14/06/06 10:52:15


KEVIN MITNICK: ESE PEASO HACKER


"SHIMOMURA ES UN GILIPOLLAS"



Kevin Mitnick tiene cara de susto. Quizás por sus famosos 5 años en prisión. Quizás porque hace nada que acaba de despertar del sueño del jet-lag. Está en Barcelona para dar una conferencia sobre ingeniería social, donde le presentan como "el hacker más famoso del mundo". No necesita esta leyenda: es fácil dejarse seducir por la persona. Paranoico impecable, el portátil (Dell) y los móviles siempre bajo su control, el adicto al hacking se ha transformado en un adicto al trabajo. Lleva corbata y traje, que pronto se revelan como máscaras: sus ojos y su frecuente carcajada permiten entrever el alma salvaje que ni las pasadas aventuras, rompiendo sistemas y escapando de la ley, ni el ahora frecuente contacto con corporaciones y gobiernos -"th3y suck", sabes que piensa- han podido doblegar. A sus 43 años, Mitnick sigue siendo un sensible y solitario chiquillo emperrado en demostrarnos que sí, es un hacker.


-Hace diez años, yo empezaba a conocer a mis primeros hackers y tu entrabas en prisión...

-¿Fuí tu primera historia?

-Mmmm.. psí. Entonces, para mi no eras una leyenda sinó "aquel pobre chico" y, cuando la comunidad gritaba "Free Kevin", significaba también "Liberad a los hackers del mundo", en un momento en que la policía les perseguía sin entenderlos, también en España.

-¿También aquí?

-No a tu nivel, pero sí. ¿Crees que ha cambiado el panorama desde entonces?

-Ahora hay mucho hacking que no está hecho por los hackers tradicionales sinó por criminales, crimen organizado, y muchos ataques son para robar, para enriquecerse. En mis tiempos primaba la curiosidad intelectual y el reto. Este ha sido el principal cambio y es ahora el principal problema.

-¿El problema hoy no son los hackers sinó los criminales?

-Sí. O los criminales que reclutan hackers. Hay mucho más interés criminal que intelectual.

-¿Actualmente estás en contacto con el underground hacker no criminal? ¿Conoces a gente haciendo cosas interesantes?

-Si lo supiese, no podría contártelo, jaja.

-¿Pero estás en contacto?

-Si, por supuesto, vivo de esto, tengo que estar en contacto. La mayoría de hackers que conozco son de mis tiempos y trabajan ahora en seguridad. Tenemos una red de amigos y aprendemos juntos. Muchos de ellos trabajan haciendo tests de penetración en empresas.

-¿Conoces también a chicos que empiecen en el hacking?

-No muchos, les veo en conferencias como la DefCon en Las Vegas, pero conozco a más gente de cuando yo era hacker.

-Aquí ha pasado lo mismo: los hackers que hace diez años eran perseguidos por la policía, ahora trabajan con ella.

-Sí, para parar a los auténticos criminales.

-¿Era éste el plan de los hackers para dominar el mundo? ¿Tomar el control de empresas y gobiernos, como profesionales de su seguridad?

-No. Más bien ha evolucionado de esta forma, no era un plan. Muchos hackers de entonces ahora trabajan en seguridad porque tienen el conocimiento, saben de qué va. Lo que sí es interesante es que lo que antes hacías como hacker y era malo, ahora le pones delante el adjetivo "ético" y haces lo mismo, encontrar las vulnerabilidades de las empresas con ingeniería social, redes inalámbricas, etc, pero está bien. Es un poco de locos.

-¿Era tu sueño?

-Nunca había esperado estar hoy aquí. Sencillamente sucedió.

-¿Desde tu corazón, qué crees que hiciste mal para acabar en prisión?

-Introducirme en sistemas informáticos de otras personas y coger información que no era mía. Por ejemplo, estaba muy interesado en un teléfono concreto. Este teléfono tenía un chip con un "software" propietario. Hackeé esta empresa y cogí una copia del "software". La razón era que quería aprender cómo funcionaba, pero robé, y aquello estuvo mal. Por suerte todo esto pertenece al pasado.

-¿Qué hacías en prisión? ¿Sabías que la gente en el exterior gritaba "Free Kevin"?

-Un poco. Al principio estaba aislado, porque mi caso afectaba a la seguridad nacional, no podía ni tocar un teléfono. Era horrible. Pasaba la mayor parte del tiempo estudiando leyes y tratando de trabajar con mis abogados para que me sacasen de allí.

-(Se le quiebra la voz)

-Pasaba todo el tiempo estudiando leyes, casos, porque el mío era relativamente nuevo y tuve que investigar, buscando información para que mis abogados pudiesen ayudarme. Después, cuando ya no estuve aislado, pasaba mucho tiempo al teléfono, hablando con gente de fuera, y leyendo. Eran mis formas de escapar, escapaba mentalmente.

-¿La campaña "Free Kevin" te ayudó?

-Sí, para darme moral, totalmente.

-¿Después de eso, crees en la justicia?

-En la norteamericana, no.

-¿Crees que las actuales leyes que afectan al hacking son buenas?

