Читать книгу Hackear al hacker - Grimes Roger A., Roger A. Grimes - Страница 32

5

Perfil: Kevin Mitnick

Cuando aparece el término hacker informático, todo el mundo piensa en Kevin Mitnick. En los 70, 80 y 90, Kevin Mitnick era el hacker. Mitnick utilizaba una combinación de ingeniería social y búsqueda de sistemas operativos de bajo nivel para llevar a cabo todo tipo de maniobras indignantes, aunque el daño general que causaba es discutible, especialmente si se compara con los ataques APT y ransomware mundiales de nuestros días.

Tanto él como sus explotaciones han servido de argumento para muchos libros y muchas películas y han generado una peculiar subcultura de excéntricas historias de hackers que se le atribuyen, pero que él nunca ha protagonizado. El Gobierno temía tanto a Mitnick que ha sido el único prisionero americano que no tenía permitido utilizar el teléfono mientras estuvo en la cárcel y permaneció en confinamiento solitario por miedo a que, con solo una palabra o un sonido, fuera capaz de lanzar un misil nuclear. Si alguna vez has visto una película en la cual el protagonista pronunciaba una palabra por teléfono e, inmediatamente después, ocurrían un montón de maldades cibernéticas, dicha escena surgió de la paranoia que existía alrededor de Mitnick.

He incluido a Mitnick como uno de los primeros del libro porque, a partir de esos años de daños cibernéticos, ha dedicado su vida a luchar contra los delitos informáticos y es uno de los pocos sombreros blancos de largo recorrido reformados en los que yo confío plenamente. Mitnick ha escrito varios libros sobre seguridad informática y, actualmente, trabaja para distintas empresas (como KnowBe4), cuenta con su propia firma de consultoría de seguridad (Mitnick Security Consulting), tiene una agenda de charlas más llena que cualquier otra persona que conozca, colabora con el programa de comedia y sátira política estadounidense The Colbert Report y ha tenido un cameo en la popular serie de televisión Alias. Las lecciones de Mitnick a la industria han tenido como resultado un fuerte reconocimiento del papel que juega la ingeniería social en el mundo del hackeo y del modo en que se debe combatir. Después de todo, si vas a detener a un criminal, no puede hacer ningún daño aprender de uno inteligente y reformado.

Le pregunté a Mitnick qué le había llevado a interesarse por el mundo del hackeo. Me contestó: «Desde niño me interesaba la magia. Me encantaba la magia. En la escuela, un niño me mostró algunos trucos con el teléfono, por ejemplo, cómo realizar llamadas de larga distancia, cómo localizar la dirección de alguien solo con su número de teléfono, cómo reenviar llamadas, etc. Iba a una cabina de teléfono, llamaba a alguien (la compañía de teléfonos), se hacía pasar por alguien y algo mágico pasaba. Esta fue mi primera experiencia con la ingeniería social. Para mí, fue como pura magia. Yo no sabía que esto era phreaking e ingeniería social. Solo sabía que era divertido y emocionante y más o menos empezó a apoderarse de mi vida. Esto es todo lo que hice. Me aburría en la escuela y, como me pasaba las noches haciendo phreaking, mis notas empezaron a verse afectadas».

Le pregunté qué pensaban sus padres de sus hackeos. Me contestó: «Bueno, al principio ellos no sabían nada. O como mucho pensaban que hacía cosas sospechosas con el teléfono. Mi madre pensaba: “¿qué problemas puede tener con el teléfono, además de molestar a la gente?”. No sospecharon nada hasta que mi madre recibió una carta oficial de AT&T informándola de que el servicio telefónico había sido inhabilitado. Se enfadó mucho. Piensa que todo esto ocurrió en los tiempos antes de la llegada de los teléfonos móviles. El teléfono de casa era tu única forma de comunicarte con otras personas. Le dije que se calmara y que yo lo arreglaría.

