Aprovechando la ventana que tengo en Una al día, voy a ir entrevistando a grandes hackers que he ido conociendo a lo largo de mi vida. Se trata de que los conozcáis un poco mejor, y que permee algo de cómo son ellos. Y como no podía ser de otra forma, he querido comenzar por Kevin Mitnick, probablemente el hacker más famoso de la historia.
Vale, antes de leer la entrevista, debes sabe que Kevin Mitnick y yo somos muy amigos. Hemos dado charlas juntos, quedamos en cualquier rincón del mundo en el que coincidimos, ya sea Chile, Las Vegas, San Diego o Madrid. Y compartimos PoCs, Hacks, Tools e investigaciones, por lo que no le tengáis en cuenta la primera respuesta.
Además, Kevin es un tipo divertido, ante todo. Le gusta el hacking, los trucos nuevos, reírse, las bromas, siempre está alegre, y cuando le das un “juguete nuevo”, sus ojos resplandecen. Se le nota la sonrisa maligna pensando en la próxima que va a liar.
Hemos compartido muchas charlas tomando un refresco, comiendo una hamburguesa, o un café por vídeo conferencia, hemos ido a montar en motos de agua en la presa Hoover, cenado con Steve Wozniak juntos, y hecho alguna maldad entre ambos. Y elegirle a él el primero no es solo porque es Kevin Mitnick “the man”, sino porque es Kevin el niño que adora el hacking y las cosas divertidas
1.- Kevin es el hacker más famoso de la Tierra pero, ¿cuál es tu hacker más admirado?
Chema Alonso, ¡¡¡por supuesto!!! Me encantan tus presentaciones porque tienes un fantástico sentido del humor y siempre me haces reír. Ha sido un placer ser tu amigo durante tantos años y reunirnos en conferencias de seguridad en todo el mundo.
2.- En tus shows haces demostraciones de muchos hacking tricks, bugs y exploits, pero, ¿cuál es la técnica de hackeo, vulnerabilidad o exploit que más te gusta de todos lo que has conocido en tu carrera?
Hay tantas que son mis favoritas. Pero la que destaca es de hace años, ¡pude piratear el correo de voz de un miembro de la audiencia a través de la suplantación de BTN (número de teléfono de facturación) mediante spoofing y cambiar su saludo de bienvenida usando mi voz!
*Nota de Chema Alonso: Kevin se refiere a los ataques de OpenBTS usando spoofing de redes 2G que permiten hacer un man-in-the-middle. Más detalles en Hacking Comunicaciones Móviles.
3.- Hoy en día, los hackers y el hacking son parte de la industria de la tecnología, pero hace años, cuando empezaste a «jugar a este juego», todo era diferente. ¿Te imaginabas en ese momento que te convertirías en una persona tan admirada?
No, nunca pensé que la industria de la seguridad fuera de vital importancia para las empresas como lo es hoy. Comencé a hackear/hacer phreaking telefónico en 1978, cuando tenía módems de 110 baudios en la escuela secundaria. Nuestra industria ha crecido exponencialmente desde los años 70 (wow, soy viejo). Amo el hacking y la seguridad. Para mí, es como resolver un rompecabezas. Me concentro tanto en los pentestings y red team que es casi como jugar un juego más que trabajar.
No, no tenía idea de que me volvería tan popular. Creo que mi caso atrajo mucha atención en los años noventa. El gobierno de los Estados Unidos hizo todas estas afirmaciones ridículas como si yo pudiera silbar en un teléfono y comenzar la Tercera Guerra Mundial. Los medios me caracterizaron como Carlos the Jackal, pero la gente tech sabía que era una tontería.
Yo era el ejemplo para el gobierno de los Estados Unidos basado en el “Mito de Kevin Mitnick”, que en realidad aumentó mi popularidad en la comunidad tecnológica.
4.- Y ahora AI, DeepFakes, Metaverso, Connected Human, biohackers y un montón de nuevos y extraordinarios avances, ¿está visualizando nuevos hacking tricks en este mundo cada día más cercano a Matrix o Ready Player One?
Me encantaría conseguir una copia del software que Adobe desarrolló para la tecnología de deep fake voice. Imagínate recibir una llamada de tu jefe para instalar una nueva herramienta de software en tu ordenador. Pero en realidad, ¡soy yo quien te llama!
5.-Nunca dejaste el escenario y la tecnología para ser un hombre de negocios. ¿Puedes ver tu vida sin hackear cosas?
Encontré mi pasión cuando era adolescente: el hacking. Sería difícil cambiar después de todos estos años. Y para aclarar, no uso el hacking para causar daño, sino para resolver rompecabezas. Eludir los controles de seguridad suponen un desafío y una aventura.
Precisamente por eso soy propietario y opero una empresa de pentesting: Mitnick Security Consulting. Todavía puedo hackear, aunque con la autorización de mis clientes. Si esto existiera hace dos décadas, probablemente nunca hubiera terminado en problemas durante mi juventud.
6.- ¿Piensas que las personas y los gobiernos comprenden mejor qué es un hacker, o aún estamos lejos de ser comprendidos por la sociedad?
Creo que los medios de comunicación definen lo que es un hacker, y se equivocan la mayor parte del tiempo. Ellos equiparan el término hacker con un criminal. Es una categorización incorrecta agrupar a todos los hackers en un estereotipo, como los delincuentes malintencionados. Por supuesto, esto es un pensamiento superficial porque muchos periodistas no profundizan en los hechos, sino que simplemente repiten lo que alguien más ha escrito.
7.- Siempre estás haciendo cosas y me gustaría saber en qué estás trabajando ahora mismo.
Estoy trabajando en responder esta clase de preguntas ahora mismo.
Dejando de lado las bromas, soy el Chief Hacker Officer de KnowBe4, la empresa de formación de concienciación sobre seguridad número uno del mundo. Ofrecemos muchos servicios como formación en concienciación sobre seguridad, phishing simulado y otros productos que ayudan a las empresas, pequeñas y grandes, a mitigar el riesgo de la ingeniería social.
Soy conferenciante. Desafortunadamente, debido a que todavía estamos en esta pandemia global, todas mis actuaciones últimamente han sido virtuales. Extraño los días de hacer charlas en persona y tener la oportunidad de conocer gente del público. Y finalmente, administro Mitnick Security, donde ofrecemos servicios de pruebas de seguridad ofensivas. Si estás interesado en obtener más información, puedes visitar mi sitio web www.mitnicksecurity.com.
8.- Esta entrevista será publicada en el primer boletín diario sobre hacking en español. Empecé mi carrera de hacker leyéndolo. ¿Qué les dirías a los jóvenes que deben hacer si quieren ser un nuevo Kevin Mitnick?
No sigas mis pasos porque tomé el camino equivocado y tomé el camino difícil. Hoy el mundo ha cambiado. Hay muchos caminos legítimos para aprender sobre seguridad de la información y convertirse en un hacker ético. Recomiendo dominar la administración de sistemas, redes y bases de datos. También es importante comprender el desarrollo de aplicaciones web. Te ayudará a comprender cómo se diseñan las redes, las bases de datos y las aplicaciones web desde cero. Esto te ayudará a pensar como un hacker cuando testees las redes en busca de vulnerabilidades de seguridad.
Cuenta que en la cárcel le pusieron en confinamiento solitario porque los policías convencieron al juez de que tenía la capacidad de «iniciar una guerra nuclear silbando a un teléfono para mandarle ordenes de lanzar misiles nucleares a los módems de Defensa» 😁