Menú de navegación

Si hay un hacker que se ha ganado su merecida fama en este mundillo es Kevin Mitnick ('Cóndor'). Después de haber perpetrado diversas 'fechorías', ha montado una empresa de ciberseguridad para ayudar (y vivir de ello, obviamente) a otros a mantenerse razonablemente seguros.

Kevin Mitnick. Ejemplos - 2

Kevin Mitnick en la Campus Party de Valencia (año 2011)

Kevin lleva mucho tiempo prodigándose en las distintas Campus relacionadas con la ciberseguridad; hace unos años dio una conferencia en la Campus Party de Valencia, a la que yo asistí.

Un detalle que nos dio fue su tarjeta de vista, todo un canto a la seguridad física (todo tipo de ganzúas).

Kevin Mitnick. Ejemplos

Ha protagonizado y recopilado distintas anécdotas relacionadas con este mundillo. Paso a relatar algunas de las más interesantes, que, de alguna manera, explican su evolución posterior.

Desde pequeño destacó en su inquietud por la tecnología y era la pericia que le daba el conocimiento de la tecnología la que le ayudaba a empezar con sus pequeñas travesuras. Ya a los 12 años Kevin había conseguido que no le costase el autobús, trucando las máquinas que daban acceso al mismo. Al contrario de lo que hubiese hecho cualquier otro padre, su madre sorprendida alabó el acto.
A los 16 años empezó con sus primeros escarceos en el acceso a archivos protegidos dentro de ordenadores ajenos. Junto con unos compañeros consiguieron salvar la seguridad del sistema informático de su instituto y accedió a la base de datos donde se encontraban sus notas, aunque él siempre ha dicho que no realizó ningún cambio en las mismas. Tras crecer un poco, sus travesuras se convirtieron en delitos y posteriormente, con 18 años ya empezó a robar información. Accedió personalmente a la oficina de una operadora de telefonía y consiguió sustraer datos valorados en cientos de miles de dólares de la época. Desde aquí todo fue cuesta abajo y sin frenos. En 1987, con 24 años, lo condenaron a tres años de libertad condicional por invadir el sistema de la compañía Microcorp Systems. Como no podía ser de otra manera en la historia de este hacker, tras la sentencia su expediente desapareció de la computadora de la policía local.
Otra anécdota de este singular hacker cuenta como en 1991 ya había ocupado la primera plana del New York Times. Uno de sus periodistas, John Markoff, decidió escribir un libro narrando sus aventuras. Al parecer, a Mitnick no le gustó el libro. El joven de 28 años accedió a la cuenta en Internet de Markoff cambiando su nivel de acceso, de manera que cualquier persona en el mundo conectada a Internet podía ver su correo electrónico.
En 1992, el Departamento de Vehículos de California ofreció una recompensa de un millón de dólares a quien arrestara a Mitnick por haber tratado de obtener una licencia de conducir de manera fraudulenta, utilizando un código de acceso y enviando sus datos vía fax. Tras estas y muchas más fechorías fue atrapado gracias a otro hacker. Todo en plan Hollywood, como hubiese soñado cualquier niño que anhela ser un pirata informático. Y como no podía ser de otra manera no pasó por alto para la industria del espectáculo. Sacaron libros sobre su vida y en especial sobre la persecución que condujo a su captura en 1995. Takedown, en el año 2000 es la película que cuenta un poco su historia.

El 15 de febrero de 1995 el FBI lograba dar caza a Kevin Mitnick, el considerado por el New York Times como "el hacker más buscado de todo el ciberespacio". Mitnick acabaría pasando cinco años en prisión por diversos delitos, incluidos ocho meses en una celda de aislamiento.

¿Por qué tanto tiempo en aislamiento? Pues porque alguien convenció al juez de que era capaz de "iniciar una guerra nuclear silbando en un teléfono público". Aquella decisión aumentó el mito de un hacker que logró mucho más por su habilidad con la ingeniería social que por su capacidad técnica.

La técnica básica era (y es) tan eficiente como simple, y Mitnick la repetía constantemente. En uno de sus primeros ataques de ingeniería social explicaba cómo necesitaba un número de solicitante para "pinchar" el Departamento de Vehículos de Motor (DMV). Para lograrlo llamó a una comisaría y se hizo pasar por alguien del DMV. Allí le preguntó al interlocutor: "¿Su código de solicitante es el 36472?", a lo cual el agente contestó: "No, es el 62883". Mitnick destacaba lo bien que funcionaba aquello:

Es un truco que he descubierto que funciona muy a menudo. Si pides información confidencial, la gente, naturalmente, sospecha de inmediato. Si finges que ya tienes esa información y dices algo que está mal, la gente suele corregirte y te recompensa con la información que estabas buscando.

