Kevin Mitnick en México #C4XPO
ventanas o grandes espacios limitaban la ventilación del lugar, y
aunque la temperatura no pasaba de los 25 grados centígrados, para
muchos de los asistentes el calor y lo sofocado del lugar era reflejo
de cuerpos derretidos, al menos en sudor.
pasaba, porque una brisa de aire lograba escaparse y entrar hasta el
escenario, la tranquilidad del momento se esfumaba con el movimiento de
una mano o el sacudir del cuerpo, en busca de alejar a las cientos,
“miles” decían algunos, de moscas que volaban dentro del auditorio. Y
si bien, su naturaleza o mera existencia no era la de molestar, y aun
así lograban el cometido de desesperar hasta al más paciente de los
asistentes.
Pero permanecieron, todos y
cada uno de los visitantes, resistieron el calor, los zumbidos y las
decenas de cosquilleos que aterrizaban sobre sus cuerpos. Ninguno
cedió, pues para muchos la posibilidad de ver en persona a Kevin Mitnick,
en su momento de los hackers más buscados y perseguidos por el FBI y
las autoridades estadunidenses, era suficiente razón para soportar las
inclemencias del lugar.
Mitnick, de traje azul, refleja
actualmente más la figura de un empresario, que la de un fugitivo (en
su momento) o hacker culpado y sentenciado de haber robar propiedad
intelectual y penetrado en los sistemas de compañías como Motorola,
Nokia, Fujitsu, Pacific Bell, por sólo mencionar algunas.
Una
actividad que él mismo reconoció como un mero pasatiempo, un reto a sus
habilidad y a sus conocimientos. Contrario a los industria actual del
cibercrimen.
“Yo lo hacía por diversión y entretenimiento, por
la búsqueda de conocimiento. Hoy, las tendencias del hackeo son
totalmente distintas: los que corrompen sistemas lo hacen en busca de
información como los números de tus tarjetas de crédito. Yo soy de la
vieja guardía, lo hacia más por el reto de lograrlo, como si fuera un
videojuego para mi”, comparte Mitnick.
La voz de Mitnick, hoy es
la de un ejecutivo que domina los escenarios, a la prensa y las
multitudes, y no la de un hacker arrestado que sirvió cinco años de
prisión, cuatro de ellos previo al juicio, más 8 meses en aislamiento
total.
Durante su conferencia en el marco del c4expo Mitnick
abordó lo que para él representa el arma más letal de todo aquel que
desee vulnerar sistemas o infraestructura tecnológicas o ganar acceso a
información o datos confidenciales; la ingeniera social.
“¿Por
qué la ingeniera social es la mejor arma de los hackers? Primero que
nada porque opera y funciona sobre cualquier plataforma o sistema
operativo, porque no requieres acceder o quebrantar registros o
firewalls y porque para ejecutarla no necesitas realmente muchos
conocimiento de informática”, afirma.
De esta forma, reconoció
Mitnick, que muchas veces la cordialidad, amabilidad y el saber cómo
pedir las cosas son elementos suficientes para obtener información o
datos privados de las personas.
“Se ha demostrado que a cambio
de boletos o plumas gratis 100% de las personas son capaces de entregar
sus nombres completos, 94% dan su fecha de nacimiento, 90% la escuela
donde estudiaron y 92% su teléfono personal o el de su hogar”, advierte.
Mucha
de esta información es la paso inicial para el robo de identidades,
fraudes financieros, ataques de phishing. Sin embargo, el ex-hacker
reconoce que la tecnología también está a disposición de los criminales
en busca de datos personales.
“El primer paso de todo ataque de
ingeniería social es ganarse la confianza de la víctima, posteriormente
pueden utilizar esta confianza para instalar en los sistemas de cómputo
elementos o herramientas para completar el robo de información como
troyanos, keyloggers o códigos maliciosos”, comparte.
Pero las
palabras no dicen nada sin los actos y durante su presentación Mitnick
realizó una demostración de dos intentos de hackeo y robo de
información en tiempo real.
Primero, como si se tratara de un
curso de programación para principiantes, Mitnick logró instalar un
troyano, a través de una vulnerabilidad en un archivo PDF de Adobem,
que le otorgó acceso remoto al equipo infectado, el cual le permitió
registrar las teclas, acceder al registro de navegación Web, hacer
capturas de la pantalla o incluso encender o apagar la cámara web del
equipo.
En el segundo caso, mediante un PBX falso y un correo
electrónico falso, supuestamente proveniente de una institución
financiera, el experto en seguridad IT ejecutó un ataque de Man in the
middle, comúnmente utilizado para el robo de cuentas bancarios o claves
de acceso.
“En ambos casos el problema son las personas. Porque
se creen inmunes a todo, son extremadamente confiados, siempre buscan
como ayudar al otro, incluso sin conocerlo, tienden a subvaluar la
información y casi nunca piensan en las consecuencia de sus actos”. En
otras palabras, la ingeniera social es la mejor arma del hacker, porque
depende totalmente de las personas y su educación o políticas de
seguridad.
Contrario a mejorar
ironiza Mitnick la dependencia de la humanidad hacia la tecnología, el
internet y los dispositivos electrónicos, únicamente traerán más
complejidades y problemas a la operación de la sociedades modernas.
“La
complejidad trae consigo vulnerabilidades. Cuando me arrestaron estuve
un año en confinamiento porque decían que con sólo silbar a un teléfono
celular era capaz de lanzar un ataque nuclear. Eso es ficción, pero hoy
en día personas malintencionadas pueden devastar la operación de un
hospital mediante un ataque cibernético, y eso es totalmente real y
posible”, reitera.
Aún así, el mismo Mitnick afirma que estamos lejos de un mundo con ciberguerras o poblado de ciberterroritsas.
“Bueno
o malo, la gran realidad es que los grupos terroristas o militares
todavía prefieren estrellar aviones contra edificios, colocar armas
biológicas en una estación de metro o volar un auto en medio de
Manhattan. Eso, causa más terror que vulnerar o tirar un sistema
tecnológico”, comenta.