"La gente no est¨¢ entrenada contra el enga?o a trav¨¦s de la tecnolog¨ªa"

El estadounidense Kevin Mitnick se ha ganado a pulso el apelativo de "hacker m¨¢s famoso del mundo". Su afici¨®n por los sistemas telef¨®nicos e inform¨¢ticos empez¨® a los 13 a?os, hasta encabezar la lista de los m¨¢s buscados del FBI. Al final lo caz¨® un experto japon¨¦s en 1995. Lo localizaron por una llamada con su tel¨¦fono m¨®vil. Fue condenado a cinco a?os de c¨¢rcel por haber conseguido, gracias a sus habilidades en la intromisi¨®n inform¨¢tica, programas propietarios de aparatos de telefon¨ªa m¨®vil. Tras salir de la c¨¢rcel, durante tres a?os tuvo prohibido acercarse a un ordenador o m¨®vil porque, seg¨²n el fiscal, con s¨®lo una llamada era capaz de provocar un holocausto nuclear. S¨®lo pod¨ªa emplear telefon¨ªa fija. Ahora, a punto de cumplir los 43 a?os, dirige su propia empresa de consultor¨ªa sobre seguridad y asesora a los que antes le tem¨ªan. Esta semana est¨¢ en Barcelona donde participa en la CISO Executive Summit, que agrupa a dirigentes empresariales preocupados por la seguridad inform¨¢tica en sus corporaciones. Cordial y trajeado, se tom¨® un descanso en sus obligaciones para atender a este diario. Mitnick es el ejemplo cl¨¢sico de la diferencia entre un hacker y un cracker. El primero, se entromete e incluso roba en los sistemas inform¨¢ticos pero lo hace sin ¨¢nimo de lucro o de provocar da?o. Por curiosidad intelectual o movido por la denuncia social. El cracker, igualmente habilidoso con la inform¨¢tica, es sencillamente un delincuente que busca su beneficio..

"Ahora hay mucho 'hacking' que no lo hacen 'hackers' tradicionales sino piratas criminales que buscan enriquecerse"

Mitnick pas¨® cinco a?os en la c¨¢rcel y tres sin poder tocar un ordenador por robar programas de telefon¨ªa

Pregunta. Su encarcelamiento provoc¨® la mayor campa?a a favor de un hacker en la historia de Internet, con el lema Free Kevin (Liberad a Kevin). ?Le llegaban los ecos en la prisi¨®n?

Respuesta

. Un poco y me daba moral. Los primeros ocho meses estuve incomunicado porque dec¨ªan que mi caso afectaba a la seguridad nacional. Fue horrible. Pasaba la mayor parte del tiempo estudiando leyes y trabajando con mis abogados, porque mi caso era relativamente nuevo. Le¨ªa mucho y, al final, pude hablar por tel¨¦fono. As¨ª escapaba mentalmente.

P. ?Despu¨¦s de eso, cree en la Justicia?

R. En la norteamericana, no.

P. ?Las actuales leyes para delitos inform¨¢ticos son buenas?

R. Depende de las leyes. Me parece terrible la rapidez con que el Gobierno norteamericano se?ala a un hacker como terrorista y decide que se le debe dar el mismo castigo. La gran mayor¨ªa de gente que est¨¢ haciendo hacking, por el simple reto, o incluso para robar dinero, no son terroristas. Pronto, ya no los llamar¨¢n terroristas sino enemigos de guerra.

P. ?El castigo para un chico curioso que juega a ser hacker deber¨ªa ser la prisi¨®n?

R. Lo que necesita un chico as¨ª es redirigir sus energ¨ªas hacia algo positivo. Ser¨ªa mejor condenarle a trabajar para la comunidad, por ejemplo. Adem¨¢s, no tiene una intenci¨®n criminal. El problema es que, en Estados Unidos, el hacking es autom¨¢ticamente un crimen. Deber¨ªa tenerse en cuenta el objetivo final: robar es una cosa y buscar conocimiento, otra. As¨ª, hay gente joven, de 18, 22 a?os, a quienes les ponen una marca, la de haber cometido un delito grave, para el resto de su vida.

P. Como le pas¨® a usted.

R. Me trataron como a un terrorista: m¨¢s de cuatro a?os en prisi¨®n sin juicio ni fianza. Usaron mi caso para hacerse publicidad, para sus juegos pol¨ªticos, portadas en la revista Time... Los fiscales consiguieron mejores trabajos, John Markoff vendi¨® un libro sobre m¨ª con informaciones falsas, me utilizaron.

