Hoy, Kevin Mitnick es un experto en seguridad que se infiltra en las empresas de sus clientes para exponer sus debilidades. También es autor de varios libros, entre ellos Fantasma en los cables. Pero es más conocido como el hacker que eludió al FBI durante años y finalmente fue encarcelado por su conducta. Tuvimos la oportunidad de hablar con él sobre el tiempo que estuvo en régimen de aislamiento, cómo hackeó McDonald's y lo que piensa sobre Anonymous.
Tendencias digitales: ¿Cuándo se interesó por primera vez en la piratería?
Vídeos recomendados
Kevin Mitnick: En realidad, lo que me inició en el hacking fue este pasatiempo que tenía llamado phreaking telefónico. Cuando estaba en el tercer año de secundaria, estaba fascinado con la magia y conocí a otro estudiante que podía hacer magia con un teléfono. Él podía hacer todos estos trucos: podía llamar a un número que él me dijo y él llamaba a otro, y nos uníamos, y esto se llama bucle. Era un circuito de prueba de una compañía telefónica. Me mostró que tenía un número secreto en la compañía telefónica, podía marcar un número y emitía un tono extraño, luego ingresaba un código de cinco dígitos y podía llamar a cualquier lugar gratis.
Tenía números secretos en la compañía telefónica a los que podía llamar y no necesitaba identificarse, ¿qué Lo que sucedería es que si tuviera un número de teléfono, podría encontrar el nombre y la dirección de ese número incluso si fuera inédito. Podría romper el desvío de llamadas. Podía hacer magia con el teléfono y quedé realmente fascinado con la compañía telefónica. Y yo era un bromista. Me encantaban las bromas. Mi pie en la puerta del hacking fue gastarles bromas a mis amigos.
Una de mis primeras bromas fue cambiar el teléfono de la casa de mis amigos por un teléfono público. Entonces, cada vez que él o sus padres intentaban hacer una llamada, decía "por favor deposite una moneda de veinticinco centavos".
Entonces mi entrada en la piratería fue mi fascinación por la compañía telefónica y el deseo de hacer bromas.
DT: ¿De dónde sacaste el conocimiento técnico para empezar a hacer estas cosas?
km: Yo también estaba interesado en la tecnología y él en realidad no me decía cómo hacía las cosas. A veces escuchaba lo que estaba haciendo y sabía que estaba usando ingeniería social, pero él decía el mago que hizo los trucos pero no me dijo cómo los hizo, así que tendría que resolverlo mí mismo.
Antes de conocer a este chico, ya era un radioaficionado. Pasé mi prueba de radioaficionado cuando tenía 13 años y ya me gustaba la electrónica y la radio, así que tenía esa formación técnica.
Esto fue en los años 70 y no podía obtener una licencia CB porque tenías que tener 18 años y yo 11 o 12. Entonces conocí a este conductor de autobús un día mientras viajaba en el autobús, y este conductor me presentó la radioafición. Me mostró cómo podía hacer llamadas telefónicas usando su radio portátil, lo cual me pareció genial porque era anterior al celular. teléfonos y pensé: "Vaya, esto es genial, tengo que aprender sobre ello". Cogí algunos libros, tomé algunos cursos y a los 13 años aprobé el examen.
Luego aprendí sobre los teléfonos. Después de eso, otro estudiante de secundaria me presentó al instructor de informática para que tomara una clase de informática. Al principio el instructor no me dejó entrar porque no cumplía con los requisitos previos y luego le mostré todos los trucos que pude hacer con el teléfono, y quedó completamente impresionado y me permitió entrar al clase.
DT: ¿Tienes algún truco favorito o uno del que estés especialmente orgulloso?
km: El truco al que estoy más apegado fue el hackeo de McDonald's. Lo que resolví (recuerdan que tenía mi licencia de radioaficionado) era que podía encargarme de las ventanillas de los vehículos. Me sentaba al otro lado de la calle y me hacía cargo de ellos. Puedes imaginarte a los 16, 17 años, lo divertido que podrías tener. Entonces la persona en McDonald's podía escuchar todo lo que pasaba, pero no podían dominarme, yo los dominaría.
