Prácticamente todo el mundo en tecnología conoce a Kevin Mitnick, quien en los años 1970s, 80s y 90s fue un importante hacker fugitivo que huyó del FBI.
(Si no está familiarizado con los detalles de las hazañas de Mitnick, recomiendo su libro, Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker).
Además, la mayoría de los expertos saben que rehízo su vida después de ser liberado de prisión como consultor de seguridad. Pero, ¿sabía que él todavía hackea para ganarse la vida?
Mitnick siempre ha enfatizado la importancia de la ingeniería social para el pirateo informático, un énfasis que no aparece en la mayoría de consejos de seguridad. También se centra en cómo conseguir llegar a un público que se resiste a apreciar los riesgos.
Así que llega a su público hackeándolos (con su permiso). La formación corporativa puede hacer que se nublen los ojos. Debido a esto, Mitnick respalda sus puntos actualmente hackeando a sus clientes, y mostrándoles cuán fácil pueden ser víctimas en el futuro de un hacker malicioso.
Mitnick, el oficial jefe de Hacking de una compañía llamada KnowBe4, está trabajando en un nuevo libro titulado The Art of Invisibility, que será una clase magistral de cómo asegurar la privacidad de uno contra un mundo de hackeos y exploits.
Mientras tanto, señala algunos consejos fáciles para asegurar los dispositivos móviles.
Me senté con Mitnick en la conferencia de RSA la semana pasada en San Francisco, y nos dio consejos que todos pueden utilizar. (Puede escuchar la entrevista completa en mi FATcast podcast).
Mitnick se especializa en hacer que los clientes piensen acerca de las cosas que no habían pensado antes. Por ejemplo, algunas personas que buscan privacidad podrían comprar un “teléfono desechable” -un teléfono comprado sin un contrato para la privacidad. Pero Mitnick señala que incluso la compra de un dispositivo asegurado puede poner en peligro su privacidad, dado que la adquisición puede ser identificada y rastreada por el taxi que tomó o el auto que alquiló. (El transporte puede conducir a la tienda, donde información de identificación podría ser proporcionada.)
En KnowBe4, Mitnick ayuda a las empresas a prevenir y afrontar el truco más perjudicial y difícil: un ataque de phishing.
El phishing es una forma de ingeniería social que consiste en engañar a alguien para que crea que un email u otro mensaje viene de una fuente confiable -por ejemplo, un mail que aparenta proceder de PayPal o de alguien que dice ser un ejecutivo de la compañía para la que la víctima trabaja. Una vez que se gana la confianza, la persona podría abrir una aplicación, descargar un archivo, contestar con una contraseña u otra información, o visitar un sitio web que ofrece su propia carga maliciosa.
Mitnick me dijo que “es mucho más fácil hackear a un humano que a una computadora porque éstas siguen instrucciones, no varían -las personas se guían por la emoción, por lo que está sucediendo en su día … así que no es difícil “llevar a cabo prácticas de ingeniería social en alguien” -sobre todo si nunca han experimentado una cosa parecida.
LOS SMARTPHONES
Mitnick señala que “la gente es floja”, y eso es una gran ventaja para los hackers. Incluso en la conferencia de RSA, ve que los expertos en seguridad que asisten al espectáculo desbloquean sus teléfonos y sabe que están usando el código de cuatro dígitos (que es el más débil) para su teléfono, en lugar de una contraseña más larga. Para empezar, esa es una manera de identificar un objetivo -cualquiera que desee desbloquear un teléfono tendrá una gran ventaja si se trata de un código de cuatro dígitos.
La mejor defensa contra el phishing no es solamente un antivirus o un software de firewall, sino una formación, educación y sensibilización.
Se podría esperar que Mitnick utilice uno de los nuevos teléfonos seguros, tales como el Blackphone 2 o Turing Phone. Pero me dijo que utiliza un iPhone estándar. Es seguro debido a sus elecciones y comportamientos, anota, que parecen ser más importante que el equipo.
Por ejemplo, usa un largo código de acceso alfanumérico (en lugar de la contraseña de 4 dígitos que mayoría de nosotros usamos). Y si piensa que se le podría pedir desbloquear su teléfono (por ejemplo, cuando regresa a los Estados Unidos del extranjero), reinicia el teléfono de modo que Touch ID deja de funcionar (solo el código de acceso puede desbloquear un teléfono inmediatamente después de un reinicio). Señaló que, en los Estados Unidos, “un tribunal puede obligarlo a desbloquear el teléfono con el pulgar, pero no puede hacer que revele su clave”.
