Kevin Mitnick, también conocido como Cóndor, es un hacker estadounidense bastante célebre. Procesado judicialmente en varias ocasiones —1981, 1983, 1987 y 1995—, salió de la cárcel en el año 2002 y fundó su propia empresa de seguridad, Mitnick Security Consulting. Además se dedicarse a dar distintas conferencias para concienciar a empresas y usuarios sobre la importancia de la seguridad. Precisamente, ha dado una conferencia en la Campus Party Valencia donde ha compartido su visión sobre la piratería y sus experiencias como antiguo hacker.
Kevin Mitnick, que además está promocionando su nuevo libro, Un fantasma en el sistema, entró en el mundo del hacking a la edad de 16 años. Hoy, a sus 48 años, es un cotizado experto en seguridad que, gracias a su experiencia, intenta crear una cultura alrededor de la seguridad a empresas y usuarios:
> Hice cosas que afectaron negativamente a muchas empresas, por ello lo que hago ahora es recorrer el mundo para concienciar a la gente de la importancia de la seguridad y para ayudar a empresas y consumidores. [...] La gente no cree que la seguridad en internet es importante hasta que pasa algo
La historia de Mitnick es poco menos que fascinante y, algunos de sus pasajes, tienen cierto paralelismo con la película Juegos de Guerra. A los 16 años, en 1979, fue capaz de acceder al sistema de su colegio con el objeto de husmear. En 1981, junto a dos amigos, se colaron en las oficinas de COSMOS (Computer System for Mainframe Operations) de Pacific Bell y obtuvieron el listado de claves de seguridad, combinaciones de las puertas de acceso de varias sucursales y manuales varios. Información que se valoró en doscientos mil dólares de la época. Tras ser delatados por la novia de uno de sus amigos, le costó su primera condena por un tribunal de menores.
Desde ese bautismo de fuego, su fulgurante carrera le llevó a colarse en el NORAD en 1982, en el Pentágono en 1983, en DEC y, en 1988 en Digital Corporation, en cuya condena se incluyó la prohibición total de uso del teléfono, alegando que podría tener acceso a cualquier computador. Salvo para llamar a su abogado, su esposa, su madre y su abuela, siempre con supervisión directa de un funcionario de la prisión). A partir de ahí fue aumentando el nivel de sus acciones, llegando a obtener un permiso de conducir falso en el Departamento de Vehículos de California (que llegó a ofrecer un millón de dólares a quien lograse capturar a Minick). O lanzar ataques contra Motorola, Apple y Qualcomm.
Tras una vida de película, Kevin Mitnick quiere que su experiencia sirva a las empresas para que mejoren sus páginas webs y sus sistemas, para que éstos sean mucho menos vulnerables. Según comentó durante su ponencia, lo más importante es ser conscientes de la seguridad de una manera temprana y no cuando se sufre un ataque:
Es como los que conducen sin seguro del coche, no pasa nada hasta que tienen un accidente y se dan cuenta de lo importante que era.
Como antiguo hacker, Mitnick recibió preguntas pidiendo su opinión sobre Anonymous y sus acciones. A lo que respondió que aunque se trataban de ataques inteligentes, realmente, eran demasiado básicos y lo único especial que tenían era la relevancia de los objetivos. Además, comentó que la metodología que utilizaban era extremadamente sencilla, la misma que él usaba en sus auditorías de seguridad y análisis de vulnerabilidades:
No es ciencia espacial, es una cosa realmente sencilla.
Durante su charla también tocó el tema de la piratería, un asunto que consideró tan complejo que hasta ahora nadie había podido resolverlo. Desde su punto de vista, todas las medidas que se han llevado a cabo han fracasado y, según comentó, será algo que seguirán pasando al menos en los próximos cinco años.
Quizá algún día una persona, una organización o una empresa sea capaz de encontrar una solución, pero no creo que encuentren una solución en los próximos cinco años
Este antiguo hacker, que admitió que su web había sido hackeada, quiso hacer un guiño a los asistentes y les lanzó un consejo:
Lo más importante es que no os pillen
Después de todos los sistemas en los que Mitnick llegó a colarse y leer sobre algunas de sus acciones, lo que ha comentado sobre Anonymous me ha dejado un cierto sabor algo agridulce, pensaba que quizás se identificaría algo más con el colectivo, si bien es cierto que sus conferencias no suelen tener desperdicio alguno.
[Actualización]: tras publicarse anoche este artículo, Kevin Mitnick comentó a través de Twitter que sus palabras habían sido sacadas de contexto en la prensa. Kevin Mitnick no es que esté arrepentido de lo que hizo, de hecho, declaró que en esa época dormía plácidamente por las noches. Sino que lo siente por las empresas a las que fastidió y, sobre todo, por su familia que fue la que más sufrió por su estancia en prisión.
Tengo mucha suerte de estar donde estoy, porque ha sido un camino muy difícil para mí y para mi familia
Una pena que no hubiese streaming de su charla y tengamos que ceñirnos a las crónicas porque, según se comenta, realizó un par de demostraciones que dejaron impresionados a los asistentes. En unas declaraciones a RTVE dejó bastante claro su punto de vista de todas las peripecias por las que ha pasado y su estatus actual de consultor en seguridad:
"Hago craking todos los días, pero ahora con permiso y además me pagan. Garantizo la seguridad de los sistemas para evitar que los hackers puedan introducirse en ellos, y si lo hacen los identifico y así también puedo detectar las vulnerabilidades.Ahora estoy en el otro lado y es lo más justo. Además, supone todo un reto para mi y estoy muy contento. Hago un trabajo de seguridad que no existía cuando comencé como hacker en los años 70. En esa época todo era muy distinto".
Algo que utilizó como pie para comentar a los asistentes que, si estaban interesados en el campo de la seguridad, desarrollasen su carrera por la vía legal porque, desde su época hasta ahora, las leyes han cambiado mucho:
Desde pequeño me gustaba la magia y en aquel entonces las leyes no eran tan restrictivas
Las charlas de Kevin Mitnick siempre son fascinantes. Alguien con 25 años de experiencia en materia de seguridad y con unos conocimientos aprendidos de manera autodidacta, a menudo tiene interesantes cosas que decir. Sobre todo, de un asunto tan crítico como la seguridad digital.