Jueves, 18 de Marzo de 2010

"Los hacker malos siempre van a buscar el eslabón más débil de la cadena"

Kevin Mitnick, ex-hacker y consultor, asegura que en el mundo no hay ni una sola empresa, ni gobierno con un sistema informático 100% seguro

GUILLERMO MALAINA ·18/03/2010 - 18:41h

Kevin Mitnick junto a la escultura de Einstein en San Sebastián. - Humberto Bilbao

"Los malos siempre van a buscar el eslabón más débil de la cadena". Kevin Mitnick, considerado uno de los mejores en sus años como hacker, realizó esta advertencia en San Sebastián, convencido de que en el mundo no hay ni una sola empresa, ni tampoco un gobierno con un sistema informático seguro al cien por cien.

La pregunta que pueden hacerse muchas compañías y administraciones públicas ahora mismo es cuál puede ser el eslabón más débil de su propia cadena. Kevin Mitnick cree tener la respuesta para muchos casos: el ser humano. La razón, a su juicio, es que habitualmente las empresas y los gobiernos inviertan ingentes sumas de dinero en los más sofisticados sistemas de seguridad y, a la vez, "se olvidan" de concienciar a sus plantillas de que los hacker pueden estar al acecho en cualquier momento. Así, el resultado es que frecuentemente al malo le basta con meterse en el PC privado de cualquier trabajador para colarse después en el sistema informático del lugar donde trabaja.

Este famoso hacker retirado, inspirador de películas como Juegos de Guerra y reconvertido ahora en un reputado experto en seguridad informática, habla por su experiencia adquirida a lo largo de 30 años. Desde su primer asalto, con 16 años, al sistema administrativo de su colegio, se las ingenió para colarse cuanto quiso en computadoras de servicios militares de EEUU, bancos, empresas de telecomunicaciones. "Donde no me colé nunca fue en el Pentágono. Eso es cosa de la prensa, y me valió estar un año en la cárcel sin poder acceder a un teléfono móvil. Se pensaban que si soplaba, iba a lanzar un misil".

"No me colé nunca en el Pentágono, pero estuve en la cárcel porque se pensaba que si soplaba, iba a lanzar un misil"

En su etapa como hacker, insiste en que su reto nunca fue "maligno", sino "intelectual". En cualquier caso, aquella carrera al margen de la ley le supuso varias condenas de cárcel, la última de cinco años. A su salida, 2000, se redimió para dedicarse al asesoramiento. Ayer, lo hizo en San Sebastián, en unas jornadas organizadas por Enpresa Digitala con el título Ataques más comunes en Internet: ¿Estamos en peligro de ser engañados?. La respuesta para Kevin Mitnick es "sí". Según su impresión, se da un "círculo vicioso" entre las empresas encargadas de la seguridad informática y los hacker que se dedican a buscar sus puntos vulnerables. Los instrumentos de unos y otros han mejorado con el paso de los años, pero, a juicio de Mitnick, esa evolución no se ha producido en la conciencia de la gente sobre los riesgos de abrir ventanas a través de internet. Y mucho menos ahora con la explosión de las redes sociales como Twiter o Facebook.

Por ello, centró de nuevo su intervención en lo que él denomina "ingeniería social", un tipo de ataque que explota el elemento humano. "Siempre es igual. El malo va a tratar de ganarse tu confianza de un usuario, por ejemplo, copiando la dirección de un amigo tuyo. Basta con que se gane tu confianza. Al cabo de unos días, te envía un archivo. Entras, y ya está. Yo suelo hacer pruebas de seguridad en empresas, y ese tipo de ataque funciona en el 99% de las ocasiones".

Así, está convencido de que la dependencia exclusiva de las tecnologías de seguridad puede ser ineficaz ante los cada vez más habituales ataques basados en el factor humano. "Luego está el tema de las empresas que se dedican a desarrollar software seguros. Nos tendríamos que preguntar si habría que pedir responsabilidades a esas empresas que comercializan software cuando no son seguros. Pero, esto ya es otra cuestión".

El ex-hacker reconvertido en consultor se hizo famoso en los años 80, cuando se infiltró en los sistemas informáticos de multitud de compañías estadounidenses. Fue arrestado en 1995, y condenado a cinco años de cárcel en los que no pudo usar teléfonos ni ordenadores porque las autoridades creían que podía "empezar una guerra nuclear en una cabina telefónica".