Ex hacker que ahora trabaja para empresas: “Tener la confianza de los clientes costó un largo tiempo”

En los ´90 figuraba como el hacker más buscado por el FBI, pero en una historia a la altura de una producción Hollywood, hoy Kevin Mitnick es reconocido a nivel mundial como uno de los consultores más brillantes en materia de ciberseguridad. El vuelvo no se lo esperaba ni él mismo, quien confiesa que sus aventuras del pasado fueron por puro interés intelectual, lo que hoy valoran sus clientes y quienes lo siguen y podrán escuchar el próximo jueves 23 de septiembre en la serie de entrevistas Visión de Líderes de Banco Itaú.

Hoy como experto, recorre el mundo asesorando empresas desde su propia compañía Mitnick Security Consulting, dedicada a los servicios de penetración de testeo donde sus ingenieros simulan ciber ataques para poner a prueba los mecanismos de seguridad de sus clientes, y desde KnowBe4, que se enfoca en ayudar a tomar decisiones inteligentes cuando se trata de ataques como el phishing.

Con su experiencia a ambos lados de la vereda, asegura que la ciberseguridad debiera ser prioridad tanto para empresas como para los estados, algo que parecen haber entendido con claridad la alianza de inteligencia “Five Eyes”, conformada por EE. UU., Reino Unido, Canadá, Australia y Nueva Zelandia, pero en lo que aún le queda basto camino por recorrer a Sudamérica.

Cuando se dedicaba a hackear, ¿pensó que terminaría como consultor de ciberseguridad?

-Para nada. Yo estaba envuelto en hacking por un desafío intelectual, seducido por la aventura, nunca fue sobre hacer dinero. Nunca pensé que esto me podría dirigir a una oportunidad como la que practico hoy en mi vida.

Tener la confianza de los clientes tomó un largo tiempo. Tomó años porque yo estuve envuelto en problemas con las autoridades federales en Estados Unidos en unas cuantas ocasiones.

Debido a eso tomó un tiempo que pudieran confiar en mi. Pero creo que mucha gente en el mundo sabe que mi motivación para el hackeo nunca fue verdaderamente criminal, no se trataba de robar dinero o datos de tarjetas de crédito o de instalar virus en los computadoras de la gente, ese tipo de cosas.

Eso también permitió que que al día los clientes me vean capaz de que pueda tomar limones para hacer limonada.

¿Cómo ha evolucionado el hackeo de acuerdo a lo que ha podido observar desde sus tiempos como hacker hasta lo que le muestran sus actuales Servicios de Prueba de Penetración?

-Ha evolucionado de manera sustancial desde los años ‘90. Desde 1995 se comenzó a desarrollar con más fuerza el internet en áreas comerciales. Lo que se ha hecho más típicamente es atacar a personas mediante lo que llamamos Ataque de Ingeniería Social, donde los chicos malos llaman a alguien por teléfono y tratan de manipularlo para obtener información o para que hiciera algo que les permitiera tener acceso a los computadores.

Una parte de aquello es el phishing (suplantación de identidad), donde los chicos malos envían correos electrónicos maliciosos con link o archivos adjuntos que les dan acceso a los computadores.

Hay maneras muy diferentes para comprometer la red de un sistema computacional, pero esos dos son lo más usados.

La innovación en el hackeo es particularmente dinámica. ¿Cómo se actualiza para hacer su trabajo como consultor?

-Siempre mantengo mis oídos atentos. Constantemente asisto a conferencias sobre información en seguridad, me mantengo actualizado siguiendo a otros expertos y además tengo trabajo en terreno con mi compañía, donde tenemos varios ingenieros que trabajan en los testeos de seguridad de nuestros clientes. En otras palabras actuamos como hackers para que los clientes puedan controlar sus defensas.

Por otro lado, soy parte de otra compañía llamada KnowBe4 donde nos enfocamos en ayudar a los negocios a tomar decisiones inteligentes cuando se trata de ataques de ingeniería social, como el phishing. Entonces simulamos experiencias de phishing para generar advertencias de seguridad y entrenamiento que les ayude a contener asuntos como esos.

Sin embargo, como un experto en seguridad tu constantemente tienes que mantener tus oídos pegados al suelo, tiene que prestar atención a lo que está ocurriendo y cómo están cambiando las cosas cuando se trata de tecnología. De otra manera, te vas a quedar atrás en una semana.

Es una investigación permanente el estar en esta posición. Siempre tienes que mantenerte actualizado sobre las herramientas que malos actores están utilizando y sobre la nueva tecnología disponible para que los clientes puedan mitigar los riesgos.

