requeridas, puesto que habían empezado a resentirse por mi falta de sueño debido al phreaking. El sr. Kris no estaba seguro de dejarme acceder, por lo que le hice una demostración de phreaking diciéndole su número de teléfono no registrado y el de sus hijos. Dijo: “¡Esto es magia!” y me dejó asistir a clase.
»Nuestro primer programa asignado fue un Fortran para calcular números de Fibonacci, que yo encontré bastante aburrido. Fuí a la universidad local, Northridge, para intentar que me dejaran pasar más tiempo entre sus ordenadores. Allí tenían los mismos ordenadores y el mismo sistema operativo. Pero no conseguí más de 5 minutos, por lo que me dirigí al responsable del taller de informática y le pedí más tiempo. Me dijo que yo no era alumno de esa escuela y que no debería estar ahí, pero como percibió mi gran interés por los ordenadores, para animarme, me dio su cuenta de acceso personal y su contraseña para que practicara con ello. ¿Podéis creerlo? Así es como yo, en esos momentos pasaba los días entre ordenadores.
»Empecé aprendiendo sobre llamadas al sistema de bajo nivel. Era sorprendente que esto no me lo enseñaran en el instituto. En el instituto, todos compartíamos un módem de marcación telefónica con acoplador acústico. El módem siempre estaba encendido y la gente debía conectarse y desconectarse para acceder al terminal y al módem. Desarrollé un programa de bajo nivel que se mantenía activo en segundo plano y registraba todo cuanto se tecleaba, incluidos los nombres de acceso y las contraseñas.
»Cuando llegó el día en que los alumnos del sr. Kris tenían que mostrar cuántos números de Fibonacci habían calculado los programas asignados de la clase, yo no tenía nada. El sr. Kris me amonestó delante de toda la clase por cómo me había dejado acceder a su clase y se había arriesgado por mí y, llegado el momento, yo no tenía nada que mostrarle. Toda la clase me miraba. Yo le dije: “Bueno, he estado demasiado ocupado escribiendo un programa para identificar su contraseña... ¡y su contraseña es johnco!”. Me dijo: “¿Cómo lo has hecho?” Se lo expliqué, me felicitó y dijo ante toda la clase que yo era un genio de los ordenadores. No se enfadó en absoluto. Esta fue, seguramente, la primera mala lección de ética que aprendí».
Le pregunté a Mitnick qué deberían hacer los padres si intuyen que su hijo se dedica al hackeo malicioso. Y él me respondió: «Mostrarle cómo hackear legalmente. Canalizar sus intereses hacia oportunidades legales y éticas, como ir a conferencias sobre seguridad informática y participar en concursos del tipo “Atrapa la bandera” Los padres deben desafiar a sus hijos diciéndoles cosas como: “Crees que eres lo suficientemente bueno para participar en un concurso como el de Atrapa la bandera?” Los padres pueden aplicar ingeniería social al niño, y el niño tendrá la misma emoción y excitación, pero de una forma legal. Hoy mismo acabo de hackear legalmente una empresa y he sentido la misma emoción que sentía cuando no hacía cosas éticas y legales. Desearía haber tenido entonces las formas legales para hackear que existen actualmente. Me gustaría poder volver atrás y actuar de forma distinta. ¿Sabéis lo único que distingue el hackeo legal del ilegal? ¡Escribir un informe!».
Le pregunté a Mitnick, con su experiencia en ambos lados del muro, cómo se sentía ante el derecho del Gobierno de saberlo todo versus el derecho individual a la privacidad. Y dijo: «Creo que todos tenemos un enorme derecho a la privacidad. De hecho, mi último libro, The Art of Invisibility [El arte de la invisibilidad], trata sobre cómo se puede mantener la privacidad. Creo que es muy difícil mantenerse en privado ante entidades como la NSA o el Gobierno, con fondos ilimitados. Quiero decir que, si ellos no pueden romper tu encriptación, pueden utilizar simplemente uno de sus ataques de día cero y acceder a tu ordenador, y si no, comprar uno. Por 1,5 millones de dólares puedes comprar un día cero de Apple y por medio millón de dólares, uno de Android, entre otros. Si tienes el dinero y los recursos suficientes, tendrás la información que buscas. Como digo en The Art of Invisibility, creo que tengo una manera de que incluso funcione contra ellos, pero es muy difícil de llevar a cabo e involucrar a muchos elementos de un proceso OPSEC (seguridad operacional). Pero creo que se puede hacer de una manera que incluso la NSA o el Gobierno tendrían dificultades para parar. Yo entiendo la necesidad de un Gobierno de saber ciertas cosas, como en temas de terrorismo, pero es que ellos quieren saberlo todo de todos. Si te están vigilando, cambias tu comportamiento, lo que significa que tienes menos libertad. Yo creo que no se puede ser libre sin privacidad».
Acabé la entrevista recordando a Mitnick que ya habíamos coincidido brevemente en una conferencia sobre seguridad donde él iba a ser el ponente principal después de mi intervención. Al pasar por mi lado, se dio cuenta de que necesitaba un USB para poder incluir su presentación en el ordenador portátil del presentador situado en el escenario. Yo llevaba uno en el bolsillo y se lo ofrecí. Él lo tomó, pero, después de pensarlo durante unos segundos, cambió de opinión y dijo que no se fiaba de ningún USB que no fuera suyo. Algunas personas que estaban cerca se rieron de su paranoia. Después de todo, no puedes infectarte a través de un dispositivo USB —o eso es lo que creía la gente en esos momentos—. Lo que nadie sabía era que yo había descubierto cómo iniciar automáticamente cualquier programa desde un dispositivo portátil (mediante un truco con un archivo oculto denominado desktop.ini, que más tarde utilizó el programa malicioso Stuxnet), y por casualidad el USB tenía una versión de demostración de este ataque. Esto no significa que quisiera infectar de forma intencionada a Mitnick. Lo que ocurrió fue simplemente que estaba en todos los USB que tenía en ese momento y que yo le ofrecí uno de ellos cuando lo pidió.
La paranoia constante de Mitnick le salvó de mi ataque de día cero. Esto también sirvió para demostrar que es difícil engañar a un ingeniero social profesional que está en su mejor momento.
Para más información sobre Kevin Mitnick
Si deseas más información acerca de Kevin Mitnick, consulta estos recursos:
■ Sitio web de Kevin Mitnick: https://mitnicksecurity.com/
■ Ghost in the Wires
■ The Art of Invisibility
■ The Art of Deception
■ The Art of Intrusion
■ Kevin Mitnick Security Awareness Training, de KnowBe4: https://www.knowbe4.com/products/kevin-mitnick-security-awareness-training/
■ Slashdot Q&A, de Kevin Mitnick: https://news.slashdot.org/story/11/09/12/1234252/Kevin-Mitnick-Answers
6
Vulnerabilidades de software
Las vulnerabilidades de software son debilidades susceptibles (es decir, «errores») en el software, a menudo a partir de defectos explotables escritos por el desarrollador o inherentes al lenguaje de programación. No todos los errores de software son vulnerabilidades de seguridad. Para llegar a ser amenaza o riesgo, el error debe ser explotable por un atacante. La mayoría de los errores de software causan problemas de funcionamiento (que en muchas ocasiones el administrador ni siquiera llega a percibir) o incluso una interrupción fatal en el procesamiento, pero no pueden ser aprovechados por un atacante para obtener acceso no autorizado al sistema.
Las vulnerabilidades explotables del software son responsables de un amplio (no el más amplio) porcentaje de ataques en un periodo de tiempo determinado, a pesar de que otros métodos de hackeo (como los troyanos
