[HACK] Consejos de seguridad de Mitnick

[merce]

19/06/06 16:17:57



LOS CONSEJOS DE SEGURIDAD INFORMÁTICA DEL HACKER MÁS FAMOSO DEL MUNDO


Mercè Molist
Nada parece broma cuando lo cuenta el hacker norteamericano Kevin
Mitnick. Que alguien entre en nuestro ordenador, husmee en nuestra
vida privada o nos llene el equipo de virus es una amenaza real que
conoce de primera mano, pues lo hizo con frecuencia en el pasado.
Podemos ser el objetivo final o sólo un enlace, un punto intermedio
que usará el criminal para saltar de un ordenador a otro, para
lanzar un ataque de correo basura o para obtener una pieza de
información que en su puzzle final tendrá sentido, aunque nos
parezca que nada nuestro pueda interesarle.

Todo es fácilmente asaltable para el llamado "hacker más famoso del
mundo". Nadie está a salvo. Conoce el poder de la informática y las
telecomunicaciones y sabe que con ellos se puede conseguir casi
todo, si se tienen los conocimientos. Así lo enseña en las
demostraciones prácticas que cuajan sus cursos y conferencias, los
dedos volando sobre el teclado del ordenador o el teléfono,
mostrando lo fácil que es engañar a la gente, entrar en sus
sistemas, robarles lo que sea.

El mundo ha cambiado desde que Kevin Mitnick, un joven autodidacta,
fue el azote de grandes empresas que tenían cosas, normalmente
programas propietarios, que él anhelaba. Hoy, el objeto de deseo de
los cibercriminales es más materialista: contraseñas y números de
cuentas que llevan al preciado dinero ajeno. Desde su nueva vida,
pagadas ya las deudas con la justicia, Mitnick se encarga de avisar
a la gente, usuarios y empresas, sobre los peligros que tan bien
conoce y cómo evitarlos.

En sus tiempos, el arma más temible de Mitnick contra las empresas
fue la llamada "ingeniería social", el arte de persuadir con engaño
a los empleados para que, casi sin darse cuenta, den informaciones
vitales a un desconocido. Informaciones que, hilvanándose la una con
la otra, permiten llegar al objetivo: "Con sólo diez llamadas puedes
asaltar una empresa. La ingeniería social funciona mejor con las
grandes compañías, porque los empleados no se conocen entre sí y
puedes hacerte pasar por ellos. En general, la "ingeniería social"
es una técnica más rápida que ponerte a buscar vulnerabilidades en
sus ordenadores", explica.

Hoy, esta técnica sigue siendo el principal talón de Aquiles de la
seguridad empresarial. La razón es, asegura, "la estupidez de la
gente. Se hizo una prueba en una estación de metro de Londres, donde
se regalaba un bolígrafo a quien revelase la contraseña de su
ordenador del trabajo. El 70% de personas aceptaron el cambio".
Otras razones que enumera son: "La gente se cree invulnerable, que a
ella no la van a engañar. También tiene tendencia a confiar en los
otros, querer ayudarles y evita tanto como puede quedar mal. Además,
no suelen entender el valor de la información que manejan ni las
consecuencias de sus acciones".

Para evitar este serio peligro, Mitnick recomienda a las empresas:
"Tomarse en serio a sus empleados, implicando también a los
directivos, crear protocolos de actuación con normas sencillas,
fáciles de recordar y cumplir, implicar a la gente, mostrándoles qué
puede pasar si se dejan engañar y, sobre todo, enseñarles que está
bien negarse a hacer o decir algo si no lo ven claro". Además, el
experto aconseja no tirar a la basura información importante, que
alguien pueda encontrar rebuscando en los contenedores; ni publicar
datos en Internet, como directorios de teléfonos internos, muy
valiosos para un atacante.

La "ingeniería social" es también una de las principales amenazas
con que se enfrentan los usuarios de a pie, que cada vez más
frecuentemente reciben mensajes de correo donde se les quiere
persuadir para que visiten una web fraudulenta e introduzcan sus
datos bancarios, llamen a un teléfono que simula ser el de su banco
y tecleen su contraseña, o pinchen en un archivo adjunto que en
realidad instala un virus en el ordenador.

Además de estar atentos a los intentos de engañarles, Mitcnik tiene
otros consejos para los usuarios: "Hacer copias de seguridad, que
son muy útiles en caso de desastre como cuando se borra algún
programa, se estropea el sistema operativo, ataques de virus, etc".
Además, recomienda: "Usar siempre un programa antivirus, otro que
detecte los programas espía y un cortafuegos que controle tanto el
tráfico que sale como el que entra en el ordenador". También es de
vital importancia tener siempre los programas actualizados y aplicar
con celeridad los parches de seguridad que vayan apareciendo: "No
dejarlo para dentro de tres meses", avisa.