Dado el avance de la ciberseguridad en los países desarrollado, ¿América Latina se ha vuelto más vulnerable a los ataques?

-Es difícil para mi hablar de Chile, pero sé que definitivamente Sudamérica enfrenta más riesgos porque no tienen la tecnología y el staff que los ayude a manejar los riesgos. Incluso en Estados Unidos es muy contratar a profesionales de seguridad. En mi propia compañía estamos buscando por esos profesionales permanentemente, porque definitivamente estamos escasos de talentos.

Esperamos que eso vaya cambiando con el tiempo y tengamos más gente disponible con la habilidades que ayuden a los negocios a protegerse de estos ataques.

En Chile el gobierno comprometió recientemente un proyecto de ley para desarrollar una Agencia Nacional de Ciberseguridad. ¿Estamos retrasados? ¿Con qué urgencia debemos avanzar dados los riesgos a los que nos enfrentamos?

-Me sorprende que Chile todavía no tenga una Agencia de Ciberseguridad. Probablemente una buena noticia que haya un proyecto de ley, pero lo que no debe pasar es que esas agencias terminen espiando a la gente. Tuvimos ese problema en Estados Unidos en 2013, cuando Snowden reveló que el gobierno de Estados Unidos y sus agencias de seguridad nacional estaba interviniendo llamadas telefónicas, hackeando a cualquier objetivo que quisieran para hacer inteligencia.

Eso es algo que se debiera evitar en Chile. Deben aspirar a ciertas reglas y regulaciones que prevengan aquello, al mismo tiempo que desarrollen la infraestructura para enfrentar los ciber ataques. Hay que saber balancear la seguridad del país con la privacidad de la gente.

¿Cuáles son los desafíos para una agencia estatal encargada de la ciberseguridad de un país?

-Eso es complejo, porque estamos hablando de la seguridad de un país. Todo país sus propias capacidad ofensivas y defensivas, lo que quiere decir que otros países están continuamente hackeando a otros países, como los rusos que siempre están hackeando a Estados Unidos, nosotros estamos hackeando a China... Esto es algo que está sucediendo constantemente.

En ese contexto, las agencias estatales en Chile tienen que tener a buenas personas a bordo para realmente protegerse de ese tipo de ataques, porque son muy sofisticados y están usando tipos de infiltración que no logran ser detectadas por compañías como Apple o Microsoft.

Además hay expertos que venden sus servicios para hackear servicios telefónicos de las personas. En Arabia Saudita o Emiratos Árabes van a buscar disidentes, comprometiendo sus celulares para seguirlos.

Es mucho más desafiantes de lo que pueden enfrentar instituciones financieras en Chile para mitigar los riesgos.

¿Cómo debe ser la coordinación entre el sector privado y público en materia de ciberseguridad?

-Puedo hablar de lo que ocurre en Estados Unidos cuando las empresas se ven comprometidas. Ellos no quieres relevar su información al gobierno, pero en Estados Unidos por leyes estatales cuando una empresa ha sufrido una filtración de datos deben revelar la información o de lo contrario enfrentan multas.

Esa información es importante, porque si soy víctima de una filtración de datos quiero saber al respecto, de manera que pueda hacer todo lo posible para mitigarla. En ese marco, yo aliento a que los actores estatales se asocien con el sector privado para que trabajen juntos como equipo.

¿Qué país está a la vanguardia de la ciberseguridad?

-Probablemente los países de “Five Eyes”, es decir, Estados Unidos, Canadá, Reino Unido, Canadá y Nueva Zelandia. Estos países en particular han desarrollado fuertes servicios de ciberseguridad, estoy ahora en Nueva Zelandia y estuve hace poco en Australia y creo que Estados Unidos y probablemente el Reino Unido están un poco más avanzados que estos, pero desde una perspectiva gubernamental no tengo esa visibilidad para poder evaluar.

Pero sí sé que Estados Unidos es el líder cuando se trata de información de ciberseguridad.

¿Alguna empresa que destaque?

-No estoy seguro sobre una empresa en particular, pero sí me parece que las instituciones financieras son ciertamente las que están más al día, como Itaú y la banca en general, porque obviamente ellos tienen buenos equipos que las resguardan para mitigar los riesgos, después de todo son el objetivo número uno para lo ataques porque ahí es donde está el dinero. Eso significa que las instituciones financieras son las que tienen que estar más vigilantes en sus prácticas de seguridad.