"La gente no está entrenada contra el engaño a través de la tecnología"
El estadounidense Kevin Mitnick se ha ganado a pulso el apelativo de "hacker más famoso del mundo". Su afición por los sistemas telefónicos e informáticos empezó a los 13 años, hasta encabezar la lista de los más buscados del FBI. Al final lo cazó un experto japonés en 1995. Lo localizaron por una llamada con su teléfono móvil. Fue condenado a cinco años de cárcel por haber conseguido, gracias a sus habilidades en la intromisión informática, programas propietarios de aparatos de telefonía móvil. Tras salir de la cárcel, durante tres años tuvo prohibido acercarse a un ordenador o móvil porque, según el fiscal, con sólo una llamada era capaz de provocar un holocausto nuclear. Sólo podía emplear telefonía fija. Ahora, a punto de cumplir los 43 años, dirige su propia empresa de consultoría sobre seguridad y asesora a los que antes le temían. Esta semana está en Barcelona donde participa en la CISO Executive Summit, que agrupa a dirigentes empresariales preocupados por la seguridad informática en sus corporaciones. Cordial y trajeado, se tomó un descanso en sus obligaciones para atender a este diario. Mitnick es el ejemplo clásico de la diferencia entre un hacker y un cracker. El primero, se entromete e incluso roba en los sistemas informáticos pero lo hace sin ánimo de lucro o de provocar daño. Por curiosidad intelectual o movido por la denuncia social. El cracker, igualmente habilidoso con la informática, es sencillamente un delincuente que busca su beneficio..
"Ahora hay mucho 'hacking' que no lo hacen 'hackers' tradicionales sino piratas criminales que buscan enriquecerse"
Mitnick pasó cinco años en la cárcel y tres sin poder tocar un ordenador por robar programas de telefonía
Pregunta. Su encarcelamiento provocó la mayor campaña a favor de un hacker en la historia de Internet, con el lema Free Kevin (Liberad a Kevin). ¿Le llegaban los ecos en la prisión?
Respuesta
. Un poco y me daba moral. Los primeros ocho meses estuve incomunicado porque decían que mi caso afectaba a la seguridad nacional. Fue horrible. Pasaba la mayor parte del tiempo estudiando leyes y trabajando con mis abogados, porque mi caso era relativamente nuevo. Leía mucho y, al final, pude hablar por teléfono. Así escapaba mentalmente.
P. ¿Después de eso, cree en la Justicia?
R. En la norteamericana, no.
P. ¿Las actuales leyes para delitos informáticos son buenas?
R. Depende de las leyes. Me parece terrible la rapidez con que el Gobierno norteamericano señala a un hacker como terrorista y decide que se le debe dar el mismo castigo. La gran mayoría de gente que está haciendo hacking, por el simple reto, o incluso para robar dinero, no son terroristas. Pronto, ya no los llamarán terroristas sino enemigos de guerra.
P. ¿El castigo para un chico curioso que juega a ser hacker debería ser la prisión?
R. Lo que necesita un chico así es redirigir sus energías hacia algo positivo. Sería mejor condenarle a trabajar para la comunidad, por ejemplo. Además, no tiene una intención criminal. El problema es que, en Estados Unidos, el hacking es automáticamente un crimen. Debería tenerse en cuenta el objetivo final: robar es una cosa y buscar conocimiento, otra. Así, hay gente joven, de 18, 22 años, a quienes les ponen una marca, la de haber cometido un delito grave, para el resto de su vida.
P. Como le pasó a usted.
R. Me trataron como a un terrorista: más de cuatro años en prisión sin juicio ni fianza. Usaron mi caso para hacerse publicidad, para sus juegos políticos, portadas en la revista Time... Los fiscales consiguieron mejores trabajos, John Markoff vendió un libro sobre mí con informaciones falsas, me utilizaron.
P. ¿En su corazón, qué cree que hizo mal para merecer la prisión?
R. Introducirme en sistemas informáticos de otras personas y coger información que no era mía. Por ejemplo, estaba muy interesado en un teléfono concreto, que funcionaba con un programa propietario. Hackeé esta empresa y cogí una copia del programa. La razón era que quería aprender cómo funcionaba, pero robé, y aquello estuvo mal.
P. ¿Al salir de la cárcel, cómo hizo para ponerse al día?
R. Ya cuando estaba en prisión, la gente me enviaba libros. Un año antes de salir, se me permitía acceder a una habitación donde había ordenadores, para usar el correo electrónico. Mi gente me mandaba mensajes, cuyos encabezados eran revisados por el personal de la prisión. Eran tan estúpidos que creían que me mandaban los mensajes con algún tipo de código secreto, tan paranoicos estaban conmigo.
P. ¿Cuando salió, había cambiado el mundo de los hackers?
R. Ahora hay mucho hacking que no está hecho por hackers tradicionales sino por piratas criminales que van a enriquecerse. En mis tiempos, primaba la curiosidad intelectual y el reto. Éste ha sido el principal cambio y es el principal problema.
P. ¿Sigue en contacto con el mundo hacker?
R. Por supuesto, vivo de esto y tengo que estar en contacto. La mayoría de hackers que conozco son de mis tiempos y ahora trabajan cuidando la seguridad informática de empresas y gobiernos, para parar a los auténticos criminales.
P. Su especialidad es la ingeniería social, la manipulación de personas para que suministren información que no deben dar. ¿Salieron nuevas técnicas, mientras estabas en prisión?
R. Sí, en el sentido de las historias que se cuentan para engañar, pero la metodología siempre ha sido la misma: manipulación, engaño e influencia. En un ataque de ingeniería social te pones un disfraz, creas una identidad que crea confianza en la persona o empresa que vas a atacar. Por tanto, cada ataque tiene una historia, una razón para pedir a alguien lo que quieres, pero la base es la misma.
P. ¿Ha inventado nuevas técnicas de ingeniería social?
R. No, pero he perfeccionado algunas, creando buenas historias, entendiendo la psicología de la gente y encontrando formas de convencerla para que me dé la información. Si te pones en un buen papel, obtener información es muy simple, la gente la da sin pensar, de una forma increíble. Por ejemplo, haciéndote pasar por periodista de EL PAÍS, o lo que vemos cada día en el correo electrónico: mensajes que quieren convencernos de pinchar en un enlace que lleva a una web maliciosa o a un archivo que contiene un virus.
P. ¿La ingeniería social es el punto más débil de las empresas?
R. Sí. No entrenan bien a su gente para que no se deje engañar, no tienen políticas de seguridad, no clasifican la información, no usan la tecnología para que tome decisiones que un operador humano, más débil, puede tomar mal. El gran problema de las empresas es cómo autentifican a las personas. En el mundo de los ordenadores, si no tienes la contraseña no puedes entrar. Pero si alguien llama por teléfono se le cree sin más.
P. ¿Cuál es la peor amenaza actual en seguridad informática?
R. El código malicioso, como los virus, los exploits (programas para atacar) que no se conocen públicamente y la ingeniería social.
P. ¿En su empresa, Mitnick Security Consulting, contrata a hackers?
R. Hackers éticos, sí. Criminales, no.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.