El método Mitnick: cómo un escolar de 15 años puede vaciar tu cuenta bancaria
Imagínate esto: son las 3 de la tarde de un ajetreado martes. Suena tu teléfono y el identificador de llamadas muestra el número principal de tu empresa. «Hola, soy Jake, de TI», dice una voz muy profesional. «Estamos detectando actividad inusual en tu cuenta y necesitamos verificar tu contraseña para protegerla. ¿Puedes ayudarme rápidamente?».
¿Te suena familiar? Pues bien, esta fue precisamente la técnica perfeccionada por un adolescente llamado Kevin Mitnick en 1983, mucho antes de que existieran Internet, los teléfonos inteligentes o incluso Windows o Linux. ¿Quieres saber qué es aún más sorprendente? ¡Que este mismo escenario se repite miles de veces al día en empresas de Estados Unidos y de todo el mundo!
En sus memorias «Ghost in the Wires», Mitnick, uno de los hackers más emblemáticos y famosos del mundo, revela una inquietante verdad: los ciberataques más sofisticados no requieren conocimientos de programación, un software caro ni años de formación técnica. Requieren algo mucho más trivial: psicología humana básica.
El arte de parecer creíble
Cuando Mitnick quiso acceder a toda la base de datos del Departamento de Vehículos Motorizados (DMV) de California a principios de la década de 1980, no escribió ningún código complejo ni aprovechó las vulnerabilidades del software. En lugar de eso, lo único que hizo fue una llamada telefónica.
Su método era elegantemente sencillo: llamaba al Departamento de Tráfico fingiendo ser un agente de policía, sabiendo que le pedirían su código de solicitante, una terminología interna que solo utilizaban los empleados del Departamento de Tráfico.
Luego venía la jugada maestra: volvía a llamar fingiendo ser un empleado del Departamento de Tráfico y pedía verificar un código inventado. El amable empleado le corregía, proporcionándole sin darse cuenta el código real.
¡Y voilà!
En un abrir y cerrar de ojos, Mitnick consiguió acceder y examinar todos y cada uno de los registros de conducción de California.
¿La lección? La confianza no se gana con credenciales, sino que se fabrica a través de la seguridad y la terminología correcta.
Los tres pilares de la ingeniería social
El éxito de Mitnick no fue fruto de la suerte. Inconscientemente, desarrolló lo que podríamos llamar los tres pilares de la ingeniería social:
1. Confianza a través de la terminología
Hablar el idioma genera credibilidad instantánea. Cuando Mitnick utilizaba términos como «código solicitante», no estaba simplemente adivinando, sino demostrando que poseía información privilegiada.
Los atacantes actuales investigan la jerga específica de las empresas, los nombres de los programas informáticos y los procesos internos a través de LinkedIn, los sitios web de las empresas y las redes sociales.
Ejemplo actual: «Hola, llamo por la integración de Salesforce con su CRM. Estamos detectando errores de sincronización en los registros de la API»
2. Aprovechamiento de la autoridad
Los seres humanos estamos programados para obedecer a las figuras de autoridad. Mitnick se hizo pasar por agentes de policía, técnicos de redes y ejecutivos de empresas porque estos roles conllevan un poder implícito.
Los ingenieros sociales actuales se hacen pasar por personal de soporte informático, representantes de recursos humanos y altos ejecutivos con la misma eficacia.
Ejemplo actual: un mensaje en LinkedIn de alguien que dice ser el nuevo director de seguridad de la información (CISO) y solicita una auditoría rápida de seguridad de tus permisos de acceso.
3. Creación de urgencia
Cuando las personas se sienten presionadas, el pensamiento crítico se apaga. Mitnick solía afirmar que los sistemas estaban en peligro o que pronto dejarían de funcionar, lo que obligaba a tomar decisiones rápidas y confusas.
Del mismo modo, los atacantes actuales utilizan la misma estrategia con correos electrónicos de suspensión de cuentas, notificaciones de violaciones de seguridad y solicitudes urgentes de cumplimiento.
Ejemplo moderno: «Su cuenta de Microsoft 365 se suspenderá en dos horas debido a actividad sospechosa. Haga clic aquí para verificarla inmediatamente».
De las cabinas telefónicas a los deepfakes
Lo que hacía peligroso a Mitnick en 1983 es lo que hace aterradores a los ingenieros sociales de hoy en día. Las técnicas básicas siguen siendo las mismas, pero las herramientas han evolucionado exponencialmente:
Entonces: Mitnick investigaba a sus objetivos leyendo manuales de empleados desechados.
