Kevin Mitnick, el hacker más famoso del mundo, reveló algunos de sus secretos
- Kevin Mitnick fue prófugo del FBI en la década de 1990 al ser considerado el cibercriminal más peligroso, siendo encarcelado 5 años, incluidos ocho meses en una celda de aislamiento.
Santiago, Chile. 23 marzo, 2019. Kevin Mitnick es internacionalmente conocido como “el hacker más famoso del mundo”, y recientemente fue invitado por SAP Chile para su evento SAP NOW realizado en Espacio Riesco, donde reveló a la audiencia cómo realiza sus ingresos a los sistemas de seguridad de variadas empresas. Su equipo, a la fecha cuenta con una tasa del 100% para ingresar a los sistemas de seguridad de las empresas, encontrando siempre fallas por las que se cuela.
Luego de muchos años como hacker, Kevin es ahora un consultor en ciberseguridad, aunque asegura, jamás dejará de ejercer la profesión por la que es por todos conocido, ya que aseguró que lo que más disfruta en la vida es poder entrar a los sistemas más complejos del mundo y que le paguen por ello, una actividad que antes le trajo “muchos problemas” y que ahora hace “con autorización”.
“Bueno, sí lo soy (un hacker), pero lo hago con autorización. Ahora es con mi compañía para monitorear los controles de seguridad de las empresas. Antes lo hacía gratis y me trajo muchos problemas”, aseguró Mitnick.
Mitnick, ex prófugo del FBI en los 90s al ser considerado el cibercriminal más peligroso tras hackear 40 compañías y los sistemas más seguros de Estados Unidos solo por placer, cumplió una condena en prisión de cinco años, incluidos ocho meses en una celda de aislamiento. ¿Por qué tanto tiempo en aislamiento? Pues porque alguien convenció al juez de que era capaz de “iniciar una guerra nuclear silbando en un teléfono público”. Aquella decisión aumentó el mito de un hacker que logró mucho más por su habilidad con la ingeniería social que por su capacidad técnica. Después fundó su propia empresa y se desempeña como consultor de empresas y gobiernos alrededor del mundo. “Es como si Pablo Escobar se hubiera convertido en farmacéutico”, bromeó.
Mitnick acaparó la atención de los ejecutivos que abarrotaron el escenario principal del evento a quienes les relató la forma en que a los 16 años de edad intervino el sistema de autoservicio de un Mc Donald’s y cambiaba las órdenes o como en la preparatoria robó la contraseña de un profesor como parte de un curso de computación.
También les dio algunos consejos para mantener la seguridad en sus sistemas informáticos e incluso con su computador, les mostró cómo es posible vulnerar cualquier computador.
Criticó que la gente no le de la importancia debida a su seguridad informática y que prefieran tener programas y sistemas operativos de bajo costo u obsoletos en vez de invertir en los que les ofrecen menos vulnerabilidad.
Un fantasma en el sistema
Mitnick ha escrito cuatro libros hasta la fecha, aunque el más biográfico de todos ellos es ‘Un fantasma en el sistema’ (2011, Capitán Swing). Es en este volumen de casi 500 páginas en el que el hacker —con la ayuda del escritor William L. Simon— relata toda su historia, desde que se inició en este ámbito hasta que fue arrestado por el FBI para luego ser juzgado y encarcelado.
Mitnick descubrió muy pronto a aprovechar las debilidades de los sistemas que usaba en su día a día. Todo empezó con los boletos de autobús que usaba para desplazarse en Los Angeles, y que contaban con una forma particular de estar agujereados según el día, la hora o la ruta de cada autobús.
El joven Mitnick logró descubrir dónde comprar la máquina con la que se agujereaban esas tarjetas, consiguió un montón de tarjetas preparadas para ser perforadas en un terminal en el que los conductores dejaban sus libros de tarjetas sin vigilancia, y así fue como terminó viajando de un lado a otro de la ciudad sin pagar. Nadie le paró el carro entonces, como afirma en el libro:
A mi madre le parecía ingenioso, a mi padre le parecía una muestra de iniciativa y a los conductores de autobús que sabían que yo picaba mis propios boletos de transbordo les parecía una cosa muy graciosa. Era como si toda la gente que sabía lo que estaba haciendo me diera palmaditas en la espalda.
El mago de la ingeniería social
Puede que aquella primera aventura con premio (y sin castigo) terminara definiendo su actividad posterior, que pronto terminaría centrándose en la ingeniería social, una práctica con la que lograba obtener información de todo tipo de sistemas manipulando a usuarios legítimos de esos sistemas. Los actuales ataques de phishing son una forma alternativa de aprovechar esta técnica.
Uno de los ejemplo de ingreso que mas impactó a la audiencia fue su ingreso a un banco en EE.UU. Se le contrató para ingresar físicamente a las oficinas del banco burlando los sistemas de seguridad. Este es un banco que ocupa todo un piso en un edificio de alta seguridad, que cuenta con guardias armados. Mitnick, comenzó por explicar su plan que consistió de 2 etapas. Partió por explicar la segunda antes de la primera, consultando a la audiencia, ¿cual es el lugar que no requiere de una tarjeta de identificación para ingresar? Respuesta, el baño.
Luego explicó cual seria su objetivo, una vez ingresado en el baño. Duplicaría la tarjeta de ingreso de su victima, hombre, mientras estuviera de pie orinando. Buscaría alguien que la llevara en su bolsillo o colgando de su cinturón. Escondido en el baño, una vez detectada la victima se acercaría junto a él, también a orinar y colocando su lector de tarjetas dentro de un bolso porta notebooks, lo acercaría a menos de 5 cm. de la tarjeta de la victima.
Una vez que la tuviera duplicada, accedería físicamente a las oficinas del banco sin problemas.
Pero nos falta el paso 1. ¿Cómo logró ingresar al baño? Bueno resulta que el edificio arrendaba otros pisos para oficinas. Mitnick, se hizo pasar por un interesado en arrendar una oficina para lo que pidió una reunión con la administradora del edificio para que le mostrara las oficinas disponibles. Una vez que estuvo conversando con ella, le preguntó por cómo se ingresaba al edifico, y cómo los empleados una vez dentro del edificio se movían dentro de él. A lo que ella le explicó el sistema de seguridad de “ultima generación” con el que contaba el edificio con tarjetas de identificación con chips muy seguros. Mitnick, le preguntó si podía ver la tarjeta de ella. Ella accede y se la entrega para que Mitnick pueda verla mas de cerca. Listo, pez pescado! Mitnick, rápidamente la acerca a su block de notas, el cual contiene el lector de tarjetas. Tarjeta duplicada!
Este ejemplo nos llega de cerca, acá en Santiago, con la próxima inauguración del Edificio Costanera Center.
Recomendaciones de Mitnick
Monica Perez, periodista y conductora del evento, después de ver las impresionantes habilidades de Mitnick le pregunta, ¿cómo podemos protegernos y cuales serian sus recomendaciones? Mitnick enumera 3 puntos:
- Utilizar administradores de password, como OnePass o Keepass
- Siempre utilizar autenticaciones de 2 pasos, pero además con una USB key
- Instalar y utilizar un cliente VPN en nuestro notebook
Por último, mantener los sistemas de seguridad de software y hardware siempre actualizados.