Los clientes llegaban y yo tomaba su pedido y les decía: "Está bien, hoy eres el cliente número 50, tu pedido es gratis, sigue adelante". O la policía vendría y a veces decía: "Lo siento señor, no tenemos donas para usted hoy y para los agentes de policía solo servimos Dunkin Donuts". O eso o diría: "Esconde el ¡cocaína! ¡Esconde la cocaína!
Llegó el punto en que el gerente salía al estacionamiento, miraba el estacionamiento, miraba los autos y, por supuesto, no había nadie alrededor. Así que se acercaba al parlante del auto y miraba adentro como si hubiera un hombre escondido adentro, y luego yo decía: "¡Qué diablos estás mirando!".
DT: ¿Podrías hablar un poco sobre la diferencia entre la ingeniería social para ingresar a una red y, de hecho, piratear una?
km: La verdad del asunto es que la mayoría de los hacks son híbridos. Podrías ingresar a una red a través de la explotación de la red, ya sabes, encontrando una forma puramente técnica. Podría hacerlo manipulando a las personas que tienen acceso a las computadoras, para revelar información o realizar una “acción” como abrir un archivo PDF. O puede obtener acceso físico a donde están sus computadoras o servidores y hacerlo de esta manera. Pero en realidad no es lo uno ni lo otro, en realidad se basa en el objetivo y la situación, y ahí es donde el hacker decide qué habilidad usar, qué vía utilizará para violar el sistema.
Hoy en día, la ingeniería social es una amenaza sustancial porque RSA [Seguridad] y Google fueron pirateados, y esto fue a través de una técnica llamada phishing. Con los ataques de RSA, que fueron sustanciales porque los atacantes robaron las semillas simbólicas que contratistas de defensa utilizaron para la autenticación, los piratas informáticos pusieron trampas explosivas en un documento de Excel con un Flash objeto. Encontraron un objetivo dentro de RSA que tendría acceso a la información que querían, y enviaron este documento trampa a la víctima, y cuando abrieron el documento de Excel (que probablemente fue enviado desde lo que parecía una fuente legítima, un cliente, un socio comercial), Explotó de manera invisible una vulnerabilidad dentro de Adobe Flash y el pirata informático tuvo acceso a la estación de trabajo de este empleado y al sistema interno de RSA. red.
El Spear phishing utiliza dos componentes: redes sociales para lograr que la persona abra el documento de Excel y el segundo. parte es la explotación técnica de un error o falla de seguridad en Adobe que le dio al atacante el control total del computadora. Y así es como funciona en el mundo real. No basta con llamar a alguien por teléfono y pedirle una contraseña; Los ataques suelen ser híbridos y combinan ingeniería técnica y social.
En Fantasma en los cables, Describo cómo utilicé ambas técnicas.
DT: Parte de la razón por la que escribiste. Fantasma en los cables Era abordar algunas de las mentiras sobre ti mismo.
km: Oh, sí, se escribieron tres libros sobre mí, había una película llamada Derribar Por lo cual terminé resolviendo una demanda fuera de los tribunales, aceptaron cambios de guión y nunca se estrenó en cines en los Estados Unidos. Tuve un reportero del New York Times que escribió una historia que yo hackeé en NORAD en 1983 y casi comencé Tercera Guerra Mundial o algo ridículo como esto, lo declaró como un hecho, lo cual no tenía ninguna fuente. alegación.
Hay muchas cosas a la vista del público que simplemente no eran ciertas, y muchas cosas que la gente realmente no sabía. Y pensé que era importante lograr que mi libro realmente contara mi historia y básicamente dejara las cosas claras. También pensé que mi historia era como Atrápame si puedes, Tuve un juego del gato y el ratón con el FBI que duró dos décadas. Y no quería ganar dinero. De hecho, cuando estaba huyendo, trabajaba de 9 a 5 para mantenerme y pirateaba por las noches. Tenía la habilidad de que, si quisiera, podría haber robado datos de tarjetas de crédito e información de cuentas bancarias, pero mi brújula moral no me permitía hacerlo. Y mi razón principal para hackear fue realmente el desafío: como escalar el Monte Everest. Pero la razón principal fue mi búsqueda del conocimiento. Cuando era niño interesado en la magia y la radioafición, me encantaba desmontar cosas y descubrir cómo funcionaban. En mi época no había vías para aprender a hackear de manera ética, era un mundo diferente.
