado bajo otro nombre. A continuación había una cadena de insultos sexuales y enlaces porno. «¡Los mods y los administradores no pueden detenerme!», escribió el usuario. «Creo que hablaré con mis contactos y simplemente D0S este sitio, así como A55stronomics», una aparente referencia a un ataque de denegación de servicio.

Al día siguiente, Cloudy Nights y el sitio web de Astronomics comenzaron a sobrecargarse de tráfico, haciendo que los foros no fueran fiables y manteniendo Astronomics.com casi completamente fuera de línea. «Sólo somos una pequeña empresa familiar, y nos cerró esencialmente durante dos semanas», cuenta Bieler a The Verge. «Tuve cero ingresos. Era casi inexistente».

Como el ataque continuaba, Bieler llamó a la policía local y a un abogado que le dijo que se pusiera en contacto con el FBI. «Me dije: ‘Bueno, se van a reír de mí cuando les diga que alguien se ha enfadado en un foro y ha decidido tumbar mi página web'», dice ahora. Pero en aquel momento hablaba muy en serio. Bieler dijo a la agencia que temía que su empresa quebrara si los ataques continuaban, y que su padre -el fundador de la empresa- había ido al hospital con problemas cardíacos por el estrés. «Le está matando literalmente», escribió en un correo electrónico.

Los moderadores de Cloudy Nights, por su parte, tenían una buena idea de quién estaba detrás del ataque. Goodyear había sido un visitante habitual hasta 2013, cuando fue expulsado por -según dijo- «hablar mal» a los moderadores. (Los documentos judiciales pintan un panorama más oscuro, diciendo que siguió con un mensaje amenazante «pidiendo pelear» con uno de ellos). Desde entonces creó varias cuentas más, y los moderadores siguieron baneándolas. La captura de pantalla de HawaiiAPUser tenía una marca de tiempo, así que comprobaron qué cuentas habían estado activas en ese momento y si otras personas se habían conectado desde la misma dirección IP. Aparecieron las cuentas antiguas de Goodyear.

El 31 de agosto, el FBI y la policía de Los Ángeles visitaron la casa de Goodyear en El Segundo, California. Goodyear manifestó su desconcierto sobre el motivo por el que habían acudido, afirmando que él no estaba detrás del puesto. «Como que me lavé las manos en este sitio web», dijo, sugiriendo que un empleado o un hacker podría haber utilizado su red.

Los agentes amenazaron con empezar a presentar órdenes de registro. «El FBI sabe lo que hace», advirtió uno de ellos siniestramente. «Atrapamos a Osama bin Laden, ¿verdad? Podemos atrapar a alguien haciendo un DDoS».

El argumento aparentemente convenció a Goodyear. «Sí que publiqué esa mierda de golpearles. También puse en un foro de hackers, diciendo: ‘Oye, ¿puedes tumbar este sitio?», admitió. «Creo que quizá fue más allá de lo que debía». Pero insistió en que no tenía conocimientos de hacking y que no había pagado a nadie por el ataque. Cuando se le preguntó si podía hacer que los ataques se detuvieran, dijo que «no sabía lo suficiente».

No está del todo claro cómo terminó la campaña de DDoS. Según una captura de pantalla de septiembre de 2016 de la cuenta de HackForums.net de Goodyear, la última vez que se conectó -al menos con su nombre de usuario original- fue el 29 de agosto. El último intento de DDoS con éxito fue el 30 de agosto, el día antes de que Goodyear hablara con el FBI. Es posible que los atacantes dejaran de hacerlo voluntariamente después de eso, o que se vieran obstaculizados por las nuevas defensas de Astronomics, ya que Bieler había contratado a un experto en ciberseguridad para que le ayudara.

En un comunicado de prensa, el Departamento de Justicia destacó «la importancia de disuadir los ciberdelitos sofisticados, que son difíciles de rastrear y, por lo tanto, especialmente importantes de castigar.» Pero la forma en que Goodyear describió su delito fue casi ridículamente poco sofisticada. En su entrevista con el FBI, dijo que había buscado en Google formas de vengarse de Cloudy Night. «Estaba buscando otras maneras de ver si podía acabar con ellos, si podía hackear… conseguir una red de bots o algo así». Encontró HackForums.net, dijo «a la mierda», y se inscribió.

De cualquier manera, un jurado encontró a Goodyear responsable de un cargo de «daño intencional a un ordenador protegido». Un juez le condenó a una multa de 2.500 dólares, 27.352 dólares en concepto de restitución y 26 meses de prisión.

