Para Kevin Mitnick, el hacker que en los 90 puso en jaque al FBI, no es necesaria una super-ciberarma para vulnerar con efectividad cualquier sistema, bastan algunos gadgets bastante simples y el uso de la ingeniería social.
Por Eleconomista.com.mx. Kevin Mitnick es un tipo bonachón, que genera confianza apenas lo ves entrar al escenario. También es alguien que puede acceder a los sistemas de las empresas más protegidas del mundo. “Alguien présteme una contraseña de Banamex.... ¡Debemos compartir, todos somos amigos!”, dijo Mitnick mientras reía socarronamente en un evento de ciberseguridad organizado por Microsoft.
Halagar a los empleados de un banco, confiar en la respuesta afirmativa de un call center, aprovecharse de aquellos usuarios de redes wifi públicas o de la inseguridad que genera en un cliente el aviso de un cambio en sus cuentas bancarias son algunas formas de manipulación de las emociones que aprovechan hackers de todo el mundo para realizar cualquier tipo de ciberataques contra empresas, gobiernos e individuos.
Para Kevin Mitnick, el hacker que en los 90 puso en jaque al FBI, no es necesaria una super ciberarma para vulnerar con efectividad cualquier sistema, bastan algunos gadgets bastante simples y el uso de la ingeniería social.
Durante el evento S4F3 Ciberseguridad, organizado por Microsoft, Mitnick habló de sus inicios en el mundo del hacking, a finales de la década de los 70, cuando apenas era un adolescente. Mitnick comenzó a convertirse en hacker cuando su pasión por los trucos de magia lo llevó a realizar pequeños trucos usando teléfonos, algo que era conocido como phone phreaking, con el que podía, entre otras cosas, llamar sin costo a cualquier teléfono del mundo ingresando un código de cinco dígitos.
“Algunos genios de la tecnología como Steve Wozniak y Steve Jobs también comenzaron haciendo phone phreaking. Construyeron un pequeño dispositivo llamado blue box, con el que podían controlar el sistema de cualquier teléfono que se encontrara cerca”, dijo Kevin Mitnick al inicio de su conferencia.
La confianza de los clientes, empleados y usuarios en general fue el tema central de la plática de Mitnick. “Cuando empecé a tomar clases de ciencias de la computación y escribí un programa con el que podía visualizar todas las contraseñas de mis profesores para acceder a la computadora de la escuela, su respuesta fue de sorpresa y admiración”, dijo Mitnick.
En aquel tiempo, la confianza de los profesores de Mitnick en sus habilidades como programador les impidió ver las consecuencias que podrían tener en el futuro, más aún cuando nadie sabía que el Internet y la conectividad potenciarían las capacidades de estos jóvenes que se divertían creando pequeños programas con códigos muy sencillos.
El hacker que a inicios de la década de los 80 entró de forma ilegal a ARPAnet (la predecesora de Internet) y trató de acceder a la computadora del Pentágono, y que 10 años después, fue encontrado culpable por lanzar ataques contra ordenadores de compañías como Motorola, Apple y Qualcomm, contó también una historia que aparece en el documental de Werner Herzog, Lo and Behold: ensueños de un mundo conectado, que básicamente se resume en cómo el jefe de Seguridad de Motorola le ofreció una contraseña para poder acceder de manera remota a la última versión del sistema operativo del teléfono celular MicroTAC Ultra-Lite sin siquiera pedirle que se identificara.
En este sentido, gracias a la ingeniería social, sólo es necesario encontrar una pequeña vulnerabilidad, la cual recae la mayoría de las veces en un individuo, para vulnerar los sistemas de cualquier compañía o gobierno. Tal vez esta revelación sea la principal causa de que Mitnick cuente con un récord de 100% de penetración en los sistemas de las 40 compañías que lo han contratado para realizar pruebas de sus mecanismos de seguridad.
El hacker realizó una demostración de algunas de las estrategias que ha utilizado para aprovechar estas pequeñas vulnerabilidades de las que, en muchos casos, tanto las empresas como los individuos no se preocupan.
“Muchas compañías no se preocupan por la seguridad física de sus sistemas o inmuebles. Pueden tener cuerpos de seguridad armados y aun así, un hacker puede acceder al edificio de un banco, por ejemplo”, dijo Mitnick, quien recordó cómo es que había logrado hacer un duplicado de una tarjeta de acceso al edificio de un importante banco en Estados Unidos utilizando un dispositivo capaz de acceder a estas tarjetas a una distancia de 10 centímetros y halagando a una de las recepcionistas del banco para que le mostrara su identificación.
Otro de los ejemplos que ofreció Mitnick fue el de un dispositivo que permite generar una red wifi propia, con la que cualquier individuo, en cualquier aeropuerto, cafetería o espacio público, puede aprovecharse de quienes buscan una conexión abierta para enviar un correo electrónico, hacer una transferencia bancaria o simplemente, entrar a su cuenta de Facebook, y tomar control del dispositivo para robar toda la información que se encuentra almacenada en éste.
Las recomendaciones que hizo Kevin Mitnick para mitigar este tipos de hackeos y evitar así un potencial ciberataque son las mismas que hacen la mayoría de los expertos en ciberseguridad: actualizar los sistemas de los equipos constantemente, no acceder a redes wifi públicas, exigir a los fabricantes que creen constantes medidas de seguridad adicionales y no abrir enlaces no verificados para no ser víctimas de phishing.
Lo más valioso de la conferencia de uno de los hackers más famosos del mundo no está relacionada con estas recomendaciones, sino con la pregunta sobre si la confianza y el control de las emociones se encuentran en el centro de cualquier tipo de vulnerabilidad cibernética.