Mitnick recomienda también: "Minimizar el número de servicios
abiertos en el ordenador, tener sólo los programas necesarios". Y
añade importantes recomendaciones para las personas que utilizan el
sistema operativo Windows: "No usen el navegador Internet Explorer,
es mejor y más seguro el navegador libre Firefox. Y, en caso de usar
Internet Explorer, desactiven los controles ActiveX, excepto cuando
visiten sitios confiables. Además, habiliten el servicio DEP (Data
Execution Prevention), una prevención que Windows lleva de fábrica
para evitar la ejecución de datos en su ordenador".

El experto tiene también un buen consejo para las personas que usan
conexiones inalámbricas, por ejemplo para comunicar un portátil con
su enrutador casero: "No utilicen el sistema de cifrado WEP
(Wireless Encryption Protocol), pensando que así están protegidos.
WEP es fácilmente atacable, puede romperse en diez minutos, no vale
la pena ni activarlo. Es mejor usar otro sistema de protección: WPA
(Wireless Protected Access)". En cuanto a los ordenadores
portátiles, recomienda encarecidamente no dejarlos en el coche, pues
son objetos altamente codiciables.





KEVIN MITNICK O CÓMO LA CURIOSIDAD CASI MATÓ AL GATO



Mercè Molist
Aunque se han escrito múltiples libros, artículos e incluso una
película sobre la vida de Kevin Mitnick, su biografía está llena de
medias verdades y mentiras. A ello han contribuído dos libros:
"Takedown", de John Markoff y Tsunomu Shimomura, y "The Fugitive
Game", de Jonathan Littman. Escritos ambos a principios de la década
de los 90, "Takedown" narra los esfuerzos del FBI por cazar a
Mitnick, pintándolo como un criminal sin escrúpulos. Por contra,
"The Fugitive Game", una recopilación de conversaciones con el
hacker mientras escapaba de la justicia, muestra su lado más humano,
el joven tímido y solitario.

Kevin Mitnick nació en un pueblo del sur de California en 1963. Hijo
de padres divorciados, creció como un chico retraído y curioso. Su
primer "hack" no tuvo nada que ver con la informática sinó con el
sistema de transportes de Los Ángeles: descubrió un fallo en la
validación de los billetes de autobús y se dedicaba a viajar
gratuitamente por la ciudad.

En el instituto conoció a un chico experto en telefonía, que jugaba
a hacer llamadas gratuitas y a saltar de centralita en centralita.
Mitnick destacó pronto en este campo. El siguiente paso natural fue
hacer lo mismo con ordenadores. Son incontables los sistemas
informáticos que ha asaltado Kevin Mitnick, gracias especialmente a
su mejor arma: la "ingeniería social", el arte de manipular a las
personas para que den información sensible a un desconocido.

La habilidad de Mitnick, apodado "El Cóndor" y también "El Chacal de
la Red", creció al mismo tiempo que sus frecuentes estancias en
correccionales, a veces producto de delaciones de sus propios
compinches. A los 25 años, era procesado por intentar robar el
código fuente de un sistema operativo de la Digital Equipment
Corporation. Este arresto le encumbró como hacker de leyenda, los
periódicos le llamaban terrorista electrónico y aseguraban que era
capaz de provocar un holocausto nuclear sólo con un teléfono.

Estuvo en prisión ocho meses, aislado en una celda de máxima
seguridad. Su abogado consiguió reducir la pena, aduciendo que no
era un criminal sinó un adicto a los ordenadores, y Mitnick pasó un
año en un centro de rehabilitación de drogadictos. Al salir, volvió
a frecuentar las viejas amistades, que le llevaron otra vez a las
andadas: Motorola, Nokia, Sun, Fujitsu, ninguna empresa digital
estaba a salvo de la curiosidad de Mitnick.

En 1992, se emitía una orden de búsqueda contra el joven, por romper
la libertad condicional, al haber accedido supuestamente a un
ordenador de la Pacific Bell. Empezó entonces un juego del ratón y
el gato, con Mitnick viajando de una ciudad a otra, cambiando de
empleo y de identidad. Finalmente, el FBI le detenía en febrero de
1995. Pasaría más de cuatro años en prisión, sin juicio ni fianza,
lo que provocó una amplia campaña en Internet a favor de su
liberación. Salió en el año 2000, con la condición de no tocar
ningún equipo informático ni teléfonos móviles, hasta 2003.

Actualmente, Kevin David Mitnick tiene su propia empresa de
seguridad informática, da cursos y conferencias por todo el mundo,
participa regularmente en programas de radio y televisión en Estados
Unidos, escribe artículos y libros e incluso aparece como personaje
en los videojuegos "Grand Theft Auto" y "Vampire".



Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.