-Depende de las leyes. Me parece terrible la rapidez con que el gobierno americano señala a un hacker como terrorista y decide que se le debe dar el mismo castigo. Un hacker no tiene por qué ser necesariamente un terrorista. En algunos casos, sí, por ejemplo Al-Qaeda usando ordenadores. Pero la gente que está haciendo hacking por el simple reto, o incluso por intereses criminales, robar dinero, no son terroristas. Entonces, ¿por qué rápidamente asignan el nivel de terrorista a quien no lo es? Por el miedo. La gente tiene miedo de que ataquen sus ordenadores, su mundo, y el gobierno norteamericano explota este miedo, llamando terroristas a gente como yo. No conozco a ningún hacker que sea terrorista. Seguro que hay alguno, pero hasta la fecha no he conocido a ninguno.

-¿Crees que el castigo para los hackers malos debería ser la prisión o hay alternativas, como los trabajos para la comunidad?

-Sería muy bueno que se les condenase a trabajar para la comunidad, pero depende de lo que hayan hecho.

-Pienso en un chico con curiosidad, no un criminal.

-Entonces, lo que necesitaría sería redirigir sus energías hacia algo positivo. No creo que un hacker curioso deba ir a prisión, porque no tiene una intención criminal. El problema es que, en América, el hacking es automáticamente un crimen. Pero, para mi, debería tenerse en cuenta el objetivo final: robar es una cosa y buscar conocimiento es otra. Pero el gobierno americano no lo ve así, y últimamente el británico tampoco. No les importa por qué lo hayas hecho, te ven como un criminal. Gente joven de 18, 22 años, sencillamente curiosos, les cogen y llevarán la marca de haber cometido un delito grave el resto de su vida. Es un gran problema. Pronto, ya verás, el hacker no será considerado sólo como terrorista sinó como enemigo de guerra y encerrado en Cuba, no me sorprendería.

-¿Sobre el gobierno británico, te refieres al caso del llamado "hacker de la NASA"?

-Gary McKinnon, sí. No hace mucho, su gobierno aceptó extraditarlo a Estados Unidos. ¿No podían haberlo juzgado en Gran Bretaña directamente?

-Leí que quizás le llevarían a Guantánamo.

-¿Lo ha dicho algún gobierno?

-No, lo leí en una lista de correo.

-No creo que le lleven a Guantánamo, pero ¿por qué no le juzgan en su país, es que allí no tienen leyes y jueces? O en mi caso: me trataron como a un terrorista, más de 4 años en prisión sin juicio ni fianza. Usaron mi caso para hacerse publicidad, para sus juegos políticos, los fiscales consiguieron mejores trabajos, uno de ellos ascendió a un cargo en el departamento de Justicia...

-(Está indignado). No quería hablar de John Markoff...

-El periodista que escribió un libro sobre mí, para hacer dinero. Usó su posición en "The New York Times" para escribir informaciones falsas sobre mi y, después, para vender el libro.

-... pero sí de Shimomura.

-¿Qué pasa con él?

-Dicen que te cazó.

-Colaboró con Markoff en la idea del libro. Es un hacker, pero no un hacker blanco como le presentaron. Había robado ficheros de contraseñas de muchas universidades del mundo, lo que me hace pensar que más bien es un hacker gris.

-¿Odias a Shimomura?

-No. Creo que es un gilipollas porque se cree más listo que los otros y elegante, sí, elegante.

-Internet va muy rápido. ¿Cómo aprendiste todo lo que habías dejado de aprender en prisión?

-La gente me enviaba libros cuando estaba en prisión, pero es muy diferente leer algo a utilizarlo. Leer no es tan divertido. Así, los primeros años me concentré sólo en investigar para mi caso. 10 meses antes de salir, empecé a leer libros de informática y se me permitía acceder a la habitación donde había ordenadores, para usar sólo el correo electrónico. Mi gente me mandaba mails, de los que el personal de prisión leía los encabezados, y eran tan estúpidos que creían que me los mandaban con algún tipo de código secreto, tan paranoicos estaban conmigo.

-Uf..., pobre Kevin.

-Uf...

-Por suerte, tu especialidad, la ingeniería social, no cambió mucho en estos años.

-Han salido nuevas técnicas, en el sentido de las historias que se cuentan para engañar a la gente. En un ataque de ingeniería social te pones en un rol, una identidad. Normalmente en una identidad de confianza para la persona o empresa que vas a atacar. Cada ataque tiene una historia, una razón para pedir a alguien lo que quieres. La imaginación humana ha creado muchas historias, que cambian contínuamente, pero la base, la metodología es siempre la misma: manipulación, engaño e influencia.

-¿Has inventado alguna vez una nueva técnica de ingeniería social?

-No, pero he perfeccionado algunas, creando buenas historias, entendiendo la psicología de la gente y encontrando formas para convencerla de que me dé la información. Si te pones en un rol, es muy simple obtener información, la gente la da sin pensar, de una forma increible. Si te disfrazas de periodista de "El Pais", por ejemplo, y vas a una organización y pides información, te la darán, incluso puede que te enseñen su sala de ordenadores. O, por ejemplo, los ataques con código malicioso que llegan por correo electrónico, con un enlace hacia un sitio concreto que es una web maliciosa. O el phishing. O los gusanos.

