MARTÍN FABLET
Hace unos días fuimos testigos del procesamiento de una joven por haber intervenido o "hackeado" la casilla de correos de otra. La idea era enviar correos electrónicos calumniantes a amigos y conocidos de la "hackeada". No somos capaces de imaginar el daño que esto debió haber causado. Personalmente me sentí indefenso y decidí recurrir a los consejos del "hacker" más famoso del mundo. Me refiero a Kevin Mitnick, el Chacal, un botija autodidacta de 45 años que supo ser el azote de grandes empresas durante los años 90. Según él, todo es fácilmente asaltable. Ni que hablar de una casilla de Yahoo! o Hotmail. Hoy gracias a Dios, el objeto de deseo de los cibercriminales es más materialista: contraseñas y números de cuentas que llevan a la preciada viyuya ajena. Desde su nueva vida, (después de muchos años de cana y un año en una clínica para adictos a las compu), Mitnick tiene su propia empresa de seguridad informática (Mitnick Security) y se encarga de asesorar a gente y empresas, sobre los peligros que tan bien conoce y por supuesto, cómo evitarlos.
En sus tiempos, el arma más temible contra las empresas fue la "ingeniería social", el arte de persuadir con engaño a los empleados para que, casi sin darse cuenta, compartan datos vitales con un desconocido. Informaciones que, hilvanándose una con la otra, permiten llegar al objetivo.
"Con sólo diez llamadas a lo Tangalanga, puedes asaltar una empresa. La ingeniería social funciona mejor con las grandes compañías, ya que los empleados no se conocen entre sí y es posible hacerte pasar por uno de ellos. En general, es una técnica más rápida que ponerte a buscar vulnerabilidades en sus ordenadores, eso que vemos en las películas en donde el muchachito teclea como loco y dice estoy dentro, es una payasada", aclara Mitnick.
Lamentablemente hoy, esta técnica sigue siendo el principal talón de Aquiles de la seguridad empresarial y de las personas en general. La razón es, sin dudas, la estupidez de la gente. Se hizo una prueba en una estación de metro en Londres, donde se regalaba una birome bastante berreta a quien revelase la contraseña de su ordenador del trabajo. El 70% de personas aceptaron el cambio.
Otras razones que enumera son: "la gente se cree invulnerable, que a ella no la van a engañar. También tienen tendencia a confiar en los otros, querer ayudarles y así evitar quedar mal. No suelen entender el valor de la información que manejan ni las consecuencias de sus acciones".
Para evitar todos estos riesgos, el pibe Mitnick recomienda a las empresas: "Tomarse en serio a sus empleados, implicando también a los directivos, crear protocolos de actuación con normas sencillas, fáciles de recordar y cumplir, implicar a la gente, mostrándoles qué puede pasar si se dejan engañar y, sobre todo, enseñarles que está bien negarse a hacer o decir algo si no lo ven claro".
DESCUIDO. El Chacal Mitnick recomienda no tirar a la basura copia de información importante ni tener claves de fácil acceso. Por ejemplo, hay paparulos que tienen su PIN escrito en su tarjeta de débito. Tampoco es recomendable publicar datos en Internet, como directorios de teléfonos internos, muy valiosos para un atacante ya que es fundamental para justificar su puesta en escena.
La ingeniería social es también una de las principales amenazas que enfrentan los pobres como uno. Cada vez más frecuentemente recibimos mensajes de correo donde se nos quiere persuadir para que visitemos una web fraudulenta a fin de que introduzcamos nuestros datos bancarios. La semana pasada recibí un mail trucho de PayPal (con logo y correcta dirección) que me solicitaba retipear mis claves.
Otra maniobra es la llamada del banco, por la cual un funcionario debidamente identificado, nos pide teclear en el teléfono nuestro número de cuenta. Es la preferida para estafar viejitos con buenas jubilaciones.
Pero Mitnick tiene otros consejos.
