6 de agosto de 1963) es uno de los crackers y Phreakers más famosos de los Estados Unidos. Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunos de los ordenadores más "seguros" de EE.UU. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electrónicos.
El caso de Kevin Mitnick (su último encarcelamiento) alcanzó una gran popularidad entre los medios estadounidenses por la lentitud del proceso (hasta la celebración del juicio pasaron más de dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su supuesta peligrosidad).
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía "Mitnick Security"(Anteriormente llamada: Defensive Thinking).
La vida de Kevin Mitnick y, en especial, la persecución que condujo a su captura en 1995 han dado lugar a multitud de libros y otro material de ficción. De entre todos, destaca la novela Takedown, que relata su último arresto. Y de la cuál han sacado una película con el mismo título, "Takedown" , en el año 2000.
Ingeniería social
Kevin Mitnick se dedica a la consultoría desde la óptica particular de la ingeniería social, considera que más allá de las técnicas de hardware y software que se pueden implementar en las redes, el factor determinante de la seguridad de las mismas es la capacidad de los usuarios de interpretar correctamente las políticas de seguridad y hacerlas cumplir.
Considera que todos podemos fallar fácilmente en este aspecto ya que los ataques de ingeniería social, muchas veces llevados a cabo solo con ayuda de un teléfono, son basados en cuatro principios básicos y comunes a todas las personas:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.
Fundamentando estos conceptos, relató el 27 de mayo de 2005 en Buenos Aires (Argentina) en una de sus conferencias, el modo a través del cual pudo acceder fácilmente al código de un teléfono móvil en desarrollo, incluso antes de su anuncio en el mercado, con sólo 6 llamadas telefónicas y en escasos minutos.
Televisión y libros
- Mitnick aparece en el documental de Discovery Channel The history of hacking.
- Ha editado varios libros sobre el tema seguridad informática como The art of deception y The art of intrusion.
Desde muy joven sintió curiosidad por los sistemas de comunicación electrónica, cultivando y desarrollando un deseo cuasi obsesivo por investigar, aprender y lograr objetivos aparentemente imposibles. En la adolescencia Mitnick ya se había convertido en todo un fenómeno. A los 16 años marca su primera línea tras la barrera del lado oscuro, del que ya nunca se separaría: se saltó la seguridad del sistema administrativo de su colegio; sin embargo, no lo hizo para alterar las calificaciones escolares, como podría pensarse, sino solo para mirar.
De aquí en adelante comenzaría su andadura como delincuente. La fecha, 1981. Kevin y dos amigos suyos irrumpieron en las oficinas de Cosmos (Computer System for Mainframe Operations) de la compañía Pacific Bell que era una base de datos utilizada por la mayor parte de las compañías telefónicas norteamericanas para controlar el registro de llamadas -. Una vez allí obtuvieron la lista de claves de seguridad, la combinación de las puertas de acceso de varias sucursales, y manuales del sistema COSMOS, entre otras cosas. De hecho, se comentó que lo sustraido por Mitnick y sus amigos tenía un valor equivalente a 170.000 euros.
Usando ingeniería social utilizaron sus seudónimos y números de teléfono en uno de los escritorios de la habitación. Así, usaron el nombre falso de John Draper, quien era un programador informático muy conocido, y también un legendario phreaker conocido como Captain Crunch. Los números de teléfono fueron derivados a otras rutas. Sin embargo, esta actuación estaba lejos de considerarse un éxito. Un directivo de una compañía telefónica pronto descubrió estos números de teléfono y lo puso en conocimiento de la policía local que comenzó a investigar. Debido a que la novia de uno de sus amigos, intimidada por lo que pudiera pasar les delató a la policía, Mitnick fue condenado por una corte juvenil a tres meses de cárcel y a un año bajo libertad condicional, gracias a que todavía era menor de edad. Ese fue su primer paso por la cárcel, que no el último.
Una de las historias curiosas relacionada con esta etapa de Mitnick tiene que ver con el oficial encargado de su caso. Al cumplir los tres meses de prisión, lo primero que hizo Mitnick fue dejarle una sorpresita al susodicho. El oficial se encontró con que su teléfono había sido desconectado y todos sus datos de registro en la compañía telefónica habían sido borrados. A partir de aquí, todo sucedió con una celeridad inquietante.
Se comenta que Mitnik adoptó su alias o nombre de guerra (Cóndor) después de haber visto la película protagonizada por Robert Redford Los tres días del Cóndor, ya que en cierto modo se sentía identificado con el protagonista. Redford encarnaba a un empleado de la Agencia Central de Inteligencia de Estados Unidos (CIA) que se ve envuelto en un turbio asunto que continúa con una implacable persecución. Su nombre en clave es cóndor y Redford utiliza su experiencia para manipular el sistema telefónico y evitar ser capturado.
