211service.com
Los documentos del caso
La carta de Carl Payne llegó en la primavera de 1998. Estaba escrita a mano, sin membrete. Yo sospechaba Ser columnista de El Boston Globe y autor de siete libros, recibo mi parte de comunicaciones de chiflados, locos y convictos. Pero Payne, pronto me di cuenta, no era ninguno de los anteriores.
Payne escribió que él era el acusado en un caso criminal de piratería informática. En diciembre de 1994, a la edad de 28 años, ayudó a iniciar un proveedor de servicios de Internet en Utah que finalmente se llamó Fibernet. Pero en el otoño de 1996, la junta votó para expulsar a Payne después de que él se enfrentó al hombre que estaba a punto de convertirse en el nuevo presidente de Fibernet.
Una semana después de que Payne dejara Fibernet, alguien había pirateado las computadoras de la empresa y saqueado sus sistemas. Fibernet inmediatamente señaló a Payne y convenció a la oficina del fiscal del condado de Utah para que lo acusara de violar la Sección 76-6-703 del Código Penal de Utah, Delitos informáticos, un delito grave de segundo grado. La fiscalía tenía un montón de pruebas, el caso iba a juicio y necesitaba mi ayuda.
A primera vista, Payne sí parecía el posible culpable. Los estudios han demostrado que la mayoría de los delitos informáticos son perpetrados por empleados descontentos. La mayoría de los casos de piratería informática que llegan a la sala de un tribunal giran en torno a algún aspecto de la ley, como si el pirateo fue ilegal y no si el sospechoso realmente lo cometió. Nunca había oído hablar de un caso en el que el hacker acusado mantuviera su inocencia, especialmente en el
a la luz de pruebas contundentes. Sin embargo, eso es exactamente lo que estaba haciendo Payne. Intrigado, lo llamé.
Payne hablaba por teléfono, era amistoso y estaba muy preocupado. Acordamos que me enviaría todas las pruebas que la oficina del fiscal del condado le había proporcionado a su abogado. Evaluaría su calidad y escribiría un informe. Si el caso llegaba a juicio y él todavía me quería, vendría a Utah y testificaría. Sería mi primera vez como testigo experto pagado.
Pasó una semana y llegó un paquete grueso a mi buzón. Contenía el relato de Payne sobre el incidente, el informe policial, declaraciones de todos los involucrados y casi 200 páginas impresas por computadora. Después de pasar cuatro horas estudiando detenidamente los documentos, salí a la sala de estar y le dije a mi esposa: Las cosas no pintan bien para el Sr. Payne.
El último día de trabajo de Payne fue el 30 de octubre de 1996. El 6 de noviembre, alguien inició sesión en cada una de las computadoras principales de Fibernet y comenzó a eliminar archivos. Se borraron las páginas web y el correo electrónico del cliente. Se borró la información contable. Luego, el atacante obtuvo acceso a cada una de las computadoras de comunicaciones especiales de la empresa, llamadas enrutadores, y eliminó su programación. Al final, la empresa perdió más de la mitad de sus clientes, despidió a muchos empleados, dejó a sus gerentes sin salario y casi se retira.
Payne, quien había sido el director técnico de Fibernet, ciertamente tenía los conocimientos necesarios para llevar a cabo el asalto. Y después de su desordenada partida, podría haber tenido un motivo: la venganza. Algunos otros detalles también parecían apuntar en la dirección de Payne: entre las varias cuentas utilizadas en el truco estaba una llamada carl, que presumiblemente le pertenecía, una cuenta llamada dbowling, que pertenecía a uno de sus
amigos y uno llamado Usenet. En algún momento antes del ataque, alguien había modificado la cuenta de Usenet y le había otorgado privilegios completos del sistema, creando, para usar la jerga de la seguridad informática, una puerta trasera.
Pero quizás el documento más condenatorio del paquete fue el informe del oficial de policía que había ido a la casa de Payne después del ataque. Cuando llegó el oficial, descubrió que Payne había reformateado el disco duro de la computadora de su casa y estaba reinstalando el sistema operativo. En la papelera junto a la computadora estaba
una pila de disquetes. El oficial no confiscó la computadora de Payne ni confiscó los disquetes; luego testificó ante el tribunal que había asumido que cualquier evidencia potencialmente útil ya estaba destruida.