Las copias de seguridad resultan muy útiles en caso de desastre como cuando se borra algún programa o se cae el sistema operativo o ataques de virus, etc. Además, recomienda usar siempre un programa antivirus, otro que detecte los programas espía (fundamental) y un cortafuegos que controle tanto el tráfico que sale como el que entra en el ordenador. También es de vital importancia tener siempre los programas actualizados y aplicar con celeridad los parches de seguridad que vayan apareciendo. No espere a estar aburrido para hacerlo.
Los usuarios de PC (no los de Mac) son adictos a tener gran cantidad de programas abiertos en el ordenador. Mitnick recomienda tener abierto sólo los necesarios. Para aquellos sufridos que utilizan el sistema operativo Windows, El Chacal recomienda no usar el navegador Internet Explorer. "Utilicen el navegador libre Firefox que es mucho mas seguro". Pero si usted es un fanático del Internet Explorer y no planea cambiarlo, desactive los controles Active X. Además, se sugiere habilitar el servicio DEP (Data Execution Prevention), una prevención que Windows lleva de fábrica para evitar la ejecución de datos en su ordenador.
Hoy están muy de moda las conexiones inalámbricas caseras, por ejemplo las que se utilizan para comunicar un portátil con un enrutador. Mitnick recomienda no utilizar el sistema de cifrado WEP (Wireless Encryption Protocol). Es el más fácil de atacar. En 5 minutos, un Hacker júnior puede lograrlo. Mejor usar otro sistema de protección por ejemplo el WPA (Wireless Protected Access).
Se ha escrito mucho sobre Kevin Mitnick: libros, artículos e incluso se ha hecho una película. Los periódicos de la época lo llamaban el "terrorista electrónico" y aseguraban era capaz de provocar un holocausto nuclear con sólo utilizar su teléfono.
Según Mitnick sus fechorías estaban motivadas por la curiosidad, pero sus biógrafos difieren de esta postura. En su libro The Art of Deception del 2003 (El arte del engaño) incluía un extenso prólogo donde por fin contaba su versión de su intensísima vida. El texto fue apartado del libro, ya que Mitnick también tiene prohibido hacer guita con su historia, por lo menos hasta este año.
Pirata destraba sistema de Iphone
Ser hacker está de moda, en especial si los esfuerzos están dirigidos a debilitar a los poderosos. La semana pasada explotó la noticia de que por fin alguien logró desbloquear el nuevísimo Iphone para usarlo con cualquier compañía, y evitar así el costoso contrato con la telefónica AT&T. El autor del milagro se llama George Hotz, un adolescente de 17 años que se transformó en héroe.
Hotz gastó 500 horas de trabajo para lograr el desbloqueo porque los Iphone (el nuevo celular de Apple) fueron construidos para que funcionen sólo bajo contrato de AT&T.
El hacker adolescente puso su invento a la venta por el portal de subastas Ebay y finalmente se quedó con la oferta de CertiCell, una empresa de reparación de celulares. A cambio del teléfono, la firma le dio a Hotz una camioneta y tres Iphones.
Desde la salida al mercado del celular de Apple, cientos de hackers se pusieron a trabajar en el desafío de destrabarlo; era el reto del momento.
Ser un hacker está de moda, pero sólo si es un hacker "bueno". No un ladrón, sino como "símbolo" de libertad en las nuevas tecnologías, lo que ha provocado la migraña de varios empresarios de la red.
De hecho, Hozt puso como condición para el trato que el teléfono desbloqueado no fuera comercializado. "Se trata de una pieza de la historia celular". Lo que sí tiene un buen precio es el método para desbloquearlo, que está dispuesto a divulgar en caso de que alguien lo pague.
Las empresas no son pasivas a los hackers que arruinan sus negocios.
El mes que viene se celebrará en Estados Unidos el Hacker Challenge 2007, mayor competencia de piratas cibernéticos del mundo. El objetivo: quebrar la seguridad de redes empresariales creadas para la prueba.
La organización de este evento la asume una empresa de Internet, cuyo nombre se mantiene en secreto porque no queda políticamente correcto. Lo seguro es que le sirve y pagará 50.000 dólares al hacker que venza las barreras de la competencia y claro que tomará nota.
volver
