El 15 de febrero de 1995 el FBI lograba dar caza a Kevin Mitnick, el considerado por el New York Times como "el hacker más buscado de todo el ciberespacio". Mitnick acabaría pasando cinco años en prisión por diversos delitos, incluidos ocho meses en una celda de aislamiento.
¿Por qué tanto tiempo en aislamiento? Pues porque alguien convenció al juez de que era capaz de "iniciar una guerra nuclear silbando en un teléfono público". Aquella decisión aumentó el mito de un hacker que logró mucho más por su habilidad con la ingeniería social que por su capacidad técnica.
Un fantasma en el sistema
Mitnick ha escrito cuatro libros hasta la fecha, aunque el más biográfico de todos ellos es 'Un fantasma en el sistema' (2011, Capitán Swing). Es en este volumen de casi 500 páginas en el que el hacker —con la ayuda del escritor William L. Simon— relata toda su historia, desde que se inició en este ámbito hasta que fue arrestado por el FBI para luego ser juzgado y encarcelado.
Mitnick descubrió muy pronto a aprovechar las debilidades de los sistemas que usaba en su día a día. Todo empezó con los billetes de autobús que usaba para desplazarse en Los Ángeles, y que contaban con una forma particular de estar agujereados según el día, la hora o la ruta de cada autobús.
El joven Mitnick logró descubrir dónde comprar la máquina con la que se agujereaban esas tarjetas, consiguió un montón de tarjetas preparadas para ser perforadas en una terminal en el que los conductores dejaban sus libros de tarjetas sin vigilancia, y así fue como acabó viajando de un lado a otro de la ciudad sin pagar. Nadie le paró los pies entonces, como afirma en el libro:
A mi madre le parecía ingenioso, a mi padre le parecía una muestra de iniciativa y a los conductores de autobús que sabían que yo picaba mis propios billetes de transbordo les parecía una cosa muy graciosa. Era como si toda la gente que sabía lo que estaba haciendo me diera palmaditas en la espalda.
El mago de la ingenería social
Puede que aquella primera aventura con premio (y sin castigo) acabara definiendo su actividad posterior, que pronto acabaría centrándose en la ingeniería social, una práctica con la que lograba obtener información de todo tipo de sistemas manipulando a usuarios legítimos de esos sistemas. Los actuales ataques de phishing son una forma alternativa de aprovechar esta técnica.
La técnica básica era (y es) tan eficiente como simple, y Mitnick la repetía constantemente. En uno de sus primeros ataques de ingeniería social explicaba cómo necesitaba un número de solicitante para "pinchar" el Departamento de Vehículos de Motor (DMV). Para lograrlo llamó a una comisaría y se hizo pasar por alguien del DMV. Allí le preguntó al interlocutor: "¿Su código de solicitante es el 36472?", a lo cual el agente contestó: "No, es el 62883". Mitnick destacaba lo bien que funcionaba aquello:
Es un truco que he descubierto que funciona muy a menudo. Si pides información confidencial, la gente, naturalmente, sospecha de inmediato. Si finges que ya tienes esa información y dices algo que está mal, la gente suele corregirrte y te recompensa con la información que estabas buscando.
Ese principio básico de la ingeniería social se unía a otro esencial: la gente suele ser el eslabón más débil de una cadena de seguridad, porque "la gente siempre esa intención de ayudar".
En el libro queda patente cómo la combinación de ambas técnicas le dio a Mitnick unos resultados asombrosos. En todos esos ataques de ingeniería social había un tercer componente, claro: este hacker debía conocer con bastante detalle el entorno de la información que buscaba: formato de los códigos que necesitaba, prefijos de teléfono, nombres y cargos de los empleados, o funcionamiento burocrático de esos procesos para conseguir ciertos documentos, por ejemplo.