Su siguiente arresto tuvo lugar poco después; en 1983, por un policía de la Universidad del Sur de California donde había tenido algunos problemas unos años antes. Mitnick fue capturado por usar un ordenador de la universidad para obtener acceso (ilegal) a la red ARPAnet (la predecesora de Internet). De hecho fue descubierto entrando en un ordenador del Pentágono a través de ARPAnet, y fue sentenciado a seis meses de cárcel en una prisión juvenil de California (California Youth AthorityŽs Karl Holton Training School). Una vez puesto en libertad, obtuvo la licencia de X Hacker (...)
En 1987 Mitnick parecía estar realizando un cambio en su vida, y comenzó a convivir con una joven que estaba dando clases de informática con él en una escuela local. Después de un tiempo, de cualquier forma, su obsesión emergió y s utilización de números de tarjetas de crédito telefónicas ilegales condujo a la policía hasta el apartamento que Mitnick compartía con su novia en el pueblo Thousand Oaks, California. Mitnick fue acusado de robar software de Microcorp Systems, una pequeña empresa californiana de software, y ese mismo mes de diciembre era condenado a tres años de libertad condicional.
Después de esto Mitnick, solicitó un empleo en el Security Pacific Bank como encargado de la seguridad de la red del banco, pero este lo rechazó precisamente por sus antecedentes penales. La respuesta de Mitnick fue falsificar un balance general del banco donde se mostraban pérdidas por 400 millones de dólares y trató de difundirlo por la red. Sin embargo, el administrador de la red detuvo esta acción a tiempo.
Ese mismo año inicio el escándalo que lo lanzo a la fama. De 1987 a 1988 Kevin y su gran amigo, Lenny DiCicco, se enzarzaron en una lucha electrónica continua contra los científicos del laboratorio de investigación digital de Palo Alto. Mitnick estaba obcecado en obtener una copia del prototipo del nuevo sistema operativo de seguridad llamado VMS y estuvo intentando conseguirlo obteniendo la entrada a la red corporativa de la empresa, conocida coo Easynet. Los ordenadores del laboratorio digital de Palo Alto parecían simples, por lo que cada noche y con inestimable persistencia, Mitnick y DiCicco lanzaban sus ataques desde una pequeña compañía californiana (Calabasas), donde DiCicco trabajaba de técnico de soporte. Aunque la empresa descubrió los ataques casi inmediatamente, no sabían de dónde venían. De hecho ni el propio FBI podía fiarse de los datos obtenidos de las compañías telefónicas ya que Mitnick se ocupaba de no dejar rastro alterando el programa encargado de rastrear la procedencia de las llamadas y desviando el rastro de su llamada a otros lugares. En una ocasión, el FBI, creyendo que había encontrado a Mitnick, irrumpió en la casa de unos inmigrantes que estaban viendo la televisión, para asombro de estos y aquellos.
Sin embargo, ya se encontraban sobre la pista de Mitnick, y este, atemorizado por la posibilidad de que le cogieran, traicionó a su compañero y trató de poner a los federales bajo la pista de DiCicco, haciendo llamadas anónimas al jefe de este que trabajaba en una compañía de software como técnico de soporte. Viendo la traición de Mitnick, DiCicco finalmente se lo confesó todo a su jefe que lo notificó al DEC (Digital Equiment Corporation ) y al FBI. Al poco, un equipo de agentes del departamento de seguridad telefónica logró apresarle. Era 1988.
Aunque el DEC reclamaba que Mitnick había robado sofware por valor de varios millones de dólares, Kevin fue acusado de fraude informático y por posesión ilegal de códigos de acceso de larga distancia. Se trataba de la quinta ocasión en que Mitnick había sido arrestado por un caso de crimen informático y el caso atrajo la atención de la toda la nación, gracias a una inusual táctica de la defensa. La defensa solicitaba un año de prisión y seis meses en un programa de rehabilitación para tratar su adicción a los ordenadores. Fue una extraña táctica de defensa, pero un juzgado federal, después de dudar, pensó que había algún tipo de relación psicológica entre la obsesión de Mitnick por entrar en los sistemas informáticos y la adicción a las drogas o a las tragaperras y se le dio el visto bueno. Después del periodo carcelario y su temporada con psicólogos, donde le fue prohibido acercarse a un ordenador o un teléfono (llegó a perder 45 kilos de peso), Mitnick se marchó a Las Vegas y consiguió un empleo de programador informático de bajo nivel en una empresa de envío de listas de correo.