»Básicamente, realicé ingeniería social para que volviéramos a tener teléfono en casa. Primero, me inventé una nueva vivienda. Vivíamos en la Casa 13. Llamé al departamento comercial de la compañía telefónica haciéndome pasar por otra persona y me inventé la Casa 13B. Esperé unos días a que la nueva vivienda entrara en el sistema y, después, llamé al departamento de instalaciones para pedir que vinieran a instalar un nuevo teléfono en la Casa 13B. También fuí a una ferretería y compré una B para añadirla al número exterior de la casa. Llamé haciéndome pasar por un nuevo cliente llamado Jim Bond, de Inglaterra. Les di un número de teléfono de Inglaterra anterior real que encontré junto con otros datos de identificación, pues ya sabía que no serían capaces de comprobar una información del extranjero. Después, les pregunté si podía tomar un número personalizado y me dijeron que sí, y elegí un número que acababa en 007. Antes de terminar la conversación, pregunté si podía utilizar mi sobrenombre Jim o si tenía que utilizar mi nombre completo. Me dijeron que debía utilizar mi nombre legal y les dije que era James. Así, pues, me registré en AT&T como James Bond con un número de teléfono acabado en 007 y mi madre recuperó su teléfono. AT&T se enfadó cuando descubrió todo el engaño».

En ese momento de la entrevista, me di cuenta de que Mitnick no había mencionado nada sobre hackeo informático. Solo hablaba de los malos usos del teléfono, por lo que le pregunté cómo llegó a eso. Me contestó: «Había un chico en la escuela que sabía que yo hacía phreaking y pensó que quizás estaría interesado en una nueva clase de ciencias informáticas de nivel superior que se impartía en la escuela. Inicialmente, dije que no me interesaba pero el chico dijo: “¿Sabes? He oído que las compañías telefónicas se están metiendo en los ordenadores”. Y esto fue suficiente para mí. Tenía que aprender sobre esos ordenadores.

»Tuve que dirigirme al profesor de la clase, el sr. Kris, y preguntarle si podía apuntarme porque no cumplía ninguno de los requisitos necesarios (que, en ese momento, incluían matemáticas avanzadas y física) ni tampoco tenía las notas requeridas, puesto que habían empezado a resentirse por mi falta de sueño debido al phreaking. El sr. Kris no estaba seguro de dejarme acceder, por lo que le hice una demostración de phreaking diciéndole su número de teléfono no registrado y el de sus hijos. Dijo: “¡Esto es magia!” y me dejó asistir a clase.

»Nuestro primer programa asignado fue un Fortran para calcular números de Fibonacci, que yo encontré bastante aburrido. Fuí a la universidad local, Northridge, para intentar que me dejaran pasar más tiempo entre sus ordenadores. Allí tenían los mismos ordenadores y el mismo sistema operativo. Pero no conseguí más de 5 minutos, por lo que me dirigí al responsable del taller de informática y le pedí más tiempo. Me dijo que yo no era alumno de esa escuela y que no debería estar ahí, pero como percibió mi gran interés por los ordenadores, para animarme, me dio su cuenta de acceso personal y su contraseña para que practicara con ello. ¿Podéis creerlo? Así es como yo, en esos momentos pasaba los días entre ordenadores.

»Empecé aprendiendo sobre llamadas al sistema de bajo nivel. Era sorprendente que esto no me lo enseñaran en el instituto. En el instituto, todos compartíamos un módem de marcación telefónica con acoplador acústico. El módem siempre estaba encendido y la gente debía conectarse y desconectarse para acceder al terminal y al módem. Desarrollé un programa de bajo nivel que se mantenía activo en segundo plano y registraba todo cuanto se tecleaba, incluidos los nombres de acceso y las contraseñas.

»Cuando llegó el día en que los alumnos del sr. Kris tenían que mostrar cuántos números de Fibonacci habían calculado los programas asignados de la clase, yo no tenía nada. El sr. Kris me amonestó delante de toda la clase por cómo me había dejado acceder a su clase y se había arriesgado por mí y, llegado el momento, yo no tenía nada que mostrarle. Toda la clase me miraba. Yo le dije: “Bueno, he estado demasiado ocupado escribiendo un programa para identificar su contraseña... ¡y su contraseña es johnco!”. Me dijo: “¿Cómo lo has hecho?” Se lo expliqué, me felicitó y dijo ante toda la clase que yo era un genio de los ordenadores. No se enfadó en absoluto. Esta fue, seguramente, la primera mala lección de ética que aprendí».

