PREÁMBULO
Algunos hackers destruyen los archivos de la gente o sus discos duros; a ellos se les llama crackers o vándalos. Otros hackers novatos no se molestan en aprender la tecnología, sino solamente descargan algunas herramientas de hacking para colarse en sistemas informáticos; a éstos se les llama los niños de los scripts. Los hackers más experimentados con destreza en la programación desarrollan programas y los cuelgan en la Red y en sistemas de tablón de anuncios. Y luego están los individuos que no tienen ningún interés en la tecnología pero usan los ordenadores simplemente como una herramienta que les ayuda a robar dinero, bienes o servicios.
A pesar del mito creado por los medios en torno a Kevin Mitnick, no soy un hacker perverso.
Pero me estoy adelantando a los acontecimientos.
LOS INICIOS
Mi camino probablemente se estableció pronto en la vida. Yo era un niño feliz y despreocupado pero aburrido. Después de separarse de mi padre cuando yo tenía tres años, mi madre trabajó como camarera para mantenernos. Me veo entonces –un hijo único criado por una madre que alargaba los agobiantes días con un horario irregular– y recuerdo a un chaval que iba a lo suyo durante casi todo el día. Yo era mi propia niñera.
Crecer en una comunidad en San Fernando Valley me dio la oportunidad de explorar todo Los Angeles, y a los doce años había descubierto una manera de viajar gratis por toda la gigantesca área de L.A. Un día mientras iba en autobús me di cuenta de que la seguridad del transbordo de autobús que había comprado se basaba en un patrón inusual de la perforadora de papel con la que los chóferes marcaban el día, la hora y la ruta en los recibos de transbordo. Un conductor amistoso, contestando a la pregunta que cuidadosamente le planteé, me dijo dónde comprar un tipo especial de perforadora.
Los transbordos tienen el propósito de dejarte cambiar de autobuses y continuar un viaje a tu destino, pero resolví cómo utilizarlos para viajar gratis a cualquier lugar. Conseguir transbordos en blanco fue coser y cantar. Las papeleras en las terminales de autobús siempre estaban llenas de libros de transbordos utilizados parcialmente que los chóferes tiraban al acabar sus turnos. Con un puñado de ellos en blanco y la perforadora pude marcar mis propios transbordos y viajar a cualquier lugar al que me llevaran los autobuses de L.A. Mucho antes, memoricé nada menos que todos los horarios de autobús de todo el sistema. (Éste es uno de los primeros ejemplos de mi sorprendente memoria para ciertos tipos de información; aún hoy, puedo recordar números de teléfono, contraseñas y otros detalles aparentemente triviales de la lejana época de mi niñez).
Otro interés personal que surgió a una edad temprana fue mi fascinación con hacer magia. En cuanto aprendía cómo hacer un nuevo truco, lo practicaba, practicaba y volvía a practicar aún más hasta que lo dominaba. Hasta cierto grado, fue a través de la magia como descubrí el placer de conseguir conocimiento secreto.
De phreak del teléfono a hacker
Mi primer encuentro con lo que más tarde aprendería a llamar ingeniería social se dio durante mis años de estudios superiores cuando conocí a otro alumno que fue pillado en un pasatiempo llamado phone phreaking. El phone phreaking es un tipo de hacking que te permite explorar las redes de telefonía aprovechándote de los sistemas telefónicos y los empleados de las operadoras. Él me mostró truquitos que pudo hacer con un simple teléfono, como conseguir cualquier información que la compañía tuviera de cualquier cliente, y utilizar un número secreto de pruebas para hacer llamadas de larga distancia gratis. (En realidad solo era gratuito para nosotros. Mucho después descubrí que no se trataba de un número secreto de pruebas del todo. De hecho las llamadas fueron facturadas a alguna desafortunada compañía de la cuenta de MCI.)
Esa fue mi introducción a la ingeniería social – mi guardería, por decirlo así –. Mi amigo y otro phone phreaker que conocí poco después me dejaron escuchar las llamadas de pretexto que iban haciendo a la operadora telefónica. Escuché las cosas que dijeron que les hacían sonar creíbles; conocí las oficinas de las diferentes compañías telefónicas, su jerga y sus procedimientos. Pero aquel “entrenamiento” no duró mucho; yo hice que no durara. Pronto estaba haciéndolo todo por mi cuenta, tal como aprendí pero incluso mejor que mis primeros maestros.
El curso que mi vida iba a seguir durante los próximos quince años había sido fijado.
En la escuela superior, una de mis travesuras favoritas fue conseguir acceso no autorizado al conmutador telefónico y cambiar el tipo de servicio de un compañero de phone phreak. Cuando él intentó llamar desde casa, escuchó un mensaje diciéndole que introdujera una moneda de diez centavos porque el conmutador telefónico había recibido una señal que indicaba que estaba llamando desde un teléfono de pago.
Me encontré inmerso en todo lo relacionado con los teléfonos, no solo la parte electrónica, conmutadores y ordenadores sino también la organización corporativa, los trámites y la terminología. Al poco tiempo, probablemente sabía más del sistema telefónico que cualquier empleado de a pie. Y había desarrollado mis habilidades de ingeniería social a tal punto que, a los diecisiete años, era capaz de hablar con la mayoría de los empleados de telecomunicaciones de casi cualquier cosa, sin importar si lo hacía en persona o por teléfono.