Ese principio básico de la ingeniería social se unía a otro esencial: la gente suele ser el eslabón más débil de una cadena de seguridad, porque "la gente siempre tiene esa intención de ayudar".


Kevin Mitnick

En todos esos ataques de ingeniería social había un tercer componente, claro: este hacker debía conocer con bastante detalle el entorno de la información que buscaba: formato de los códigos que necesitaba, prefijos de teléfono, nombres y cargos de los empleados, o funcionamiento burocrático de esos procesos para conseguir ciertos documentos, por ejemplo.

Toda esa información le permitía a Mitnick afrontar esas llamadas telefónicas con la seguridad de poder conseguir la respuesta buscada aun cuando en el otro extremo de la comunicación había alguien que sospechaba de si quien pedía la información lo hacía de forma legítima. Mitnick tenía una habilidad natural para mentir y engañar a sus víctimas -practicaba mucho para reforzarla- incluso cuando estas planteaban preguntas adicionales para comprobar su identidad.

En cierto punto llegó a tener un control excepcional de la red telefónica de Pacific Bell, e incluso acabó haciendo escuchas a los agentes del FBI que estaban investigando el caso y que trataban de arrestarle. En el libro, por ejemplo, explica cómo puso en marcha un sistema que permitió alertarle de cuándo iba a organizarse una redada para que pudiera escapar a tiempo, e incluso en una de las ocasiones acabó gastándole una broma a los agentes y dejándoles unos donuts.

Sus habilidades también se extendieron a otros ámbitos como el de la suplantación de identidad, un proceso que también logró controlar para disponer de varias identidades alternativas que podía usar durante su huida.

El proceso para lograrlo fue relativamente sencillo, y en la época había un conocido libro de Barry Raid titulado "The Paper Trip" que explicaba todo el proceso al detalle y del cual acabarían apareciendo tres volúmenes adicionales. Conseguirlo en la actualidad, explicaba Mitnick en DEFCONEn los Estados Unidos, el DEFCON (acrónimo de DEFense CONdition, «Condición de defensa») es un término utilizado para medir el nivel de disponibilidad y defensa de las Fuerzas Armadas. Estas condiciones de defensa describen estados progresivos de alerta y disponibilidad que son activados por la Junta de Jefes del Estado Mayor y los comandantes de las fuerzas armadas. Los niveles de DEFCON se adecuan en función de la gravedad de la situación militar. En tiempos de paz se activa el DEFCON 5, que va descendiendo a medida que la situación se vuelve más crítica. DEFCON 1 representa la previsión de un ataque inminente y jamás se ha alcanzado. Durante el estado de emergencia pueden activarse siete niveles de alerta llamados LERTCON. Los siete LERTCON se corresponden con cinco condiciones de defensa, llamados DEFCON, y con otras dos situaciones de emergencia, llamadas EMERGCON. 2014, es igualmente posible.

Sobre la situación actual Mitnick dijo "cualquiera puede hacer ataques como los de Anonymus o LulzSec, son como los que hacía yo cuando era niño". Ahora se arrepiente de haberse dedicado al hacking: "lo siento por haber vulnerado la privacidad de las personas, pero he tenido mucha suerte. Ahora me pagan por hacer lo mismo pero de forma ética". Y da un consejo a quien quiera dedicarse a ser hacker: "que no te pillen".
 

Esta píldora formativa está extraída del Curso online de Introducción al Hacking Ético y Seguridad en Redes.

¿Te gusta el contenido de esta píldora de conocimiento?

No pierdas tu oportunidad y ¡continúa aprendiendo!

ADR Formación

ADR Formación utiliza cookies propias y de terceros para fines analíticos anónimos, guardar las preferencias que selecciones y para el funcionamiento general de la página.

Puedes aceptar todas las cookies pulsando el botón "Aceptar" o configurarlas o rechazar su uso pulsando el botón "Configurar".

Puedes obtener más información y volver a configurar tus preferencias en cualquier momento en la Política de cookies