Incluso cuando estaba en la escuela secundaria, me sentí animado a piratear. Una de mis primeras tareas fue escribir un programa para encontrar los primeros 100 números de ñoquis. En lugar de eso, escribí un programa que podía capturar las contraseñas de las personas. Y trabajé muy duro en esto porque pensé que era genial y divertido, así que no tuve tiempo de hacer lo real. tarea y entregué esta en su lugar, y obtuve una A y muchos "chicos Atta". Empecé en una diferente mundo.
DT: E incluso te encerraron en régimen de aislamiento mientras estabas en prisión por cosas que la gente pensaba que podías hacer.
km: Oh sí sí. Hace años, a mediados de los 80, pirateé una empresa llamada Digital Equipment Corporation y lo que me interesaba era mi objetivo a largo plazo de convertirme en el mejor hacker posible. No tenía ningún objetivo excepto entrar en el sistema. Lo que hice fue que tomé una decisión lamentable y decidí buscar el código fuente, que es como la receta secreta de Orange Julius para el sistema operativo VMS, un sistema operativo muy popular en el pasado día.
Básicamente tomé una copia del código fuente y un amigo mío me informó. Cuando terminé en el tribunal después de que el FBI me arrestara, un fiscal federal le había dicho a un juez que no sólo teníamos que detener al Sr. Mitnick como una amenaza a la seguridad nacional, sino que Tenemos que asegurarnos de que no pueda acercarse a un teléfono, porque simplemente podría levantar un teléfono público, conectarse a un módem en NORAD, silbar el código de lanzamiento y posiblemente iniciar una bomba nuclear. guerra. Y cuando el fiscal dijo esto, me eché a reír porque nunca en mi vida había oído algo tan ridículo. Pero, increíblemente, el juez compró el anzuelo y la plomada, y terminé recluido en un centro de detención federal en régimen de aislamiento durante casi un año. No puedes relacionarte con nadie, estás encerrado en una habitación pequeña, probablemente del tamaño de tu baño, y simplemente estás sentado allí en un ataúd de concreto. Fue como una tortura psicológica, y creo que el tiempo máximo que se supone que una persona debe estar en régimen de aislamiento es algo así como 19 días, y a mí me retuvieron allí durante un año. Y se basó en la idea ridícula de que podía silbar los códigos de lanzamiento.
DT: ¿Y cuánto tiempo después no se le permitió utilizar dispositivos electrónicos básicos, o al menos aquellos que permitieran la comunicación?
km: Bueno, lo que pasó es que terminé metiéndome en problemas un par de veces después de que me liberaron. Un par de años más tarde, el FBI envió a un informante que era un hacker real y con orientación criminal (es decir, alguien que roba información de tarjetas de crédito para robar dinero) para tenderme una trampa. Y rápidamente me di cuenta de lo que estaba haciendo el informante, así que comencé a hacer contrainteligencia contra el FBI y comencé a piratear de nuevo. Esta historia está realmente centrada en el libro: cómo estaba rompiendo la operación del FBI en mi contra y descubrí a los agentes que estaban trabajando contra mí y sus números de teléfonos celulares. Tomé sus números y los programé en un dispositivo que tenía como sistema de alerta temprana. Si se acercaran a mi ubicación física lo sabría. Finalmente, después de que este caso terminó en 1999, me pusieron condiciones muy estrictas. No podía tocar nada que tuviera un transistor sin el permiso del gobierno. Me trataron como si fuera un MacGyver, le dieron a Kevin Mitnick una batería de nueve voltios y cinta adhesiva y es un peligro para la sociedad.
No podía usar un fax, un teléfono celular, una computadora, nada que tuviera que ver con las comunicaciones. Y finalmente, después de dos años, relajaron esas condiciones porque me encargaron escribir un libro llamado El arte del engaño, y en secreto me dieron permiso para usar una computadora portátil, siempre y cuando no se lo dijera a los medios y no me conectara a Internet.