Toda esa información le permitía a Mitnick afrontar esas llamadas telefónicas con la seguridad de poder conseguir la respuesta buscada aun cuando en el otro extremo de la comunicación había alguien que sospechaba de si quien pedía la información lo hacía de forma legítima. Mitnick tenía una habilidad natural para mentir y engañar a sus víctimas —practicaba mucho para reforzarla— incluso cuando estas planteaban preguntas adicionales para comprobar su identidad.
Eso le permitió combinar aquellas técnicas de ingeniería social con exploits reales en los sistemas a los que lograba acceso para conseguir lo que quería. Uno de los primeros ejemplos lo tenemos en su intrusión en un sistema llamado 'The Ark' que la empresa Digital Equipment Corporation (DEC) usaba para desarrollar su sistema operativo RSTS/E.
Mitnick contaba con el número de teléfono que daba acceso al sistema, pero no tenía usuario y contraseña, así que se hizo pasar por uno de los desarrolladores de RSTS/E para pedirle a un administrador que le reseteara la contraseña con la excusa de que no podía autenticarse en la que usaba siempre.
En cinco minutos había logrado acceso al sistema aprovechando esas técnicas, y más tarde haría uso de procesos similares para luego dejar pequeños troyanos con los que recolectaba contraseñas de otros usuarios o dejaba puertas traseras con las que poder acceder a estos sistemas posteriormente sin ser descubierto.
Puede que sus conocimientos técnicos no fueran tan llamativos como su habilidad con la ingeniería social, pero a lo largo del libro Mitnick hace referencia a intrusiones en las que esa ingeniería social solo era parte del proceso. Román Ramírez, experto en ciberseguridad y organizador de la conferencia Rooted CON, nos confirmaba cómo por ejemplo Minick "era muy bueno y usaba una técnica muy potente de secuestro de sesiones TCP que era difícil de realizar en aquella época". Aquel ataque, con el que accedió por ejemplo al ordenador de Tsutomu Shimomura, fue más tarde conocida como 'El ataque Mitnick'.
Buena parte de su actividad en los primeros años, no obstante, se centró en las redes telefónicas: Mitnick hizo uso de la ingeniería social investigando la jerga y la infraestructura del sistema para conseguir códigos y números secretos que le permitían hacer escuchas telefónicas, acceder a números que no estaban en el listín o hacer llamadas de larga distancia.
En cierto punto llegó a tener un control excepcional de la red de Pacific Bell, e incluso acabó haciendo escuchas a los agentes del FBI que estaban investigando el caso y que trataban de arrestarle. En el libro, por ejemplo, explica cómo puso en marcha un sistema que permitió alertarle de cuándo iba a organizarse una redada para que pudiera escapar a tiempo, e incluso en una de las ocasiones acabó gastándole una broma a los agentes y dejándoles unos donuts.
Sus habilidades también se extendieron a otros ámbitos como el de la suplantación de identidad, un proceso que también logró controlar para disponer de varias identidades alternativas que podía usar durante su huida.
El proceso para lograrlo fue relativamente sencillo, y en la época había un conocido libro de Barry Raid titulado "The Paper Trip" que explicaba todo el proceso al detalle y del cual acabarían apareciendo tres volúmenes adicionales. Conseguirlo en la actualidad, explicaba Mitnick en DEFCON 2014, es igualmente posible.
Héroe y villano a partes iguales
Durante su persecución, captura y posterior condena, la figura de Kevin Mitnick trascendió para convertirse en el referente de un segmento que por entonces estaba aún en pañales y que solo habíamos conocido a través de películas como la célebre 'Juegos de Guerra' (Wargames', John Badham, 1983). Como explicaba el propio hacker,
A pesar del mito creado por los medios, no soy un hacker malicioso. Lo que hice ni siquiera era ilegal cuando empecé, pero se convirtió en un delito cuando se aprobaron nuevas leyes. Seguí haciéndolo y fui capturado. La forma en la que me trató el Gobierno Federal no se basó en mis delitos, sino en convertirme en un ejemplo.
