El estadounidense Kevin Mitnick se ha ganado a pulso el apelativo de “hacker más famoso del mundo”. Su afición por los sistemas telefónicos e informáticos empezó a los 13 años, hasta encabezar la lista de los más buscados del FBI. Al final lo cazó un experto japonés en 1995. Lo localizaron por una llamada con su teléfono móvil. Fue condenado a cinco años de cárcel por haber conseguido, gracias a sus habilidades en la intromisión informática, programas propietarios de aparatos de telefonía móvil. Tras salir de la cárcel, durante tres años tuvo prohibido acercarse a un ordenador o móvil porque, según el fiscal, con sólo una llamada era capaz de provocar un holocausto nuclear. Sólo podía emplear telefonía fija. Ahora, a punto de cumplir los 43 años, dirige su propia empresa de consultoría sobre seguridad y asesora a los que antes le temían.

Mitnick es el ejemplo clásico de la diferencia entre un hacker y un cracker. El primero, se entromete e incluso roba en los sistemas informáticos, pero lo hace sin ánimo de lucro o de provocar daño. Por curiosidad intelectual o movido por la denuncia social. El cracker, igualmente habilidoso con la informática, es sencillamente un delincuente que busca su beneficio.

–Su encarcelamiento provocó la mayor campaña a favor de un hacker en la historia de Internet, con el lema Libertad a Kevin. ¿Le llegaban los ecos en la prisión?

–Un poco y me daba valor. Los primeros ocho meses estuve incomunicado porque decían que mi caso afectaba a la seguridad nacional. Fue horrible. Pasaba la mayor parte del tiempo estudiando leyes y trabajando con mis abogados, porque mi caso era relativamente nuevo. Leía mucho y, al final, pude hablar por teléfono. Así escapaba mentalmente.

–¿Después de eso, cree en la Justicia?

–En la norteamericana, no.

–¿Las actuales leyes para delitos informáticos son buenas?

–Depende de las leyes. Me parece terrible la rapidez con que el gobierno norteamericano señala a un hacker como terrorista y decide que se le debe dar el mismo castigo. La gran mayoría de gente que está haciendo hacking, por el simple reto, o incluso para robar dinero, no son terroristas. Pronto, ya no los llamarán terroristas, sino enemigos de guerra.

–¿El castigo para un chico curioso que juega a ser hacker debería ser la prisión?

–Lo que necesita un chico así es redirigir sus energías hacia algo positivo. Sería mejor condenarle a trabajar para la comunidad, por ejemplo. Además, no tiene una intención criminal. El problema es que, en Estados Unidos, el hacking es automáticamente un crimen. Debería tenerse en cuenta el objetivo final: robar es una cosa y buscar conocimiento, otra. Así, hay gente joven, de 18, 22 años, a quienes les ponen una marca, la de haber cometido un delito grave, para el resto de su vida.

–¿Como le pasó a usted?

–Me trataron como a un terrorista: más de cuatro años en prisión sin juicio ni fianza. Usaron mi caso para hacerse publicidad, para sus juegos políticos, portadas en la revista Time. Los fiscales consiguieron mejores trabajos, John Markoff vendió un libro sobre mí con informaciones falsas, me utilizaron.

–Al salir de la cárcel, ¿cómo hizo para ponerse al día?

–Ya cuando estaba en prisión, la gente me enviaba libros. Un año antes de salir, se me permitía acceder a una habitación donde había ordenadores, para usar el correo electrónico. Mi gente me mandaba mensajes, cuyos encabezados eran revisados por el personal de la prisión. Eran tan estúpidos que creían que me mandaban los mensajes con algún tipo de código secreto, tan paranoicos estaban conmigo.

–Cuando salió, ¿había cambiado el mundo de los hackers?

–Ahora hay mucho hacking que no está hecho por hackers tradicionales, sino por piratas criminales que van a enriquecerse. En mis tiempos, primaba la curiosidad intelectual y el reto. Este ha sido el principal cambio y es el principal problema.

–¿Sigue en contacto con el mundo hacker?

–Por supuesto, vivo de esto y tengo que estar en contacto. La mayoría de los hackers que conozco son de mis tiempos y ahora trabajan cuidando la seguridad informática de empresas y gobiernos, para parar a los auténticos criminales.

–Su especialidad es la ingeniería social, la manipulación de personas para que suministren información que no deben dar. ¿Salieron nuevas técnicas, mientras estaba en prisión?

–Sí, en el sentido de las historias que se cuentan para engañar, pero la metodología siempre ha sido la misma: manipulación, engaño e influencia. En un ataque de ingeniería social te pones un disfraz, creas una identidad que crea confianza en la persona o empresa que vas a atacar. Por tanto, cada ataque tiene una historia, una razón para pedir a alguien lo que quieres, pero la base es la misma.

–¿Ha inventado nuevas técnicas de ingeniería social?

–No, pero he perfeccionado algunas, creando buenas historias, entendiendo la psicología de la gente y encontrando formas de convencerla para que me dé la información. Si te pones en un buen papel, obtener información es muy simple, la gente la da sin pensar, de una forma increíble. Por ejemplo, haciéndote pasar por periodista de cualquier medio, o lo que vemos cada día en el correo electrónico: mensajes que quieren convencernos de pinchar en un enlace que lleva a una Web maliciosa o a un archivo que contiene un virus.

–¿La ingeniería social es el punto más débil de las empresas?

–Sí. No entrenan bien a su gente para que no se deje engañar, no tienen políticas de seguridad, no clasifican la información, no usan la tecnología para que tome decisiones que un operador humano, más débil, puede tomar mal. El gran problema de las empresas es cómo autentifican a las personas. En el mundo de los ordenadores, si no tienes la contraseña no puedes entrar. Pero si alguien llama por teléfono se le cree sin más.

–¿Cuál es la peor amenaza actual en seguridad informática?

–El código malicioso, como los virus, los exploits (programas para atacar) que no se conocen públicamente y la ingeniería social.

–¿En su empresa, Mitnick Security Consulting, contrata a hackers?

–Hackers éticos, sí. Criminales, no.

* De El País de Madrid. Especial para Página/12.