DT: Supongo que esto no sólo fue increíblemente inconveniente sino también personalmente difícil.
km: Sí, porque imagínate… fui arrestado en 1995 y liberado en 2000. Y en esos cinco años Internet pasó por un cambio dramático, así que en ese tiempo era como si yo fuera Rip Van Wrinkle. Me fui a dormir y me desperté y el mundo había cambiado. Así que era un poco difícil que se le prohibiera tocar la tecnología. Y creo que el gobierno simplemente quería ponérmelo extremadamente difícil, o en realidad creían que yo era una amenaza a la seguridad nacional. Realmente no sé cuál es, pero lo superé. Hoy puedo aprovechar toda esta experiencia y mi carrera como pirata informático y ahora me pagan por hacerlo. Empresas de todo el mundo me contratan para entrar en sus sistemas, encontrar sus vulnerabilidades y poder solucionarlas antes de que entren los verdaderos malos. Viajo por el mundo hablando sobre seguridad informática y creando conciencia al respecto, así que tengo mucha suerte de poder hacer esto hoy.
Creo que la gente conoce mi caso y que infringí la ley, pero que no pretendía hacerlo por dinero ni para dañar a nadie. Solo tenía las habilidades. No tenía nada que perder, estaba huyendo del FBI, podría haber aceptado dinero, pero iba en contra de mi brújula moral. Lamento las acciones que dañaron a otros, pero realmente no me arrepiento del hackeo porque para mí era como un videojuego.
DT: El hacking ha sido tendencia este año gracias a hactivistas como Anonymous. Son un grupo extremadamente polarizador. ¿Cuál es su opinión sobre ellos?
km: Creo que lo primero que está haciendo Anonymous es crear conciencia sobre la seguridad, aunque de forma negativa. Pero ciertamente están ilustrando que hay muchas empresas que son las más fáciles de alcanzar, que sus sistemas tienen una seguridad deficiente y que realmente necesitan mejorarla.
No creo que su mensaje político realmente vaya a lograr ningún cambio en el mundo. Creo que el único cambio que crean es convertirse en una mayor prioridad para las fuerzas del orden. Es algo así como por qué el FBI estaba tan enojado conmigo. Cuando era un fugitivo, vivía en Denver y descubrí lo que estaba haciendo el informante, descubrí a través de mi sistema de alerta temprana (monitoreando sus comunicaciones por teléfono celular) de que iban y venían a buscar a mí. Limpié mi apartamento de cualquier equipo de computadora o cualquier cosa que el FBI pudiera tomar, compré una caja grande de donas y con un marcador escribí “donas del FBI” en ella y la metí en el refrigerador.
Ejecutaron la orden de allanamiento al día siguiente y estaban furiosos porque no sólo sabía cuándo vendrían sino que les había comprado donas. Fue una locura… le falta algo de madurez, pero pensé que era hilarante. Y debido a esto, me convertí en un fugitivo, y el FBI estaba arrestando a las personas equivocadas que pensaban que era yo, y el New York Times los presentaba como Keystone Kops. Entonces, cuando finalmente me atraparon, me golpearon. Fueron muy duros conmigo, e incluso en mi caso... ya sabes, robé el código fuente para encontrar agujeros de seguridad y pirateé teléfonos de Motorola y Nokia para que no pudieran rastrearme. Y el gobierno solicitó a estas empresas que dijeran que las pérdidas que sufrieron a mi costa fueron todas sus inversiones en I+D que utilizaron para teléfonos móviles. Entonces es como si un niño entrara al 7-11 y robara una lata de Coca-Cola y dijera que la pérdida que este niño le causó a Coca-Cola fue toda la fórmula.
Y esa es una de las cosas que dejo claras en el libro: causé pérdidas. No sé si fueron $10.000, $100.000 o $300.000. Pero sé que estuvo mal y fue poco ético por mi parte y lo lamento, pero ciertamente no causé pérdidas de 300 millones de dólares. De hecho, todas las empresas que pirateé eran empresas que cotizaban en bolsa y, según la SEC, si una empresa pública sufre una pérdida material, debe informarla a los accionistas. Ninguna de las empresas que hackeé reportó ni un solo centavo de pérdida.