Ahora: los atacantes crean perfiles detallados a partir de Facebook, LinkedIn, Instagram y sitios web de empresas.
Entonces: imitaba voces y gestos durante las llamadas telefónicas.
Ahora: La IA puede clonar voces a partir de tres segundos de audio y generar videollamadas convincentes.
Entonces: Creaba tarjetas de visita y credenciales falsas.
Ahora: Los sofisticados sitios de phishing son indistinguibles de los legítimos.
Entonces: Se centraba en empresas individuales, una por una.
Ahora: Las herramientas automatizadas pueden lanzar ataques personalizados contra miles de empresas simultáneamente.
¿Lo más aterrador? Las técnicas de Mitnick requerían una investigación y una preparación considerables. Sin embargo, las herramientas actuales basadas en la inteligencia artificial pueden generar ataques personalizados y convincentes a gran escala con un esfuerzo humano mínimo o casi nulo.
La habilidad que todos tenemos
Esto es lo que hace que la ingeniería social sea tan insidiosa: no requiere conocimientos técnicos. Las habilidades que utilizó Mitnick, como establecer una buena relación, proyectar confianza y crear urgencia, son fundamentalmente habilidades sociales que la mayoría de las personas poseen.
Es probable que tu amiga común, que no es experta en tecnología, no pueda escribir malware ni explotar desbordamientos de búfer. Pero, ¿podría llamar a tu oficina, decir que es de la empresa y convencer a alguien para que le proporcione información confidencial? Por supuesto.
En realidad, no se trata de experiencia técnica, ni siquiera de conocimientos, sino de comprender la naturaleza humana. Las violaciones de datos más devastadoras a menudo no comienzan con un código sofisticado, sino con una simple conversación.
Defensa contra el método Mitnick
A pesar de todo lo aterrador, todavía hay lugar para buenas noticias: la concienciación es su mejor defensa. A continuación, se indican medidas prácticas para protegerse a sí mismo y a su organización:
No confíe, verifique: implemente procedimientos de devolución de llamada para solicitudes confidenciales. Si alguien dice ser del departamento de TI, cuelgue y llame directamente al departamento de TI utilizando un número conocido.
Urgencia de la pregunta: si algo parece inusualmente urgente, lo más probable es que no lo sea. Tenga siempre presente que las emergencias legítimas son poco frecuentes. La mayoría de las solicitudes urgentes son intentos de ingeniería social. Por lo tanto, tómese el tiempo necesario para verificarlas.
Limite el intercambio de información: sea muy cauteloso con lo que publica en las redes sociales o comparte con otras personas. Para los atacantes, los datos personales revelados de forma descuidada son un tesoro oculto que les ayuda a ganar credibilidad. ¡Así que no se los dé!
Entrene regularmente: Realice pruebas simuladas de ingeniería social. Conviértalo en un juego, no en un castigo.
Cree un espacio para informar con seguridad: Los empleados deben sentirse cómodos al informar de contactos sospechosos sin temor a ser culpados.
El legado de Mitnick: Un arma de doble filo
Mitnick acabó convirtiéndose en uno de los consultores de ciberseguridad más respetados del mundo, utilizando su experiencia en ingeniería social para ayudar a las empresas a defenderse.
Su transformación de hacker notorio a defensor de la seguridad demuestra un punto importante. Las mismas habilidades que hacen que alguien sea peligroso también pueden convertirlo en alguien invaluable.
Las técnicas que convirtieron a un adolescente de California en el hacker más buscado por el FBI en la década de 1980 siguen siendo la base de los ciberataques modernos.
Comprender el método Mitnick no solo tiene que ver con la ciberseguridad, sino también con reconocer lo fácil que es explotar la psicología humana.
En nuestro mundo hiperconectado, los hackers más peligrosos no son necesariamente los más técnicos.
Son aquellos que entienden que detrás de cada sistema seguro hay un ser humano. Y los seres humanos, como demostró Mitnick hace décadas, son sorprendentemente fáciles de hackear.
Así que, la próxima vez que suene tu teléfono con una «solicitud» urgente, recuerde: puede que esté hablando con el próximo Kevin Mitnick. La pregunta es: ¿se convertirá en su próxima víctima o colgará y lo verificará?
Fuentes:
Mitnick, Kevin D. y William L. Simon. Ghost in the Wires: My Adventures as the World's Most Wanted Hacker. Little, Brown and Company, 2011.
Mitnick Security. «Ghost in the Wires, de Kevin Mitnick». Mitnick Security, https://www.mitnicksecurity.com/ghost-in-the-wires