“La tecnología no basta para proteger sus datos”
Kevin Mitnick, quien ganó notoriedad al burlar las defensas de los centros de computación más seguros de Estados Unidos, da algunos consejos para conjurar el arte del engaño. En el reciente Foro Mundial de Tecnología celebrado en Caracas, Kevin Mitnick, experto en burlar sistemas de seguridad informática, reconoció que la habilidad de explotar fallas en el comportamiento humano por parte de alguien que desea apropiarse de información valiosa, es más importante que las propias habilidades técnicas del intruso.
Por Froilán Fernández

Calificado por el FBI como “terrorista informático”, Mitnick enfrentó varios procesos judiciales –el primero de ellos a los 18 años–, y después de ser hallado culpable de delitos electrónicos, pasó más de dos años en prisión.

Una vez en libertad, Mitnick dio un giro radical a su vida al dedicarse a la consultoría de seguridad a través de una empresa a la que denominó “Pensamiento Defensivo”, la precursora de la empresa que dirige en la actualidad, Mitnick Security.

Desde una posición de “hacker ético” o agente de contraseguridad informática, Mitnick ofrecía a sus clientes potenciales una prueba diagnóstica: atacaría sus sistemas informáticos con todas las herramientas que usan los hackers para poner al descubierto las fallas de seguridad de las redes de la organización.

Cortafuegos humano

Con demostraciones en vivo de las nuevas técnicas usadas por los hackers actuales, la conferencia de Mitnick se centró en las fallas de seguridad relacionadas con debilidades humanas, las explotadas por la disciplina conocida como la ingeniería social (IS).

La IS es una colección de métodos y técnicas usadas para inducir a las personas a realizar acciones o a revelar información confidencial sobre ellas mismas o sobre la organización donde trabajan.

Un hacker puede contactar telefónicamente al departamento de asistencia técnica de una compañía, simulando ser un empleado de ésta, y pedir que le restablezcan la contraseña de acceso al sistema.

Si tiene éxito, contacta al empleado cuya contraseña fue cambiada, haciéndose pasar por un empleado de seguridad informática y le informa del cambio. De este modo, el usuario legítimo no pierde acceso al sistema, pero no sospecha que la nueva clave es compartida con una persona maliciosa.

Mitnick dio recomendaciones para entrenar a los empleados de una organización acerca de cómo enfrentar estos ataques, los cuales se basan primordialmente en la buena fe, en los deseos espontáneos de ayudar, y a que preferimos “no decir nunca que no”, entre otros factores.

La pericia técnica de los hackers para aprovechar las vulnerabilidades de los sistemas sigue siendo una preocupación constante. Mitnick demostró que un aparentemente inocente pendrive, que alguien se encuentre por azar, puede ser en realidad una trampa. Al introducirse este pendrive en una PC, el hacker gana inmediatamente acceso al sistema del usuario gracias a un software malicioso que se instala sin que el usuario se entere.

Todas las disposiciones de seguridad contenida en extensos manuales y las costosas previsiones técnicas para proteger los datos vitales de una empresa, representan una barrera fácil de franquear si el hacker logra la información que desea siguiendo unas reglas sencillas de interacción humana.

Hábitos seguros

De la conferencia de Mitnick se puede concluir que es preferible pasar por antipáticos y pocos corteses que por ingenuos. Debemos aprender a decir que no cuando se nos pide revelar información confidencial vía telefónica o a través del correo electrónico.

Las instituciones bancarias advierten contra las correspondencias electrónicas o las llamadas telefónicas en las que se pide la clave de acceso a las cuentas con la excusa de “un cambio de plataforma” o “para evitar que su cuenta sea excluida del sistema”.

Los computadores portátiles, que han venido ganando aceptación a medida que sus precios son tan accesibles como los de los equipos de escritorio, representan un punto de vulnerabilidad importante.

Por ello, conviene usar todas las protecciones que proporcionan los sistemas operativos, como contraseña de acceso, uso del lector de huellas digitales que sirven de resguardo adicional, o incluso la posibilidad de encriptar los archivos. Esto último consiste en guardar la información de manera totalmente ilegible para quien no tenga una determinada contraseña.

El progreso de la web como repositorio de la información personal es también una ayuda adicional para no perder los documentos si se extravía el portátil. Cuando los documentos se almacenan en la web –servidores de correo, álbumes digitales, o discos duros virtuales–, es posible recuperarlos desde cualquier PC con acceso a Internet.

Compartelo