P. ?En su coraz¨®n, qu¨¦ cree que hizo mal para merecer la prisi¨®n?

R. Introducirme en sistemas inform¨¢ticos de otras personas y coger informaci¨®n que no era m¨ªa. Por ejemplo, estaba muy interesado en un tel¨¦fono concreto, que funcionaba con un programa propietario. Hacke¨¦ esta empresa y cog¨ª una copia del programa. La raz¨®n era que quer¨ªa aprender c¨®mo funcionaba, pero rob¨¦, y aquello estuvo mal.

P. ?Al salir de la c¨¢rcel, c¨®mo hizo para ponerse al d¨ªa?

R. Ya cuando estaba en prisi¨®n, la gente me enviaba libros. Un a?o antes de salir, se me permit¨ªa acceder a una habitaci¨®n donde hab¨ªa ordenadores, para usar el correo electr¨®nico. Mi gente me mandaba mensajes, cuyos encabezados eran revisados por el personal de la prisi¨®n. Eran tan est¨²pidos que cre¨ªan que me mandaban los mensajes con alg¨²n tipo de c¨®digo secreto, tan paranoicos estaban conmigo.

P. ?Cuando sali¨®, hab¨ªa cambiado el mundo de los hackers?

R. Ahora hay mucho hacking que no est¨¢ hecho por hackers tradicionales sino por piratas criminales que van a enriquecerse. En mis tiempos, primaba la curiosidad intelectual y el reto. ?ste ha sido el principal cambio y es el principal problema.

P. ?Sigue en contacto con el mundo hacker?

R. Por supuesto, vivo de esto y tengo que estar en contacto. La mayor¨ªa de hackers que conozco son de mis tiempos y ahora trabajan cuidando la seguridad inform¨¢tica de empresas y gobiernos, para parar a los aut¨¦nticos criminales.

P. Su especialidad es la ingenier¨ªa social, la manipulaci¨®n de personas para que suministren informaci¨®n que no deben dar. ?Salieron nuevas t¨¦cnicas, mientras estabas en prisi¨®n?

R. S¨ª, en el sentido de las historias que se cuentan para enga?ar, pero la metodolog¨ªa siempre ha sido la misma: manipulaci¨®n, enga?o e influencia. En un ataque de ingenier¨ªa social te pones un disfraz, creas una identidad que crea confianza en la persona o empresa que vas a atacar. Por tanto, cada ataque tiene una historia, una raz¨®n para pedir a alguien lo que quieres, pero la base es la misma.

P. ?Ha inventado nuevas t¨¦cnicas de ingenier¨ªa social?

R. No, pero he perfeccionado algunas, creando buenas historias, entendiendo la psicolog¨ªa de la gente y encontrando formas de convencerla para que me d¨¦ la informaci¨®n. Si te pones en un buen papel, obtener informaci¨®n es muy simple, la gente la da sin pensar, de una forma incre¨ªble. Por ejemplo, haci¨¦ndote pasar por periodista de EL PA?S, o lo que vemos cada d¨ªa en el correo electr¨®nico: mensajes que quieren convencernos de pinchar en un enlace que lleva a una web maliciosa o a un archivo que contiene un virus.

P. ?La ingenier¨ªa social es el punto m¨¢s d¨¦bil de las empresas?

R. S¨ª. No entrenan bien a su gente para que no se deje enga?ar, no tienen pol¨ªticas de seguridad, no clasifican la informaci¨®n, no usan la tecnolog¨ªa para que tome decisiones que un operador humano, m¨¢s d¨¦bil, puede tomar mal. El gran problema de las empresas es c¨®mo autentifican a las personas. En el mundo de los ordenadores, si no tienes la contrase?a no puedes entrar. Pero si alguien llama por tel¨¦fono se le cree sin m¨¢s.

P. ?Cu¨¢l es la peor amenaza actual en seguridad inform¨¢tica?

R. El c¨®digo malicioso, como los virus, los exploits (programas para atacar) que no se conocen p¨²blicamente y la ingenier¨ªa social.

P. ?En su empresa, Mitnick Security Consulting, contrata a hackers?

R. Hackers ¨¦ticos, s¨ª. Criminales, no.