-O sea, todo es ingeniería social

-Sí.

-También el periodismo es ingeniería social.

-Por supuesto.

-Y yo, ahora, estoy haciendo ingeniería social a un gran ingeniero social. Es una posición difícil.

-Jaja. No exactamente. Escucho tus preguntas y puedo decidir decir sí o no.

-¿La ingeniería social es el punto más débil de las corporaciones?

-Sí.

-¿Y por qué las corporaciones son tan estúpidas?

-Porque no entrenan bien a su gente, no tienen políticas de seguridad, no clasifican la información, no examinan la seguridad del elemento humano, no entrenan a la gente para que sea resistente a estos ataques, no tienen protocolos, procedimientos, no usan la tecnología que existe para que tome las decisiones que dejan tomar a un operador humano, más débil... El gran problema de las empresas es cómo autentifican a las personas. En el mundo de los ordenadores, si no tienes la contraseña no puedes entrar. Pero si alguien llama por teléfono, no se le autentifica, se le cree directamente.

-Podríamos hablar mucho sobre seguridad: spam, phishing, cross site scripting.. horas y horas. Pero no las tenemos.

-Te quedan 15 minutos.

-Entonces: ¿Cuál es la peor amenaza ahora mismo en Internet, tanto para empresas como para usuarios?

-Hay muchas, pero las peores son: código malicioso, exploits 0-day e ingeniería social.

-¿En el mundo de la seguridad, qué es lo que más te interesa actualmente?

-Cosas nuevas que los hackers puedan usar para comprometer sistemas.

-¿Por ejemplo?

-Las memorias USB. En Taiwan las están construyendo con la capacidad de un CDROM y que pueden autoejecutar programas. Puedes poner documentos en una memoria USB, enviarlo a alguien, que lo conecte y le ejecute un programa. Esto es algo nuevo.

-Por cierto, ¿qué distribución de Linux usas?

-Gentoo. Ahora la tengo en mi nuevo Macbook.

-(El recuerdo de su nuevo MacBook le provoca una sonrisa de niño feliz). Dicen que se calienta mucho, que quema en las piernas.

-Bueno, yo lo pongo sobre la mesa, pero sí que se calienta, sí.

-¿Cuánta gente trabaja en tu empresa, Mitnick Security Consulting?

-Tengo 2 trabajadores contratados y, cuando tengo un proyecto, cojo a colaboradores.

-¿Contratas a hackers?

-Hackers éticos, sí. Criminales, no.

-¿Tu también haces tests de penetración o sólo conferencias?

-Sí, hago tests porque me gusta, es divertido.

-¿Y qué te gusta más?

-Las conferencias, porque conoces a gente interesante, viajas a ciudades distintas..

-Hay gente que quiere a Mitnick. Y hay gente que le odia y dice que Mitnick no es un hacker. ¿Qué les dirías?

-Francamente, que no me importa, porque no me conocen. Buena parte de mi trabajo es técnico, pero tampoco necesito que ellos conozcan mis habilidades técnicas. Lo menos que sepan de mi, mejor. Los que quiero que sepan si lo hago bien son mis clientes, no esa gente de Slashdot y otros, estos son irrelevantes.

-Es el problema de ser una celebridad.

-Sí. Unos te quieren y otros no. Es como un programa de radio, que a 3.000 personas les gusta y a 3.000, no.

-Yo sí creo que eres un hacker, no el mejor porque si fueses el mejor...

-...no me habrían cogido.

-Y no serías famoso. Pero en cambio creo que eres el mejor ingeniero social, entre otras cosas porque he leído tu libro "The Art of Deception".

-¿Te gustó?

-Mucho. Y también porque creo que estás haciendo ingeniería social a todas esas corporaciones y gobiernos, con tu mito y tus palabras.

-(No lo discute y ríe para sus adentros)

-Un mito que no construiste solo. La comunidad de Internet te ayudó a ser una leyenda. Y, como sabemos, cuando Internet te da algo, tú le das algo a cambio. ¿Qué les has dado tú a Internet, Kevin Mitnick?

-(Azorado, por unos segundos, desprevenido). Contribuyo con mi conocimiento, como ayudar a muchas empresas y personas a conectarse, también participo en muchos "shows" radiofónicos y alojo algunos, ayudando a la gente con consejos sobre seguridad. Escribo artículos. Intento dar mi conocimiento a la comunidad, para evitar que comprometan sus equipos.

-También pienso que has ayudado a la comunidad hacker...

-Sí. Cuando me cogieron y estuve en prisión, jamás dí nombres de nadie, jamás hablé de otra gente, me callé, no quise traer problemas a nadie, aunque esto significase que yo tuviese más problemas. Tuve la boca cerrada.

-...y sigues siendo de ayuda, con el arquetipo que representas, demostrando que, por una parte, un hacker malo puede rectificar y ser bueno y, segundo, que un hacker puede ser una figura respetable ante el mundo.  

-Deja que te dé un abrazo.


Mercè Molist  
Publicado en la revista @rroba.

 
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.



<<