Le pregunté a Mitnick qué deberían hacer los padres si intuyen que su hijo se dedica al hackeo malicioso. Y él me respondió: «Mostrarle cómo hackear legalmente. Canalizar sus intereses hacia oportunidades legales y éticas, como ir a conferencias sobre seguridad informática y participar en concursos del tipo “Atrapa la bandera” Los padres deben desafiar a sus hijos diciéndoles cosas como: “Crees que eres lo suficientemente bueno para participar en un concurso como el de Atrapa la bandera?” Los padres pueden aplicar ingeniería social al niño, y el niño tendrá la misma emoción y excitación, pero de una forma legal. Hoy mismo acabo de hackear legalmente una empresa y he sentido la misma emoción que sentía cuando no hacía cosas éticas y legales. Desearía haber tenido entonces las formas legales para hackear que existen actualmente. Me gustaría poder volver atrás y actuar de forma distinta. ¿Sabéis lo único que distingue el hackeo legal del ilegal? ¡Escribir un informe!».

Le pregunté a Mitnick, con su experiencia en ambos lados del muro, cómo se sentía ante el derecho del Gobierno de saberlo todo versus el derecho individual a la privacidad. Y dijo: «Creo que todos tenemos un enorme derecho a la privacidad. De hecho, mi último libro, The Art of Invisibility [El arte de la invisibilidad], trata sobre cómo se puede mantener la privacidad. Creo que es muy difícil mantenerse en privado ante entidades como la NSA o el Gobierno, con fondos ilimitados. Quiero decir que, si ellos no pueden romper tu encriptación, pueden utilizar simplemente uno de sus ataques de día cero y acceder a tu ordenador, y si no, comprar uno. Por 1,5 millones de dólares puedes comprar un día cero de Apple y por medio millón de dólares, uno de Android, entre otros. Si tienes el dinero y los recursos suficientes, tendrás la información que buscas. Como digo en The Art of Invisibility, creo que tengo una manera de que incluso funcione contra ellos, pero es muy difícil de llevar a cabo e involucrar a muchos elementos de un proceso OPSEC (seguridad operacional). Pero creo que se puede hacer de una manera que incluso la NSA o el Gobierno tendrían dificultades para parar. Yo entiendo la necesidad de un Gobierno de saber ciertas cosas, como en temas de terrorismo, pero es que ellos quieren saberlo todo de todos. Si te están vigilando, cambias tu comportamiento, lo que significa que tienes menos libertad. Yo creo que no se puede ser libre sin privacidad».

Acabé la entrevista recordando a Mitnick que ya habíamos coincidido brevemente en una conferencia sobre seguridad donde él iba a ser el ponente principal después de mi intervención. Al pasar por mi lado, se dio cuenta de que necesitaba un USB para poder incluir su presentación en el ordenador portátil del presentador situado en el escenario. Yo llevaba uno en el bolsillo y se lo ofrecí. Él lo tomó, pero, después de pensarlo durante unos segundos, cambió de opinión y dijo que no se fiaba de ningún USB que no fuera suyo. Algunas personas que estaban cerca se rieron de su paranoia. Después de todo, no puedes infectarte a través de un dispositivo USB —o eso es lo que creía la gente en esos momentos—. Lo que nadie sabía era que yo había descubierto cómo iniciar automáticamente cualquier programa desde un dispositivo portátil (mediante un truco con un archivo oculto denominado desktop.ini, que más tarde utilizó el programa malicioso Stuxnet), y por casualidad el USB tenía una versión de demostración de este ataque. Esto no significa que quisiera infectar de forma intencionada a Mitnick. Lo que ocurrió fue simplemente que estaba en todos los USB que tenía en ese momento y que yo le ofrecí uno de ellos cuando lo pidió.

La paranoia constante de Mitnick le salvó de mi ataque de día cero. Esto también sirvió para demostrar que es difícil engañar a un ingeniero social profesional que está en su mejor momento.

Para más información sobre Kevin Mitnick

Si deseas más información acerca de Kevin Mitnick, consulta estos recursos:

■ Sitio web de Kevin Mitnick: https://mitnicksecurity.com/

■ Ghost in the Wires

■ The Art of Invisibility

■ The Art of Deception

■ The Art of Intrusion

■ Kevin Mitnick Security Awareness Training, de KnowBe4: https://www.knowbe4.com/products/kevin-mitnick-security-awareness-training/

■ Slashdot Q&A, de Kevin Mitnick: https://news.slashdot.org/story/11/09/12/1234252/Kevin-Mitnick-Answers