Durante buena parte del tiempo que pasó en prisión los responsables y seguidores de la famosa revista '2600: The Hacker Quaterly' organizaron una campaña llamada 'FREE KEVIN' en la que trataban de que la justicia de Estados Unidos liberara a Mitnick. Aquella campaña supuso el contrapunto a la imagen de villano que John Markoff, periodista de The New York Times, había dado de Mitnick en un célebre artículo del 4 de julio de 1994.
En aquel artículo Markoff calificaba a Kevin Mitnick como "el más buscado del ciberespacio" y le atribuía delitos como los de haber accedido al NORAD (North American Air Defense Command), algo que el hacker afirmaba que era imposible si tenemos en cuenta que sus sistemas estaban aislados de internet.
Muchos —empezando por Mitnick— criticaron aquella información, afirmando que se basaba en rumores y afirmaciones del gobierno que nunca habían sido demostradas.
Los responsables de '2600' acabaron produciendo un documental llamado 'Freedom Downtime' —disponible íntegramente en YouTube— que narraba todos los hechos y que incluía entrevistas al hacker Kevin Poulsen o al propio John Markoff.
Markoff colaboró en la persecución del FBI a Mitnick junto a Tsutomu Shimomura, que en aquella época trabajaba en la Universidad de California en San Diego. Algún tiempo atrás Mitnick se había infiltrado en aquella institución, y también accedió al correo de John Markoff, que analizó para saber si había pistas que le ayudaran a eludir al FBI.
Markoff y Shimomura acabarían escribiendo su propia versión de los hechos en su novela 'Takedown' (1996, Hyperion), que incluso fue llevada al cine.
El libro de Mitnick no solo narra las "aventuras del hacker más buscado del mundo", sino que también lo hace tratando de defender que en todo momento no aprovechó todas aquellas intrusiones en su propio beneficio. En una entrevista en el año 2000 en El Mundo Mitcnick explica cómo
Nunca fui capaz de robar dinero. Y eso que hoy podría ser multi-millonario y vivir el resto de mis días al sol del Caribe. Pero la conciencia me lo impidió. Lo que me impulsaba a hacer lo que hacía era la euforia del descubrimiento científico, el placer que se experimenta cuando se resuelve un problema matemático difícil.
Esas afirmaciones podrían contrastar con hechos que el propio Mitnick narra en su libro y en las que robó código de sistemas operativos como Solaris o los teléfonos de Motorola. Pero como él mismo explica, conseguir aquel código era una forma de "entender cómo funcionaban esos teléfonos, cómo los códigos controlaban el procesador". Aún así, reconoce que aquello era un error:
No estaba interesado en vender el código fuente o hacer ago con él. Era sobre todo el reto de lograr conseguir ese código. No estoy especialmente orgulloso de ello porque obviamente no estaba bien. Tomé una decisión estúpida y decidí ir tras ese código.
De hacker a conferenciante y consultor de seguridad
Tras su salida de la cárcel en enero de 2000, a Mitnick se le prohibió un ordenador o incluso un teléfono móvil durante los tres años siguientes. Apeló aquella decisión y logró una sentencia a su favor para poder usar esos dispositivos, pero tuvo que acceder a no obtener beneficios económicos de películas o libros basados en su actividad durante 7 años.
En diciembre de 2002 a Mitnick se le consideró "suficientemente rehabilitado" y se le concedió una licencia de radioaficionado, y posteriormente acabaría fundando Mitcnick Security Consulting LLC, una empresa de seguridad informática en la que se dedica básicamente a lo mismo que hacía antes de ser arrestado, pero con el permiso expreso de las empresas que le contratan para que analice su seguridad.
Mitnick da conferencias por todo el mundo y se ha convertido en una figura pública también en redes sociales como Twitter. Además de la empresa que lleva su nombre, es el Chief Hacking Officer de KnowBe4, otra empresa de consultoría y formación en seguridad informática.
En Genbeta | Phreaking, phreaks y Blue Boxes: historia del hacking telefónico
Ver 7 comentarios