Bieler había asumido que el caso estaba cerrado hasta que el FBI detuvo a Goodyear un año después y citó a Bieler en el juzgado. Se sorprendió cuando se enteró de la duración de la sentencia. Nunca quiso que Goodyear fuera encarcelado, y mucho menos durante dos años. «Sinceramente, me parece extremo lo que ha pasado», dice. «De hecho, en nuestra carta pedimos que no le condenaran a prisión. Sólo queríamos que dejara de atacar nuestro sitio web».

La Ley de Fraude y Abuso Informático (CFAA), de 34 años de antigüedad, que el experto en política tecnológica Tim Wu ha calificado como «la peor ley de la tecnología», es controvertida por muchas razones. Una de las más comunes es la dureza de sus sentencias.

Los jueces basan las sentencias de cárcel en un rango definido con la rúbrica de la Guía de Sentencias de Estados Unidos, que calcula un número que representa la gravedad de un delito. La CFAA hace que esa cifra sea inusualmente fácil de inflar. Los fiscales pueden aumentar el coste estimado de un pirateo informático con gastos poco relacionados, o rebajarlo si el acusado coopera. Pueden añadir penas adicionales por el uso de «medios sofisticados» y «habilidades especiales», incluso por acciones bastante simples como la ejecución de un script.

«Esto, para mí, es una sentencia desproporcionadamente punitiva», dice el abogado Tor Ekeland de la condena de 26 meses de Goodyear. «Por desgracia, es algo típico». Ekeland ha representado a figuras como el investigador de seguridad Justin Shafer y el periodista Matthew Keys en casos de ciberdelincuencia, y es uno de los críticos más abiertos de la CFAA. Afirma que no existe un marco legal definido para condenar a las personas por ataques DDoS, ya que el delito es bastante nuevo. Pero cree que los fiscales a menudo llevan a los tribunales incluso casos claramente débiles, tanto porque son relativamente fáciles de argumentar como porque hay un «factor de atractivo» en los delitos informáticos.

El Departamento de Justicia ha demostrado ser particularmente hábil en los procesos de DDoS bajo Trump, procesando a los creadores de la red de bots Mirai y, más recientemente, al hombre detrás de varios ataques a las principales redes de juegos. Estos no siempre resultan en sentencias largas, pero como sugiere el comunicado de prensa del Departamento de Justicia, los tribunales castigan algunos delitos cibernéticos individuales con dureza como un elemento de disuasión, ya que sólo una fracción de los delincuentes son atrapados.

Los delitos en línea son difíciles de rastrear, y eso es un verdadero problema para las personas que luchan contra las amenazas en línea, los bulos de swatting o las operaciones de ransomware. Y lejos de reaccionar de forma exagerada ante todos los delitos de Internet, las fuerzas del orden y los tribunales pueden ignorar o restar importancia al acoso en línea, por ejemplo.

Ekeland cree que los tribunales tratan muchos delitos de «hackers» como excesivamente amenazantes, sin embargo, en comparación con los delitos no informáticos que causan daños financieros – o el mal comportamiento de las empresas. La línea sobre la sofisticación del ataque DDoS es particularmente «absurda», dice. «No se trataba de un delito informático sofisticado. Y el hecho de que el tribunal pensara eso pone de manifiesto el problema de este tipo de casos».

La CFAA es sólo una faceta de los problemas del sistema judicial estadounidense, por supuesto. Un montón de delitos, además de los ciberdelitos, pueden dar lugar a sentencias desproporcionadas. Y el problema no es sólo que las penas de prisión sean demasiado largas. Son las condiciones inhumanas de las prisiones estadounidenses, que afectan a millones de personas mucho menos privilegiadas que Goodyear, algunas de las cuales ni siquiera han sido condenadas por un delito.

Casi todos los implicados en la captura de Goodyear parecían un poco desconcertados por toda la saga. «¿Cómo es que los expulsan de un sitio de astronomía?», se preguntó el agente del FBI que llegó para interrogarlo. «¿Hay un debate sobre un décimo planeta o algo así?». En opinión de Goodyear, lo único que había hecho era entrar en un foro, preguntar «Eh, ¿podéis hackear esto?» y volver a la vida de siempre. Estuvo de acuerdo en que lo que había hecho estaba mal, pero parecía sorprendido al oír que podía meterse en problemas reales por ello.

Hoy en día, Bieler encuentra «una locura» que un hombre guarde un rencor de tres años contra un foro de astronomía con tanta amargura como para intentar quebrar una empresa en venganza. «Si la gente pudiera alejarse de sus teclados durante cinco segundos, mucho de esto no ocurriría», dice. Pero a medida que el caso llega a su fin, simplemente se siente mal por todos los implicados, incluido Goodyear.

«Mira, perder dinero apesta. Tener mi negocio parado durante unas semanas apesta. No saber qué va a pasar porque no tienes ingresos para pagar los sueldos de la gente apesta», dice Bieler. «Perder dos años de tu vida por haber hecho una tontería apesta aún más.»