Todo parecía sospechoso. Pero otra llamada a Payne produjo una perspectiva diferente. La última semana que estuvo en Fibernet, me dijo Payne, había entregado todas las contraseñas administrativas de la empresa al nuevo presidente. Al día siguiente, Payne descubrió que su contraseña había sido cambiada. La mañana del ataque, dijo Payne, había intentado marcar a Fibernet en su módem varias veces, por la remota posibilidad de que su cuenta se hubiera vuelto a habilitar de alguna manera, pero nunca había iniciado sesión correctamente. De hecho, estaba reformateando
la computadora de su casa porque fallaba cada vez que Fibernet rechazaba su contraseña. Todos esos discos en la basura, dijo, eran archivos antiguos de los que se estaba deshaciendo en preparación para mudarse a California.
No estaba seguro de a quién debería creer, pero me estaba empezando a gustar Carl Payne. Él podría haber sido yo hace 10 años, un friki con conocimientos técnicos que se había metido en problemas con un montón de trajes que se sentían más cómodos con las hojas de cálculo que con los compiladores de C. Quizás lo hizo, quizás no. Pero una inspección más cercana de las impresiones de computadora que constituían el núcleo del caso de la fiscalía me convenció de que,
Independientemente de quién fuera el culpable, no había pruebas suficientes para condenar a nadie.
Por un lado, ninguna de las copias impresas me permitió identificar un número de teléfono o computadora desde donde se lanzó el ataque, y mucho menos la identidad del perpetrador. Y algo más llamado
evidencia en una pregunta aún mayor: parecía que alguien había manipulado algunos de los archivos antes de imprimirlos. El registro tenía pequeños errores tipográficos: algunos espacios adicionales insertados en una línea, un
carta colocada sobre otra, como si alguien hubiera llevado los archivos de registro originales a un procesador de texto y hubiera cortado y pegado el texto antes de imprimir. Esto significaba que la información de esas páginas era sospechosa. ¿Y por qué me llegó toda esta evidencia en forma impresa? ¿Dónde estaban los registros electrónicos originales? Culpable o no, yo
Pensó que nadie debería ser condenado sobre la base de pruebas manipuladas.
Envié un informe de seis páginas a Payne y continué siguiendo el caso. En diciembre, abordé un avión con destino a Utah. Cuando llegué al Palacio de Justicia del Condado de Utah en Provo, los argumentos iniciales acababan de concluir. La teoría de la fiscalía era simple: Carl Payne era un empleado técnicamente brillante pero difícil de manejar.
Fibernet le notificó que iba a ser despedido, Payne instaló una puerta trasera que le permitiría borrar las computadoras de la empresa después de que se fuera.
Resultó que al expulsar a Payne, Fibernet había despedido al único empleado capaz de reparar el daño del ataque. Entonces, además de llamar a la policía después del incidente, habían llamado a un asesor informático para que viniera y tratara de que el sistema volviera a funcionar. La consultora, Stacey Son, se convirtió en la principal perito de la acusación.
El testimonio de Son explicó por qué solo había 200 páginas de impresiones en la evidencia: Fibernet lo había contratado para que el sistema funcionara rápidamente, no para documentar el daño para una investigación, por lo que no había intentado preservar archivos potencialmente incriminatorios o exonerantes. Resultó que la policía tampoco lo había hecho: el oficial
quien visitó Fibernet y luego registró la casa de Payne testificó que no tenía experiencia con el sistema operativo UNIX que usaban Fibernet y Payne. En lugar de incautar computadoras y discos, el oficial simplemente aceptó las copias impresas en papel que Fibernet le había entregado.
En el estrado, Son admitió que no había forma de que él dijera la identidad del perpetrador. Pero el mayor agujero en la teoría de la fiscalía se hizo evidente cuando la defensa interrogó a Son sobre el ataque en sí. Son mal hecho, explicó: No se borró suficiente información. Me pareció que era el trabajo
de un aficionado con un conocimiento rudimentario de los sistemas UNIX, no el de alguien de la destreza admitida de Payne.