Me convertí en el ejemplo porque el gobierno quería enviar un mensaje a otros posibles hackers de que si haces este tipo de cosas y juegas con nosotros, esto es lo que te sucederá. Como reacción a mi libro, algunas personas dicen: "Oh, él no se arrepiente de lo que hizo, lo volvería a hacer". No lamento el pirateo, pero lamento el daño que causé. Hay una distinción entre eso.
DT: Entonces, ¿cómo crees que evoluciona el hacking en este momento? La tecnología es mucho más accesible que nunca y cada vez más consumidores son capaces de superar estos límites.
km: La piratería seguirá siendo un problema y los atacantes ahora atacan a los teléfonos móviles. Antes era tu ordenador personal, y ahora es tu dispositivo móvil, tu Android, tu iPhone. La gente guarda allí información confidencial, datos de cuentas bancarias y fotografías personales. Sin duda, la piratería va en dirección a los teléfonos.
El malware es cada vez más sofisticado. La gente está pirateando las autoridades certificadoras, por lo que existe un protocolo llamado SSL para compras en línea o transacciones bancarias. Y todo este protocolo se basa en la confianza y en estas autoridades certificadoras, y los piratas informáticos están comprometiendo estas autoridades certificadoras y emiten ellos mismos sus propios certificados. Para que puedan pretender ser Bank of America, pretender ser PayPal. Es todo más sofisticado, más complejo y más importante que las empresas sean conscientes del problema y traten de mitigar la posibilidad de verse comprometidas.
DT: ¿Qué consejo le darías hoy a los hackers?
km: No estaba disponible en mi época, pero ahora la gente puede aprender éticamente sobre piratería. Hay cursos, muchos libros, el coste de montar tu propio laboratorio de informática es muy económico e incluso hay páginas web. que hay en Internet que están configurados para permitir que las personas intenten piratear para aumentar sus conocimientos y habilidades, los llamados Hacme Banco. Las personas pueden aprender éticamente sobre esto ahora sin meterse en problemas ni dañar a nadie más.
DT: ¿Crees que eso anima a las personas a hacer un mal uso de estas habilidades?
km: Probablemente lo harán tengan o no la ayuda. Es una herramienta, el hacking es una herramienta, así que puedes tomar un martillo y construir una casa o puedes golpear a alguien en la cabeza con él. Lo importante hoy es la ética. La charla sobre ética de Kevin Mitnick fue: Está bien escribir programas para robar contraseñas en la escuela secundaria. Por eso es importante lograr que las personas y los niños se interesen en esto porque es un campo interesante, pero también tener capacitación ética detrás para que lo utilicen de una buena manera.
DT: ¿Puedes hablar un poco sobre Mac vs. ¿Debate sobre la seguridad de las ventanas?
km: Las Mac son menos seguras pero menos específicas. Windows tiene la mayor cuota de mercado, por lo que está más orientado a sus objetivos. Ahora Apple obviamente está aumentando su seguridad, y la razón por la que no escuchas que muchas Mac son Lo atacado es que los creadores de malware no escriben código malicioso para Mac porque simplemente no eran populares. suficiente. Cuando escribes código malicioso quieres atacar a mucha gente y tradicionalmente ha habido mucha más gente ejecutando Windows.
A medida que aumenta la participación de mercado de Mac, naturalmente comenzaremos a ver que se dirigen más a ellos.
DT: ¿Qué sistema operativo es más seguro?
km: Sistema operativo Google Chrome. ¿Sabes por qué? Porque no puedes hacer nada con eso. Puedes acceder a los servicios de Google pero no hay nada que atacar. Pero no es una solución viable para la gente. Recomendaría usar una Mac, no sólo por seguridad, sino que tengo menos problemas al ejecutar Mac OS que Windows.
DT: ¿Qué nueva tecnología te parece más fascinante en este momento?
km: Recuerdo cuando tenía nueve años y conducía por Los Ángeles con mi papá mirando el estruendo. tira en la autopista pensando que algún día van a crear tecnología en la que ni siquiera tendrás que conducir el auto. Habrá algún tipo de solución electrónica en la que los coches se conducirán solos y apenas habrá accidentes. Y tres, cuatro décadas después, Google está probando este tipo de tecnología. Coches sin conductor. Creo que son cosas del tipo George Jetson.
