Fallece el mítico hacker Kevin Mitnick

Kevin Mitnick, Ghost in the Wire, Condor, uno de los nombres más reconocidos y reconocibles de la historia de la informática y las redes, falleció el pasado domingo (aunque la noticia se ha hecho pública ahora) a consecuencia de un cáncer de páncreas, cuyo tratamiento no ha podido frenar el avance de esta enfermedad. Nacido el 6 de agosto de 1963, en poco más de dos semanas habría cumplido los 60 años, pero la letal enfermedad se lo ha impedido.

Para los más jóvenes, es probable que el nombre de Kevin Mitnick resulte extraño, puede que incluso totalmente desconocido, pero hablamos de una persona que logró convertirse en una referencia al hablar de la seguridad informática, al convertirse en el que, probablemente, haya sido el hacker más conocido de la historia de la tecnología. No en vano, su historia ha dado pie a libros, películas, extensos artículos en la prensa generalista e, incluso, a que con los años llegara a acumular una importante cantidad de fans, que admiraban su enorme pericia.

Como gran parte de aquella generación, Kevin Mitnick desarrolló un temprano interés por la entonces incipiente informática pero, a diferencia de los protagonistas de los que solemos hablar habitualmente, y que fueron los responsables de la revolución informática y tecnológica de los 70, Mitnick centró su interés en los problemas de seguridad de dichos sistemas, dichas redes y, sobre todo, sus usuarios, con un fin muy claro: sacarles partido, ya fuera por mera curiosidad, como desafío autoimpuesto o para obtener cualquier tipo de rédito de dichas acciones.

Aunque su historial en lo referido a la ingeniería social se inicia mucho antes, con 12 años, su curiosidad llevó a Kevin Mitnick, cuando solo tenía 16 años, a infiltrarse en la red del sistema administrativo de su colegio. Hablamos de 1979, un tiempo en el que la seguridad informática era poco menos que inexistente, pero aún así era necesario recurrir a ciertas técnicas para lograr los códigos de acceso, que emplearía a posteriori para atisbar todo aquello a lo que le daba alcance dicho acceso. Su curiosidad podría haber quedado ahí, pero en realidad marcó el principio de un extenso historial de infiltraciones, robo de datos, manipulación de sistemas, etcétera.

Su historial de antecedentes no tardó demasiado tiempo en empezar a contar con anotaciones, generalmente siempre de menos a más, y en la mayoría de las ocasiones haciendo uso de una de las técnicas más veteranas y que, pese al paso de las décadas, se sigue mostrando tremendamente efectiva: la ingeniería social. Y es que, como él afirmaba en múltiples ocasiones, engañar a una persona resulta bastante más sencillo que detectar un problema de seguridad en un sistema o en una red.

Kevin Mitnick, durante su participación en la Campus Party

Como para muchos de sus coetáneos, uno de sus principales objetivos fueron las compañías de telecomunicaciones, no en vano su primera detención, juicio y condena se produjo por su infiltración, física, a las instalaciones de COSMOS COmputer System for Mainframe OperationS), un sistema que se encargaba de llevar el control y registro de las llamadas telefónicas de muchas de las compañías estadounidenses del sector en aquel momento. De dicha visita obtuvo, en primer lugar, múltiples claves de seguridad, claves de acceso a otras dependencias y manuales internos de COSMOS. Sin embargo, esto también se tradujo en una sentencia de tres meses de cárcel (la pena fue tan baja por ser aún un menor) y un año de libertad condicional.

Muchos, tras pasar por dicha experiencia, habrían decidido poner fin a su historial delictivo, pero definitivamente no fue el caso de Kevin Mitnick. Como decía antes, cada infiltración fue superando a las anteriores, y así nos encontramos con que, además de tomar represalias contra parte de las personas implicadas en sus procesos, se fue marcando objetivos más ambiciosos, y por ende peligrosos que, no obstante, empezaron a convertirlo en una personalidad del mundo del hacking de sombrero negro.

Así, con la infiltración en COSMOS todavía reciente, en 1982 llevó su primer movimiento en contra de otro de sus objetivos favoritos, las redes y los servicios de defensa de Estados Unidos. Se estrenó, en este sentido, al acceder, esta vez telemáticamente mediante módem, a un sistema del North American Air Defense Command, y a eso le siguió el acceder, de nuevo de manera ilegal, a ARPAnet, la red de sistemas que conectaba los principales nodos de defensa, junto con algunas entidades administrativas y académicas. ¿Su objetivo? Acceder a los sistemas del Pentágono. Esto le proporcionó su segunda visita a los tribunales, que lo sentenciaron a seis meses de cárcel en una prisión juvenil.ç

A partir de ahí se inició un periodo turbio, con momentos en los que intentaba abandonar el black hat hacking, con otros en los que retomaba las actividades ilícitas. En este punto, tuvieron lugar algunos hechos muy significativos, como que tras optar a un puesto de trabajo en una entidad bancaria, ésta lo rechazara por sus antecedentes penales y, en respuesta, él falsificara un balance de dicha entidad, con unos datos económicos catastróficos, e intentara difundirlo públicamente. Esa fue, como comentaba antes, solo una de sus muchas venganzas.