Mitnick prefiere el iPhone, porque la mayoría de los ataques de teléfonos móviles ocurren en Android. Sin embargo, anota que el iPhone es manipulable y que ningún dispositivo es 100% seguro.
LAPTOPS Y DESKTOPS
Mitnick me contó cómo aseguró la computadora de su propia madre aprovechando el modelo code signing de Apple para la seguridad.
Dijo que su madre lo llamaba todas las semanas para que arreglara su PC con Windows porque la máquina se infectaba constantemente. Ella “mordía el anzuelo… para los ataques de ingeniería social”, y él tenía que volver a instalar Windows cada semana.
Así que le compró una iMac, instaló una utilidad antivirus. Y luego, bloqueó el dispositivo.
En los ajustes de “Seguridad y privacidad” en OS X, hay una pestaña que dice “General”. En la parte inferior, hay una configuración denominada “Permitir aplicaciones descargadas de”. La configuración por defecto es: “Mac App Store y desarrolladores identificados”. Para la Mac de su madre, Mitnick cambió la configuración a “Mac App Store”, lo que significa que solo puede descargar aplicaciones aprobadas por Apple.
Mitnick señala que la configuración por defecto no es muy segura porque “cuesta cien dólares convertirse en un desarrollador”.
“El simple hecho de darle una Mac y cambiar la configuración” resolvió el problema de las descargas maliciosas. Observó que, si bien, esa solución sencilla la protegía contra los ataques de phishing de todos los días, no la iba a proteger de NSA o de otro tipo de hackers más capacitados y determinados.
DISPOSITIVOS DE MEMORIA Y OTROS TIPOS DE ATAQUE
Mitnick hackea como una especie de actuación artística en keynotes, y habla en las conferencias de seguridad en todo el mundo. Por ejemplo, en CeBIT en Alemania este año realizó varios hacks, incluyendo una demostración para enseñar que solamente la conexión de un USB podría darle control total de la máquina al hacker; incluyendo la capacidad de activar y controlar la cámara y el micrófono, o iniciar cualquier programa.
Durante el proceso, la unidad de memoria engaña a la laptop o PC haciéndola creer que es un teclado, en lugar de un dispositivo de almacenamiento. Eso permite que el hacker sea capaz de inyectar las pulsaciones del teclado, lo que significa que puede hacerle cualquier cosa a su dispositivo, todo lo que haría con el mismo teclado de la máquina.
Mitnick demuestra esto porque “la gente piensa que los USBs ahora son seguros, solo porque desactivan la ‘ejecución automática’”. Él quiere que el público sepa que los dispositivos de memoria no son seguros.
El público en general también cree que los archivos PDF son seguros. Así que Mitnick demostró con herramientas visuales cómo es que un hacker puede utilizar un archivo PDF para tomar el control de una máquina de destino.
Otro hack que demostró, implica a un hacker malicioso que va a una cafetería donde hay un router de Wi-Fi público, y programa el router para desconectar a todos los usuarios de la red. Cuando se vuelven a conectar, el hacker ofrece una red falsa de Wi-Fi con el mismo nombre. Una vez que los usuarios se conectan, les llega un código malicioso.
El hecho de saber esta información podría cambiar su comportamiento. Sé que está cambiando el mío.
La conclusión es que, en realidad, por nada del mundo, debe conectar un dispositivo de memoria o descargar un archivo PDF a su laptop, incluso si se siente cómodo con la fuente. (La ingeniería social existe justamente para que se sienta cómodo.) Y debe evitar los puntos de acceso de Wi-Fi públicos.
Mientras que las personas de la comunidad de seguridad se enfocan en el aspecto del código en la piratería informática, Mitnick hace hincapié en la parte de ingeniería social. Porque así es como los hackers logran acceder.
En otras palabras, la seguridad y la privacidad no son procesos que uno debe dejar de lado. Por encima de todo, es importante aprender no solo de los expertos en seguridad -que conocen las herramientas-, sino también de los hackers, que saben cómo utilizar la ingeniería social para entrar a su teléfono o laptop.
Sea inteligente. Sea paranoico. Y buena suerte…