En 1992 Mitnick se mudó al área del Valle de San Fernando después de que su medio hermano muriera de una aparente sobredosis de heroina. Allí tuvo un breve trabajo en la construcción, que dejó al obtener un empleo a través de un amigo de su padre, en la Agencia de Detectives Tel Tec. Tan pronto como comenzó a trabajar, alguien fue descubierto ilegalmente usando el sistema de la base de datos comercial de la agencia y por ello Kevin fue objeto de una investigación bajo la batuta del FBI.
En septiembre registraron su apartamento al igual que la casa y el lugar de trabajo de otro miembro de su grupo de phreakers. Dos meses después un juzgado federal pidió el arresto de Mitnick por haber violado los términos de su libertad en 1989. Cuando fueron a detenerle, Mitnick había desaparecido sin dejar rastro alguno convirtiéndose ya en un hacker prófugo.
Una de las tesis que se barajan reflexionando sobre el eco que tuvo Mitnick en la sociedad y entre los propios hackers fue que la seguridad informática de aquella época era tierra de nadie; la informática apenas había despertado y los conocimientos informáticos de usuarios y técnicos no representan el abismo actual.
En 1991 se produce el famoso enfrentamiento con el periodista del New York Times, John Markoff quien llevaba desde el 88 escribiendo sobre tecnología y negocios. De hecho, ese mismo año recibió el premio de la Software Publishers Association al mejor reportaje. Kevin ha insistido siempre que Markoff le llamó para que colaborara en un libro que estaba escribiendo sobre él; Mitnick se negó y Markoff publicó su ejemplar exponiendo a Mitnick como un auténtico delincuente informático. Según Mitnick, todo comenzó con una serie de artículos firmados por John Markoff en la portada de The New York Times, llenos de acusaciones falsas y difamatorias, que más tarde fueron desmentidas por las propias autoridades. Markoff me la tenía jurada porque me negué a colaborar en su libro y creó el mito de Kevin Mitnick, para transformar Takedown [su libro] en un bestseller. Después de esto la cacería por parte de las autoridades había comenzado. Mitnick se ha defendido de esta cacería afirmando que Las autoridades aprovecharon la ocasión para transformarme en el chivo expiatorio de todos los hackers de la tierra. Y para autojustificarse, exageraron hasta lo inverosímil el daño que pude causar.
En 1994 con el auge de la telefonía móvil, Mitnick encontró esta plataforma ideal para no ser localizado y poder deambular de un sitio a otro. Pero para ello necesitaba utilizar una serie de programas que le permitieran moverse con la misma facilidad con que lo había hecho antes (a través de la red telefónica). Así, a través de sus refinadas y exitosas técnicas de ingeniería social, logra hacerse con la clave del ordenador personal de Tsutomu Shimomura gracias a la técnica del IP Spoofing (falseamiento de ip), que para estrepitosa suerte de Mitnick, era un especialista japonés en seguridad informática, perteneciente a la Netcom On-Line Communications. Su encontronazo con Shimomura le llevaría al declive.
Shimomura era considerado un hacker de sombrero blanco (Whitehats), un hacker de los buenos, que cuando descubría alguna vulnerabilidad lo ponía en conocimiento de la policía o la entidad competente en vez de difundirlo a otros hackers por la Red. Cuando se dio cuenta de que habían vulnerado la seguridad de su propio ordenador, comenzó a investigar sobre él, y dado el carácter poco modesto de Mitnick, Shimomura se lanzó en cruzada personal contra el que ya llamaban superhacker, y dijo que atraparía a ese americano estúpido, que no pararía hasta cogerle. Y así fue.
En 1995 , después de haber descubierto el software de Shimomura en una cuenta de The Well (que utilizó para lanzar ataques a empresas tan conocidas como Apple, Motorola o Qualcomm), un isp de California, tardaron alrededor de dos semanas en determinar que las llamadas provenían de Raleigh (California). Después de pasar también por el isp Internex, Shimomura se puso en contacto con el FBI y estos enviaron un grupo de rastreo equipado con un simulador de celda (un equipo utilizado habitualmente para testear móviles) que se ocupaba de registrar el teléfono de Mitnick tanto si estaba encendido como si no. Un buen radar para localizar al hacker. Al filo de la medianoche comenzó la búsqueda de procedencia de la señal. Unas horas más tarde localizaron la señal en un grupo de apartamentos, pero aún desconocían en cuál de ellos podría encontrarse Mitnick.