En 1988 volvió a ser juzgado y encarcelado, en esta ocasión por haberse infiltrado en los sistemas de MCI Communications y DEC (Digital Equipment Corporation). Lo más llamativo fue, en esta ocasión, que se prohibió que Kevin Mitnick pudiera emplear cualquier teléfono mientras estaba encarcelado. ¿La razón? Consideraban que el simple acceso a una línea telefónica era todo lo que necesitaba para poder controlar, de manera remota, cualquier ordenador. Algo, en parte, debido a la argumentación empleada por su defensa, que afirmaba que Mitnick sufría de adicción a los ordenadores, algo que fue aceptado por el tribunal y que se tradujo en una sentencia bastante favorable, habida cuenta de los hechos, pero también le impuso una «cura de desintoxicación»  de los ordenadores.

Mitnick (centro), acompañado de Kevin Poulsen (derecha) y Adrian Lamo

Kevin Mitnick vs Tsutomu Shimomura

El principio del fin de Condor, el pseudónimo empleado por Mitnick de manera habitual, empezó a escribirse cuando ya había alcanzado bastante notoriedad pública y, como mencionaba anteriormente, cuando empezó a contar con una destacable comunidad de admiradores, que más allá de las acciones que llevaba a cabo, veían en él a un genuino antisistema, además de valorar su pericia a la hora de acceder a sistemas que, en principio, debían estar fuertemente protegidos.

Debido a algunas de sus acciones, el FBI empezó a seguir sus pasos, lo que ocasionó que terminara por convertirse en un prófugo que, eso sí, intensificó sus actividades empezando a emplear teléfonos móviles en lugar de líneas cableadas. Esto, en primera instancia, dificultaba la identificación de su ubicación, pero con el tiempo terminó siendo justo al contrario, ya que el seguimiento de la señal celular del dispositivo que estaba empleando permitió su última detención.

Pero antes de llegar a eso debemos recordar qué es lo que llevó a la misma y, fundamentalmente, fue infiltrarse en el sistema de Tsutomu Shimomura en la Navidad de 1994. Shimomura era físico computacional y experto en sistemas de seguridad del San Diego Supercomputer  Center. Así, tras detectar la intromisión de Kevin Mitnick, empezó a trabajar para dar con el autor de la misma, en una tarea para la que contó con la colaboración activa tanto de empresas que se habían visto afectadas por las acciones de Mitnick, como posteriormente también con el FBI.

La historia del enfrentamiento entre Mitnick y Shimomura la contó este último en Takedown, un libro sin duda interesante (personalmente reconozco que lo devoré en un par de días), pero en el que podemos hacernos una idea del tamaño (XXXL) del ego de Shimomura que, si bien se expresa con respeto a Mitnick, también muestra un trato bastante mejorable con respecto a otras personas, y proyecta una imagen de triunfalismo un tanto excesiva en mi opinión.

Sea como fuere, indudablemente Shimomura también tenía un altísimo nivel técnico y, al detectar la infiltración de Mitnick, comprobó de inmediato que se enfrentaba a un rival bastante sofisticado en lo referido a su técnica. No obstante, el seguimiento de algunos de los activos digitales que Mitnick se había cobrado en su ataque, permitió empezar a dibujar el cerco alrededor del mismo, un cerco que, desde ese momento, empezó a estrecharse hasta que se produjo su detención, por parte de agentes del FBI, el 15 de febrero de 1995.

Nueva vida

Tras cumplir condena por todos los cargos que le perseguían, Mitnick fue puesto en libertad el 21 de enero de 2000, si bien se mantuvo en libertad vigilada hasta enero de 2003. No obstante. se repitió la restricción a la que se le había sometido anteriormente, con una prohibición explícita de usar cualquier tecnología de comunicación que no fuera un teléfono fijo. No obstante, esta limitación terminó por decaer, permitiendo que pudiera afrontar un futuro relacionado, claro, con la tecnología y la seguridad.

Esta vez, eso sí, decidió pasarse al otro lado, creando una consultora de seguridad, además de protagonizando múltiples actos públicos dedicados a la misma, llegando incluso a convertirse en profesor de esta disciplina tanto para empresas como para entidades gubernamentales. Algo comparable al retrato amable pero distorsionado de Frank Abagnale Jr. que nos proporcionó Atrápame si Puedes. Y tiene lógica, pues desde muy joven demostró un sobrado talento para ello.

«Era inmoral… Hice cosas que afectaron negativamente a muchas empresas, por ello lo que hago ahora es recorrer el mundo para concienciar a la gente de la importancia de la seguridad y para ayudar a empresas y consumidores«, afirmaba un arrepentido Mitnick allá por 2011, cuando asistió como ponente a la Campus Party de 2011.

La figura de Kevin Mitnick siempre fue polémica, pues mientras que algunos afirmaban que los tribunales eran tremendamente blandos a la hora de juzgar sus actos, otros se situaban en el extremo contrario, afirmando que la justicia lo había tratado como cabeza de turco, con el fin de asustar a todos aquellos que realizaban actividades similares. Pero lo que es indiscutible, es que sus acciones y su exposición pública marcaron un antes y un después en la concepción general de la importancia de la seguridad informática.

No fue el primero, y probablemente tampoco fue el mejor, pero por una combinación de factores sí que se convirtió en el más reconocido de una época dorada para el hacking de sombrero negro, con nombres como Kevin Poulsen, John Draper (el decano Capitán Crunch), el tándem formado por Matthew Bevan y Richard Pryce, etcétera, que comparten espacio (y para muchas personas también prestigio) con Mitnick. Que en paz descanse.

Imágenes: Campus Party México / Campus Party Valencia / Matthew Griffiths / 2600