La acusación descansó el jueves, tercer día del juicio. Esa noche, en mi habitación de hotel, volví a revisar esas impresiones críticas. Las pruebas más importantes de la fiscalía fueron las páginas 151 y 152, que mostraban el nombre de cada cuenta, el número de identificación de usuario, el número de grupo, la contraseña cifrada y un tercer número.
a efectos contables. El número de identificación de usuario ha sido objeto de muchos testimonios, ya que
la manipulación fue un paso crítico en la creación de la puerta trasera. Nadie había discutido la importancia del número de contabilidad.
El viernes por la mañana me desperté en mi habitación de hotel a las 5 a.m. Tuve una corazonada sobre el escurridizo último número. Necesitaba verificar la documentación de la versión de UNIX que Fibernet había estado usando. No tenía el manual conmigo, pero encendí mi computadora portátil y lo encontré en Internet; Explicó que el número se usaba para advertir a las personas cuando era el momento de cambiar sus contraseñas; indicaba el número de días entre el 1 de enero de 1970 y la última vez que se cambió la contraseña.
Me sentí estúpido. Esta era posiblemente la prueba más importante de todo el juicio, ¡y ni siquiera me había dado cuenta hasta la mañana en que se suponía que debía testificar! Codificada en el registro de la contraseña de cada cuenta estaba la fecha en que la contraseña había sido cambiada por última vez; al decodificar el número, pude establecer con precisión cuándo se creó la puerta trasera. En las horas previas al juicio, escribí un pequeño programa para traducir los números.
Lo que me mostró mi programa casero cerró el caso. La puerta trasera se había instalado el 31 de octubre, el día después del último día de trabajo de Payne, y después de que su acceso al sistema Fibernet ya había sido cortado. Payne no pudo haberlo creado. Es más, el cambio de contraseña de otra cuenta data de más de dos semanas después del ataque, un detalle que sería imposible si la impresión fuera realmente la misma que hizo Son ese día. Esto demostró de manera irrefutable que la cadena de pruebas se había roto.
A las 10 a.m. subí al estrado. Describí mis credenciales, el manejo adecuado de los incidentes de seguridad, la escasez de pruebas y los indicios reveladores de que las copias impresas habían sido alteradas. Finalmente, testifiqué sobre lo que había aprendido esa mañana. A partir de ese momento, todo se movió rápidamente. Payne y su esposa testificaron, los abogados dieron los argumentos finales y el jurado comenzó las deliberaciones a la hora de la cena. A última hora de la noche, regresaron con el único veredicto que pensé que podrían llegar razonablemente: no culpables de todos los cargos.
Hoy, Carl Payne supervisa una gran red informática en California. Fibernet, mientras tanto, está prosperando. En el transcurso del juicio llegué a creer en la inocencia de Payne, pero nunca sentí que había aprendido la verdadera historia. En los argumentos finales, la defensa sugirió algunas posibilidades: alguien en Fibernet podría haber llevado a cabo el ataque. Un empleado a quien Payne despidió en julio de 1996 podría haberlo hecho. O tal vez el
El crimen fue cometido por un hacker desconocido en Internet, una desafortunada coincidencia con el despido de Payne.
Fibernet, por su parte, se negó a comentar para este artículo.
Realmente no hay forma de saber qué sucedió, porque la policía de Utah no realizó una investigación significativa. Simplemente le preguntaron a la víctima: ¿Quién lo hizo? y Fibernet respondió: Carl Payne. Luego, la compañía proporcionó todas las pruebas utilizadas en la acusación. La policia nunca
habrían seguido procedimientos tan fortuitos a raíz de un allanamiento físico; habrían hecho su propio trabajo de detective, recopilando y preservando las pruebas con cuidado. A medida que ocurren más y más delitos en el vecindario que llamamos ciberespacio, la policía necesita mejores herramientas y capacitación. Sin él, corremos el riesgo de investigaciones fallidas y la posibilidad muy real de que personas inocentes sean declaradas culpables por los ataques de otros.