Por su parte, Shimomura y el FBI planeaban la captura del hacker para el día siguiente (16 de febrero), pero un error en el mensaje codificado que Shimomura remitió al encargado de Netcom precipitó su captura, ya que este tenía orden de hacer backup de todo el material que tuviera Mitnick y posteriormente proceder a su borrado una vez fuera capturado. Y eso interpretó. El FBI se vio abocado a realizar una actuación rápida si no querían volver a perderle, así que como no sospechaban que Mitnick pudiera ir armado, anunciaron su presencia ante la puerta del apartamento en que se encontraba Mitnick. Este abrió tranquilamente la puerta, y fue arrestado de inmediato. El hacker había sido capturado. Era el 15 de febrero de 1995.
Pero a Shimomura todavía le esperaba una sorpresa más ese día. Al volver a casa y repasar los mensajes que había recibido en su contestador automático, boquiabierto escuchó varios mensajes dejados por Mitnick; mensajes que había recibido varias horas después de la captura de Mitnick. La realización de estas llamadas aún sigue siendo un misterio que forma parte de la interesante historia de este hacker.
Kevin Mitnick fue acusado de robo de software, fraude electrónico, daño a los ordenadores de la Universidad del Sur de California, robo de archivos e intercepción de mensajes de correo electrónico. Entre las compañías afectadas figuraban Nokia, Fujitsu, Nec, Novell, Sun Microsystems, Motorola, Apple... Se declaró no culpable y la sentencia le condenó a 5 años de cárcel sin posibilidad de fianza, lo cual enervó a los miles de hackers que seguían apasionados la historia del Cóndor y que comenzaron la conocida campaña Free Kevin! (liberad a Kevin) alterando páginas web muy conocidas: Unicef, New York times, Fox TV y un largo etcétera.
Mitnick, quien fue liberado en enero del 2000 tras permanecer casi cinco años en una prisión federal, estuvo bajo libertad condicional hasta enero de 2003, donde la jueza instructora del caso, Mariana Pfaelzer, prohibió a Mitnick accerder a cualquier tipo de ordenador, teléfono móvil, televisión, o cualquier aparato electrónico que pudiera conectarse a internet, con lo cual su abstinencia informática le acompañó también durante estos tres años posteriores a su salida de la cárcel.
Pese a esto, Mitnick no perdió el tiempo. Lanzó su propia empresa, Defensive Thinking, una consultoría sobre seguridad, y comenzó a escribir un libro sobre su historia. A pesar de que según sentencia judicial tiene prohibido obtener beneficio económico de ello hasta el 2010, el 4 de octubre de 2002 salió a la luz The art of deception (El arte del engaño), donde describe técnicas de manipulación y persuasión gracias a las cuales se pueden obtener los códigos necesarios para entrar en la red de una empresa y hacerse pasar por otra persona, por ejemplo. Su lanzamiento se explicó aduciendo que el libro tenía finalidad educativa. "Ciertas técnicas y artimañas les he utilizado contra algunas empresas, pero todas las historias del libro son ficticias", afirmó.
A finales de 2003, Kevin anunciaba su segundo libro: The art of intrusion. El anuncio se realizaba de una forma muy peculiar, ya que Kevin afirmaba estar buscando historias que puedan ser contrastadas y que narren el como lo hicieron, preservando la identidad de los asaltantes. Los "hackers" seleccionados recibirían como pago una copia del primer libro de Mitnick, "The Art of Deception", un ejemplar del segundo, en ambos casos firmado por el autor, y la opción de conseguir el premio al mejor asalto, dotado con 500.000 dólares.
Como datos curiosos, Mitnick participó en algunas series de televisión; entre ellas, apareció en Alias de la ABC interpretando a un informático de la CIA; produjo un show radiofónico y vendió algunas de sus posesiones (un Toshiba Satellite 4400SX y un Toshiba 1960CS ).
Se han hecho películas sobre su vida como Takedown (Asalto Final) en el 2000, también conocida como Hackers 2 y algunos libros como Cyber Alert: Portrait of an ex hacker, The Fugitive Game : Online with Kevin Mitnick, The Cyberthief and the samurai, o Takedown.
En la actualidad, Mitnick es consultor de seguridad, se dedica a dar conferencias sobre protección de redes informáticas, ingeniería social, etc, a lo largo y ancho del mundo, a seguir escribiendo libros, y... recaudando bastantes millones de dólares con ello.
Este último articulo ha sido obtenido desde: http://www.laflecha.net/perfiles/tecnologia/kevin_mitnick/
No hay comentarios:
Publicar un comentario