Mi carrera como hacker más conocido empezó cuando estaba en la escuela superior. Aunque no puedo detallarla aquí, bastará con decir que una de mis mayores motivaciones en mis primeros trucos fue el deseo de ser aceptado por los colegas del grupo hacker.
Volviendo atrás, hemos utilizado el término hacker para referirnos a una persona que pasó mucho tiempo jugueteando con hardware y software, tanto para desarrollar programas más eficaces como para saltarse pasos innecesarios y llegar a la meta con más rapidez. Esa palabra se ha convertido en algo peyorativo, incorporando la idea de “criminal malicioso”. En estas páginas uso el vocablo del modo que siempre lo he utilizado –en su sentido anterior, más positivo –.
Después de la escuela superior estudié informática en el Computer Learning Center de Los Angeles. En unos pocos meses, el responsable informático de la escuela se dio cuenta de que yo había encontrado una vulnerabilidad en el sistema operativo y había conseguido todos los privilegios como administrador en el ordenador IBM. Los mejores expertos en informática del profesorado no pudieron imaginarse cómo lo hice. Me hicieron una oferta que no pude rechazar: obsequiarles con un proyecto para mejorar la seguridad informática de la escuela o quedarme con el suspenso por violar el sistema. Como es lógico, escogí hacer el proyecto, y acabé graduándome con honores cum laude.
Me convierto en un Ingeniero Social
Algunas personas se levantan de la cama por la mañana con el temor de afrontar su aburrida rutina laboral. Yo he tenido bastante suerte al disfrutar con mi trabajo. En particular, no puedes imaginar el desafío, la recompensa y el placer que he tenido durante el tiempo que he pasado como investigador privado. Estuve perfeccionando mis talentos en la realización del arte llamado ingeniería social (conseguir que la gente haga cosas que normalmente no harían por un extraño) y me pagaron por ello.
No me fue difícil llegar a destacar en la ingeniería social. La familia de mi padre estuvo en la rama comercial durante generaciones, así que el arte de influir y persuadir pudo haber sido un rasgo heredado. Cuando combinas dicha característica con una tendencia a engañar a la gente, tienes el perfil de un típico ingeniero social.
Puede que digas que hay dos clasificaciones profesionales en las que se puede catalogar al artista estafador. El que estafa y engaña a la gente por su dinero pertenece a una subespecialidad, el timador. El que usa engaño, influencia y persuasión contra las empresas, por lo general con su información como blanco, pertenece a la otra subcategoría, el ingeniero social. Desde la época de mi travesura con el transbordo del autobús, cuando era demasiado joven como para saber si había algo de malo en lo que estaba haciendo, empecé a identificar un talento para hallar los secretos que se suponía que no debía tener. Edifiqué ese talento utilizando el engaño, conociendo la jerga, y desarrollando una habilidad bien afinada para la manipulación.
Una manera como desarrollé mis habilidades en mi oficio, si puedo llamarlo oficio, fue escoger una porción de información que realmente no me interesaba y ver si podía hablar con alguien al otro lado del teléfono para que me la suministrara, tan solo para poner a prueba mis destrezas. De la misma forma que solía practicar mis trucos de magia, practiqué para excusarme. Gracias a estos ensayos, pronto vi que podía conseguir prácticamente cualquier información que persiguiera.
Como describí en el testimonio del Congreso antes los Senadores Lieberman y Thompson años después:
He conseguido acceso no autorizado a los sistemas informáticos de algunas de las mayores corporaciones del planeta, y he irrumpido con éxito en algunos de los sistemas informáticos más robustos que jamás se han desarrollado. He utilizado tanto medios técnicos como no técnicos para hacerme con el código fuente de varios sistemas operativos y dispositivos de telecomunicaciones con la finalidad de estudiar sus vulnerabilidades y su funcionamiento interno.
Toda esto fue en realidad para satisfacer mi propia curiosidad; para ver de qué era capaz; y para conseguir información secreta sobre los sistemas operativos, teléfonos móviles, y cualquier otra cosa que llamara mi curiosidad.
CONSIDERACIONES FINALES
Desde mi arresto he reconocido que las acciones que realicé fueron ilegales, y que cometí invasión de la privacidad.
Mis fechorías fueron motivadas por mi curiosidad. Quería saber todo lo que pudiera sobre el funcionamiento de las redes telefónicas y los más y los menos de la seguridad informática. Pasé de ser un niño que adoraba hacer trucos de magia a convertirme en el hacker más notorio del mundo, temido por las compañías y el gobierno. Al reflexionar en lo que ha sido mi vida durante los últimos 30 años, debo admitir que tomé algunas decisiones extremadamente malas, llevado por mi curiosidad, el deseo de saber sobre la tecnología, y la necesidad de un buen reto intelectual.
Ahora soy una persona nueva. He reorientado mis aptitudes y el vasto conocimiento que reunido sobre la seguridad de la información y las tácticas de ingeniería social para ayudar al gobierno, las empresas, y los individuos a prevenir, detectar y responder a las amenazas a la seguridad de la información.
Este libro es otra manera en que puedo utilizar mi experiencia para ayudar a otros a frustrar los esfuerzos de los ladrones maliciosos de información del mundo. Creo que encontrarás las historias divertidas, esclarecedoras y educativas.
